Tenere traccia dei dati durante la ricerca con Microsoft Sentinel

  • Articolo
  • Si applica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

La ricerca delle minacce richiede in genere la revisione di montagne di dati di log alla ricerca di prove di comportamenti dannosi. Durante questo processo, gli investigatori trovano eventi che vogliono ricordare, rivedere e analizzare come parte di convalidare potenziali ipotesi e comprendere la storia completa di un compromesso.

La ricerca di segnalibri in Microsoft Sentinel consente di conservare le query eseguite in Microsoft Sentinel - Log, insieme ai risultati della query ritenuti rilevanti. È anche possibile registrare le osservazioni contestuali e informazioni di riferimento sui risultati aggiungendo note e tag. I dati con segnalibro sono visibili per l'utente che li aggiunge e i colleghi per facilitare la collaborazione.

Ora è possibile identificare e risolvere le lacune nella copertura tecnica MITRE ATT&CK, in tutte le query di ricerca, eseguendo il mapping delle query di ricerca personalizzate alle tecniche MITRE ATT&CK.

Esaminare altri tipi di entità durante la ricerca con segnalibri, eseguendo il mapping del set completo di tipi di entità e identificatori supportati da Microsoft Sentinel Analytics nelle query personalizzate. Usare i segnalibri per esplorare le entità restituite nei risultati delle query di ricerca usando pagine di entità, eventi imprevisti e grafico di indagine. Se un segnalibro acquisisce i risultati da una query di ricerca, eredita automaticamente la tecnica MITRE ATT&CK della query e i mapping di entità.

Se si trova qualcosa che urgentemente deve essere risolto durante la ricerca nei log, è possibile creare facilmente un segnalibro e alzarlo di livello a un evento imprevisto o aggiungerlo a un evento imprevisto esistente. Per altre informazioni sugli eventi imprevisti, vedere Analizzare gli eventi imprevisti con Microsoft Sentinel.

Se hai trovato qualcosa che vale la pena aggiungere ai segnalibri, ma non è immediatamente urgente, puoi creare un segnalibro e quindi rivedere i dati con segnalibri in qualsiasi momento nella scheda Segnalibri del riquadro Ricerca . Sono disponibili opzioni di filtro e di ricerca per trovare rapidamente dati specifici per l'indagine in corso.

È possibile visualizzare i dati con segnalibro selezionando Analizza nei dettagli del segnalibro. Verrà avviata l'esperienza di indagine in cui è possibile visualizzare, analizzare e comunicare visivamente i risultati usando un diagramma interattivo del grafo di entità e una sequenza temporale.

In alternativa, è possibile visualizzare i dati con segnalibro direttamente nella tabella HuntingBookmark nell'area di lavoro Log Analytics. Ad esempio:

Screenshot della visualizzazione della tabella dei segnalibri di ricerca.

La visualizzazione di segnalibri dalla tabella consente di filtrare, riepilogare e unire dati con segnalibri con altre origini dati, semplificando la ricerca di prove corroboranti.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud degli Stati Uniti per enti pubblici, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti.

Importante

Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Aggiungere un segnalibro

Creare un segnalibro per mantenere le query, i risultati, le osservazioni e i risultati.

  1. Per Microsoft Sentinel nel portale di Azure, in Gestione delle minacce selezionare Ricerca.
    Per Microsoft Sentinel nel portale di Defender selezionare Ricerca di gestione>delle minacce di Microsoft Sentinel.>

  2. Selezionare una delle query di ricerca.

  3. Nei dettagli della query di ricerca selezionare Esegui query.

  4. Selezionare Visualizza risultati query. Ad esempio:

    Screenshot della visualizzazione dei risultati delle query dalla ricerca di Microsoft Sentinel.

    Questa azione apre i risultati della query nel riquadro Log .

  5. Nell'elenco dei risultati delle query di log usare le caselle di controllo per selezionare una o più righe contenenti le informazioni interessanti.

  6. Selezionare Aggiungi segnalibro:

    Screenshot dell'aggiunta del segnalibro di ricerca alla query.

  7. A destra, nel riquadro Aggiungi segnalibro, facoltativamente, aggiornare il nome del segnalibro , aggiungere tag e note per identificare ciò che era interessante per l'elemento.

  8. I segnalibri possono essere mappati facoltativamente alle tecniche MITRE ATT&CK o alle tecniche secondarie. I mapping MITRE ATT&CK vengono ereditati dai valori mappati nelle query di ricerca, ma è anche possibile crearli manualmente. Selezionare la tattica MITRE ATT&CK associata alla tecnica desiderata dal menu a discesa nella sezione Tattiche e tecniche del riquadro Aggiungi segnalibro . Il menu si espande per visualizzare tutte le tecniche MITRE ATT&CK ed è possibile selezionare più tecniche e tecniche secondarie in questo menu.

    Screenshot di come eseguire il mapping di tattiche e tecniche mitre attack ai segnalibri.

  9. È ora possibile estrarre un set espanso di entità dai risultati delle query con segnalibro per ulteriori indagini. Nella sezione Mapping entità usare gli elenchi a discesa per selezionare i tipi di entità e gli identificatori. Eseguire quindi il mapping della colonna nei risultati della query contenente l'identificatore corrispondente. Ad esempio:

    Screenshot per eseguire il mapping dei tipi di entità per la ricerca di segnalibri.

    Per visualizzare il segnalibro nel grafico di indagine, è necessario eseguire il mapping di almeno un'entità. I mapping di entità ai tipi di entità account, host, IP e URL creati sono supportati, mantenendo la compatibilità con le versioni precedenti.

