Tenere traccia dei dati durante la ricerca con Microsoft Sentinel
La ricerca di segnalibri in Microsoft Sentinel consente di mantenere le query e i risultati delle query ritenuti rilevanti. È anche possibile registrare le osservazioni contestuali e informazioni di riferimento sui risultati aggiungendo note e tag. I dati con segnalibro sono visibili per l'utente che li aggiunge e i colleghi per facilitare la collaborazione. Per altre informazioni, vedere Segnalibri.
Importante
Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Creare un segnalibro per mantenere le query, i risultati, le osservazioni e i risultati.
Per Microsoft Sentinel nel portale di Azure, in Gestione delle minacce selezionare Ricerca.
Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Gestione delle minacce>Ricerca delle minacce informatiche.Nella scheda Ricerca selezionare una caccia.
Selezionare una delle query di ricerca.
Nei dettagli della query di ricerca selezionare Esegui query.
Selezionare Visualizza risultati query. Ad esempio:
Questa azione apre i risultati della query nel riquadro Log .
Nell'elenco dei risultati delle query di log usare le caselle di controllo per selezionare una o più righe contenenti le informazioni interessanti.
Selezionare Aggiungi segnalibro:
A destra, nel riquadro Aggiungi segnalibro, facoltativamente, aggiornare il nome del segnalibro , aggiungere tag e note per identificare ciò che era interessante per l'elemento.
I segnalibri possono essere mappati facoltativamente alle tecniche MITRE ATT&CK o alle tecniche secondarie. I mapping MITRE ATT&CK vengono ereditati dai valori mappati nelle query di ricerca, ma è anche possibile crearli manualmente. Selezionare la tattica MITRE ATT&CK associata alla tecnica desiderata dal menu a discesa nella sezione Tattiche e tecniche del riquadro Aggiungi segnalibro . Il menu si espande per visualizzare tutte le tecniche MITRE ATT&CK ed è possibile selezionare più tecniche e tecniche secondarie in questo menu.
È ora possibile estrarre un set espanso di entità dai risultati delle query con segnalibro per ulteriori indagini. Nella sezione Mapping entità usare gli elenchi a discesa per selezionare i tipi di entità e gli identificatori. Eseguire quindi il mapping della colonna nei risultati della query contenente l'identificatore corrispondente. Ad esempio:
Per visualizzare il segnalibro nel grafico di indagine, è necessario eseguire il mapping di almeno un'entità. I mapping di entità ai tipi di entità account, host, IP e URL creati sono supportati, mantenendo la compatibilità con le versioni precedenti.
Selezionare Salva per eseguire il commit delle modifiche e aggiungere il segnalibro. Tutti i dati con segnalibro vengono condivisi con altri analisti ed è un primo passo verso un'esperienza di indagine collaborativa.
I risultati della query di log supportano i segnalibri ogni volta che questo riquadro viene aperto da Microsoft Sentinel. Ad esempio, selezionare Log generali>dalla barra di spostamento, selezionare i collegamenti agli eventi nel grafico delle indagini o selezionare un ID avviso nei dettagli completi di un evento imprevisto. Non è possibile creare segnalibri quando il riquadro Log viene aperto da altre posizioni, ad esempio direttamente da Monitoraggio di Azure.
Trovare e aggiornare un segnalibro dalla scheda segnalibro.
Per Microsoft Sentinel nel portale di Azure, in Gestione delle minacce selezionare Ricerca.
Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Gestione delle minacce>Ricerca delle minacce informatiche.Selezionare la scheda Segnalibri per visualizzare l'elenco dei segnalibri.
Cercare o filtrare per trovare un segnalibro o un segnalibro specifico.
Selezionare singoli segnalibri per visualizzare i dettagli del segnalibro nel riquadro di destra.
Apportare le modifiche in base alle esigenze. Le modifiche vengono salvate automaticamente.
Visualizzare i dati con segnalibri avviando l'esperienza di indagine in cui è possibile visualizzare, analizzare e comunicare visivamente i risultati usando un diagramma interattivo di entità e una sequenza temporale.
Nella scheda Segnalibri selezionare il segnalibro o i segnalibri da analizzare.
Nei dettagli del segnalibro verificare che sia mappata almeno un'entità.
Selezionare Ricerca per visualizzare il segnalibro nel grafico dell'indagine.
Per istruzioni sull'uso del grafico di indagine, vedere Usare il grafico di indagine per approfondire l'analisi.
Aggiungere segnalibri a un evento imprevisto dalla scheda segnalibri nella pagina Ricerca .
Nella scheda Segnalibri selezionare il segnalibro o i segnalibri da aggiungere a un evento imprevisto.
Selezionare Azioni evento imprevisto dalla barra dei comandi:
Selezionare Crea nuovo evento imprevisto o Aggiungi a un evento imprevisto esistente, in base alle esigenze. Quindi:
- Per un nuovo evento imprevisto: facoltativamente aggiornare i dettagli per l'evento imprevisto e quindi selezionare Crea.
- Per aggiungere un segnalibro a un evento imprevisto esistente: selezionare un evento imprevisto e quindi selezionare Aggiungi.
Per visualizzare il segnalibro all'interno dell'evento imprevisto,
- Passare a Eventi imprevisti di gestione delle minacce>di Microsoft Sentinel>.
- Selezionare l'evento imprevisto con il segnalibro e Visualizzare i dettagli completi.
- Nel riquadro sinistro della pagina evento imprevisto selezionare Segnalibri.
Visualizzare query, risultati o cronologia con segnalibri.
Nella scheda Cerca>segnalibri selezionare il segnalibro.
Nel riquadro dei dettagli selezionare i collegamenti seguenti:
Visualizzare la query di origine per visualizzare la query di origine nel riquadro Log .
Visualizzare i log dei segnalibri per visualizzare tutti i metadati dei segnalibri, inclusi chi ha eseguito l'aggiornamento, i valori aggiornati e l'ora in cui si è verificato l'aggiornamento.
Nella barra dei comandi della scheda Segnalibri di ricerca>selezionare Segnalibri per visualizzare i dati non elaborati dei segnalibri per tutti i segnalibri.
Questa visualizzazione mostra tutti i segnalibri con i metadati associati. È possibile usare Linguaggio di query Kusto query (KQL) per filtrare in base alla versione più recente del segnalibro specifico che si sta cercando.
Può verificarsi un ritardo significativo (misurato in minuti) tra il momento in cui si crea un segnalibro e quando viene visualizzato nella scheda Segnalibri .
L'eliminazione del segnalibro rimuove il segnalibro dall'elenco nella scheda Segnalibro . La tabella HuntingBookmark per l'area di lavoro Log Analytics continua a contenere voci di segnalibro precedenti, ma la voce più recente modifica il valore SoftDelete su true, rendendo più semplice filtrare i vecchi segnalibri. L'eliminazione di un segnalibro non rimuove alcuna entità dall'esperienza di indagine associata ad altri segnalibri o avvisi.
Per eliminare un segnalibro, completare la procedura seguente.
Nella scheda Segnalibri di ricerca>selezionare il segnalibro o i segnalibri da eliminare.
Fare clic con il pulsante destro del mouse e selezionare l'opzione per eliminare i segnalibri selezionati.
In questo articolo si è appreso come eseguire un'indagine sulla ricerca usando segnalibri in Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti: