Tenere traccia dei dati durante la ricerca con Microsoft Sentinel

  • Si applica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

La ricerca di segnalibri in Microsoft Sentinel consente di mantenere le query e i risultati delle query ritenuti rilevanti. È anche possibile registrare le osservazioni contestuali e fare riferimento ai risultati aggiungendo note e tag. I dati con segnalibro sono visibili all'utente e ai colleghi per semplificare la collaborazione. Per altre informazioni, vedere Segnalibri.

Nota

I segnalibri possono essere creati solo nel portale di Azure. Anche se non è possibile aggiungere segnalibri nel portale di Microsoft Defender, è possibile visualizzare i segnalibri già creati.

Importante

Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.

Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.

Aggiungere un segnalibro (solo portale di Azure)

Creare un segnalibro per mantenere le query, i risultati, le osservazioni e i risultati.

  1. In Gestione delle minacce selezionare Ricerca.

  2. Nella scheda Query selezionare una o più query di ricerca.

  3. Nella barra dei comandi superiore selezionare Esegui query selezionate.

  4. Selezionare Visualizza risultati query. Ad esempio:

    Screenshot della visualizzazione dei risultati della query dalla ricerca Microsoft Sentinel.

    Questa azione apre i risultati della query nel riquadro Log .

  5. Nell'elenco dei risultati delle query di log usare le caselle di controllo per selezionare una o più righe contenenti le informazioni che si trovano interessanti.

  6. In portale di Azure selezionare Aggiungi segnalibro:

    Screenshot dell'aggiunta di un segnalibro di ricerca alla query.

  7. A destra, nel riquadro Aggiungi segnalibro , facoltativamente, aggiornare il nome del segnalibro, aggiungere tag e note per identificare gli elementi interessanti dell'elemento.

  8. Facoltativamente, è possibile eseguire il mapping dei segnalibri alle tecniche o alle sotto-tecniche di MITRE ATT&CK. I mapping MITRE ATT&CK vengono ereditati dai valori mappati nelle query di ricerca, ma è anche possibile crearli manualmente. Selezionare la tattica MITRE ATT&CK associata alla tecnica desiderata dal menu a discesa nella sezione Tattiche & Tecniche del riquadro Aggiungi segnalibro . Il menu si espande per visualizzare tutte le tecniche MITRE ATT&CK ed è possibile selezionare più tecniche e tecniche secondarie in questo menu.

    Screenshot di come eseguire il mapping di tattiche e tecniche di attacco Mitre ai segnalibri.

  9. Ora è possibile estrarre un set espanso di entità dai risultati delle query con segnalibri per un'ulteriore analisi. Nella sezione Mapping entità usare gli elenchi a discesa per selezionare i tipi di entità e gli identificatori. Eseguire quindi il mapping della colonna nei risultati della query contenenti l'identificatore corrispondente. Ad esempio:

    Screenshot per eseguire il mapping dei tipi di entità per la ricerca di segnalibri.

    Per visualizzare il segnalibro nel grafico di indagine, è necessario eseguire il mapping di almeno un'entità. I mapping di entità ai tipi di entità account, host, IP e URL creati sono supportati, mantenendo la compatibilità con le versioni precedenti.

  10. Selezionare Crea per eseguire il commit delle modifiche e aggiungere il segnalibro. Tutti i dati con segnalibro vengono condivisi con altri analisti ed è un primo passaggio verso un'esperienza di indagine collaborativa.

I risultati delle query di log supportano i segnalibri ogni volta che questo riquadro viene aperto da Microsoft Sentinel. Ad esempio, se si selezionaLoggenerali> dalla barra di spostamento, selezionare i collegamenti agli eventi nel grafico delle indagini o selezionare un ID avviso tra i dettagli completi di un evento imprevisto. Non è possibile creare segnalibri quando il riquadro Log viene aperto da un'altra posizione, ad esempio direttamente da Azure Monitor.

Visualizzare e aggiornare i segnalibri

Trovare e aggiornare un segnalibro dalla scheda segnalibro.

  1. Per Microsoft Sentinel nel portale di Azure, in Gestione minacce selezionare Ricerca.
    Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Threat management>Hunting.

  2. Selezionare la scheda Segnalibri per visualizzare l'elenco dei segnalibri.

  3. Cercare o filtrare per trovare segnalibri o segnalibri specifici.

  4. Selezionare singoli segnalibri per visualizzare i dettagli del segnalibro nel riquadro a destra.

  5. Apportare le modifiche in base alle esigenze. Le modifiche vengono salvate automaticamente.

Nota

È possibile visualizzare fino a 1.000 segnalibri solo nella scheda segnalibro. È possibile visualizzare il resto dei dati con segnalibro nei log. Altre informazioni

Esplorazione dei segnalibri nel grafico di analisi

Visualizzare i dati con segnalibro avviando l'esperienza di indagine in cui è possibile visualizzare, analizzare e comunicare visivamente i risultati usando un diagramma di entità-grafo interattivo e una sequenza temporale.

  1. Nella scheda Segnalibri selezionare il segnalibro o i segnalibri da analizzare.

  2. Nei dettagli del segnalibro verificare che sia stato eseguito il mapping di almeno un'entità.

  3. Selezionare Analizza per visualizzare il segnalibro nel grafico di indagine.

Per istruzioni sull'uso del grafico di indagine, vedere Usare il grafico di analisi per approfondire la procedura.

Aggiungere segnalibri a un evento imprevisto nuovo o esistente (solo portale di Azure)

Aggiungere segnalibri a un evento imprevisto dalla scheda Segnalibri nella pagina Ricerca .

  1. Nella scheda Segnalibri selezionare il segnalibro o i segnalibri da aggiungere a un evento imprevisto.

  2. Selezionare Azioni evento imprevisto dalla barra dei comandi:

    Screenshot dell'aggiunta di segnalibri all'evento imprevisto.

  3. Selezionare Create new incident (Crea nuovo evento imprevisto ) o Add to existing incident (Aggiungi a un evento imprevisto esistente) in base alle esigenze. In seguito:

    • Per un nuovo evento imprevisto: aggiornare facoltativamente i dettagli per l'evento imprevisto e quindi selezionare Crea.
    • Per aggiungere un segnalibro a un evento imprevisto esistente: selezionare un evento imprevisto e quindi selezionare Aggiungi.

  4. Per visualizzare il segnalibro all'interno dell'evento imprevisto,

    1. Passare a Microsoft Sentinel>Ripristieventi imprevisti di gestione>.
    2. Selezionare l'evento imprevisto con il segnalibro e visualizzare i dettagli completi.
    3. Nella pagina dell'evento imprevisto, nel riquadro sinistro, selezionare i segnalibri.

Visualizzare i dati con segnalibro nei log

Visualizzare le query con segnalibro, i risultati o la relativa cronologia.

  1. Nella schedaSegnalibri diricerca> selezionare il segnalibro.

  2. Nel riquadro dei dettagli selezionare i collegamenti seguenti:

    • Visualizzare la query di origine per visualizzare la query di origine nel riquadro Log .

    • Visualizzare i log dei segnalibri per visualizzare tutti i metadati dei segnalibri, inclusi chi ha eseguito l'aggiornamento, i valori aggiornati e l'ora in cui si è verificato l'aggiornamento.

  3. Nella barra dei comandi della schedaSegnalibri diricerca> selezionare Log segnalibri per visualizzare i dati dei segnalibri non elaborati per tutti i segnalibri.

    Screenshot del comando bookmark logs.

Questa visualizzazione mostra tutti i segnalibri con i metadati associati. È possibile usare query Linguaggio di query Kusto (KQL) per filtrare fino alla versione più recente del segnalibro specifico che si sta cercando.

Può verificarsi un ritardo significativo (misurato in minuti) tra il momento in cui si crea un segnalibro e il momento in cui viene visualizzato nella scheda Segnalibri .

Eliminare un segnalibro

L'eliminazione del segnalibro rimuove il segnalibro dall'elenco nella scheda Segnalibro . La tabella HuntingBookmark per l'area di lavoro Log Analytics continua a contenere voci di segnalibro precedenti, ma la voce più recente modifica il valore SoftDelete in true, semplificando il filtro dei segnalibri precedenti. L'eliminazione di un segnalibro non rimuove alcuna entità dall'esperienza di indagine associata ad altri segnalibri o avvisi.

Per eliminare un segnalibro, completare la procedura seguente.

  1. Nella schedaSegnalibri diricerca> selezionare il segnalibro o i segnalibri da eliminare.

  2. Fare clic con il pulsante destro del mouse e selezionare l'opzione per eliminare i segnalibri selezionati.

Contenuto correlato

In questo articolo si è appreso come eseguire un'indagine di ricerca usando segnalibri in Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:

  • Last updated on