  10. Selezionare Salva per eseguire il commit delle modifiche e aggiungere il segnalibro. Tutti i dati con segnalibro vengono condivisi con altri analisti ed è un primo passo verso un'esperienza di indagine collaborativa.

I risultati della query di log supportano i segnalibri ogni volta che questo riquadro viene aperto da Microsoft Sentinel. Ad esempio, selezionare Log generali>dalla barra di spostamento, selezionare i collegamenti agli eventi nel grafico delle indagini o selezionare un ID avviso nei dettagli completi di un evento imprevisto. Non è possibile creare segnalibri quando il riquadro Log viene aperto da altre posizioni, ad esempio direttamente da Monitoraggio di Azure.

Visualizzare e aggiornare i segnalibri

Trovare e aggiornare un segnalibro dalla scheda segnalibro.

  1. Per Microsoft Sentinel nel portale di Azure, in Gestione delle minacce selezionare Ricerca.
    Per Microsoft Sentinel nel portale di Defender selezionare Ricerca di gestione>delle minacce di Microsoft Sentinel.>

  2. Selezionare la scheda Segnalibri per visualizzare l'elenco dei segnalibri.

  3. Cercare o filtrare per trovare un segnalibro o un segnalibro specifico.

  4. Selezionare singoli segnalibri per visualizzare i dettagli del segnalibro nel riquadro di destra.

  5. Apportare le modifiche in base alle esigenze. Le modifiche vengono salvate automaticamente.

Esplorazione dei segnalibri nel grafico di indagine

Visualizzare i dati con segnalibri avviando l'esperienza di indagine in cui è possibile visualizzare, analizzare e comunicare visivamente i risultati usando un diagramma interattivo di entità e una sequenza temporale.

  1. Nella scheda Segnalibri selezionare il segnalibro o i segnalibri da analizzare.

  2. Nei dettagli del segnalibro verificare che sia mappata almeno un'entità.

  3. Selezionare Ricerca per visualizzare il segnalibro nel grafico dell'indagine.

Per istruzioni sull'uso del grafico di indagine, vedere Usare il grafico di indagine per approfondire l'analisi.

Aggiungere segnalibri a un evento imprevisto nuovo o esistente

Aggiungere segnalibri a un evento imprevisto dalla scheda segnalibri nella pagina Ricerca .

  1. Nella scheda Segnalibri selezionare il segnalibro o i segnalibri da aggiungere a un evento imprevisto.

  2. Selezionare Azioni evento imprevisto dalla barra dei comandi:

    Screenshot dell'aggiunta di segnalibri a eventi imprevisti.

  3. Selezionare Crea nuovo evento imprevisto o Aggiungi a un evento imprevisto esistente, in base alle esigenze. Quindi:

    • Per un nuovo evento imprevisto: facoltativamente aggiornare i dettagli per l'evento imprevisto e quindi selezionare Crea.
    • Per aggiungere un segnalibro a un evento imprevisto esistente: selezionare un evento imprevisto e quindi selezionare Aggiungi.

In alternativa all'opzione Azioni evento imprevisto sulla barra dei comandi, è possibile usare il menu di scelta rapida (...) per uno o più segnalibri per selezionare le opzioni Crea nuovo evento imprevisto, Aggiungi a evento imprevisto esistente e Rimuovi dall'evento imprevisto.

Per visualizzare il segnalibro all'interno dell'evento imprevisto: passare a Eventi imprevisti di gestione>delle minacce di Microsoft Sentinel>e selezionare l'evento imprevisto con il segnalibro. Selezionare Visualizza dettagli completi e quindi selezionare la scheda Segnalibri .

Visualizzare i dati con segnalibro nei log

Visualizzare query, risultati o cronologia con segnalibri.

  1. Selezionare il segnalibro nella scheda Segnalibri di ricerca>.

  2. Selezionare i collegamenti forniti nel riquadro dei dettagli:

    • Visualizzare la query di origine per visualizzare la query di origine nel riquadro Log .

    • Visualizzare i log dei segnalibri per visualizzare tutti i metadati dei segnalibri, inclusi chi ha eseguito l'aggiornamento, i valori aggiornati e l'ora in cui si è verificato l'aggiornamento.

  3. Visualizzare i dati dei segnalibri non elaborati per tutti i segnalibri selezionando Segnalibri dalla barra dei comandi nella scheda Segnalibri di ricerca>:

    Screenshot del comando dei log dei segnalibri.

Questa visualizzazione mostra tutti i segnalibri con i metadati associati. È possibile usare le query Linguaggio di query Kusto (KQL) per filtrare in base alla versione più recente del segnalibro specifico che si sta cercando.

Può verificarsi un ritardo significativo (misurato in minuti) tra il momento in cui si crea un segnalibro e quando viene visualizzato nella scheda Segnalibri .

Eliminare un segnalibro

L'eliminazione del segnalibro rimuove il segnalibro dall'elenco nella scheda Segnalibro . La tabella HuntingBookmark per l'area di lavoro Log Analytics continua a contenere voci di segnalibro precedenti, ma la voce più recente modifica il valore SoftDelete su true, rendendo più semplice filtrare i vecchi segnalibri. L'eliminazione di un segnalibro non rimuove alcuna entità dall'esperienza di indagine associata ad altri segnalibri o avvisi.

Per eliminare un segnalibro, completare la procedura seguente.

  1. Nella scheda Segnalibri di ricerca>selezionare il segnalibro o i segnalibri da eliminare.

  2. Fare clic con il pulsante destro del mouse e selezionare l'opzione per eliminare i segnalibri selezionati.

Contenuto correlato

In questo articolo si è appreso come eseguire un'indagine sulla ricerca usando segnalibri in Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti: