Condividi tramite


Tenere traccia dei dati durante la ricerca con Microsoft Sentinel

La ricerca di segnalibri in Microsoft Sentinel consente di mantenere le query e i risultati delle query ritenuti rilevanti. È anche possibile registrare le osservazioni contestuali e informazioni di riferimento sui risultati aggiungendo note e tag. I dati con segnalibro sono visibili per l'utente che li aggiunge e i colleghi per facilitare la collaborazione. Per altre informazioni, vedere Segnalibri.

Importante

Microsoft Sentinel è disponibile come parte della piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Microsoft Sentinel nel portale di Defender è ora supportato per l'uso in produzione. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Aggiungere un segnalibro

Creare un segnalibro per mantenere le query, i risultati, le osservazioni e i risultati.

  1. Per Microsoft Sentinel nel portale di Azure, in Gestione delle minacce selezionare Ricerca.
    Per Microsoft Sentinel nel portale di Defender selezionare Ricerca di gestione>delle minacce di Microsoft Sentinel.>

  2. Nella scheda Ricerca selezionare una caccia.

  3. Selezionare una delle query di ricerca.

  4. Nei dettagli della query di ricerca selezionare Esegui query.

  5. Selezionare Visualizza risultati query. Ad esempio:

    Screenshot della visualizzazione dei risultati delle query dalla ricerca di Microsoft Sentinel.

    Questa azione apre i risultati della query nel riquadro Log .

  6. Nell'elenco dei risultati delle query di log usare le caselle di controllo per selezionare una o più righe contenenti le informazioni interessanti.

  7. Selezionare Aggiungi segnalibro:

    Screenshot dell'aggiunta del segnalibro di ricerca alla query.

  8. A destra, nel riquadro Aggiungi segnalibro, facoltativamente, aggiornare il nome del segnalibro , aggiungere tag e note per identificare ciò che era interessante per l'elemento.

  9. I segnalibri possono essere mappati facoltativamente alle tecniche MITRE ATT&CK o alle tecniche secondarie. I mapping MITRE ATT&CK vengono ereditati dai valori mappati nelle query di ricerca, ma è anche possibile crearli manualmente. Selezionare la tattica MITRE ATT&CK associata alla tecnica desiderata dal menu a discesa nella sezione Tattiche e tecniche del riquadro Aggiungi segnalibro . Il menu si espande per visualizzare tutte le tecniche MITRE ATT&CK ed è possibile selezionare più tecniche e tecniche secondarie in questo menu.

    Screenshot di come eseguire il mapping di tattiche e tecniche mitre attack ai segnalibri.

  10. È ora possibile estrarre un set espanso di entità dai risultati delle query con segnalibro per ulteriori indagini. Nella sezione Mapping entità usare gli elenchi a discesa per selezionare i tipi di entità e gli identificatori. Eseguire quindi il mapping della colonna nei risultati della query contenente l'identificatore corrispondente. Ad esempio:

    Screenshot per eseguire il mapping dei tipi di entità per la ricerca di segnalibri.

    Per visualizzare il segnalibro nel grafico di indagine, è necessario eseguire il mapping di almeno un'entità. I mapping di entità ai tipi di entità account, host, IP e URL creati sono supportati, mantenendo la compatibilità con le versioni precedenti.

  11. Selezionare Salva per eseguire il commit delle modifiche e aggiungere il segnalibro. Tutti i dati con segnalibro vengono condivisi con altri analisti ed è un primo passo verso un'esperienza di indagine collaborativa.

I risultati della query di log supportano i segnalibri ogni volta che questo riquadro viene aperto da Microsoft Sentinel. Ad esempio, selezionare Log generali>dalla barra di spostamento, selezionare i collegamenti agli eventi nel grafico delle indagini o selezionare un ID avviso nei dettagli completi di un evento imprevisto. Non è possibile creare segnalibri quando il riquadro Log viene aperto da altre posizioni, ad esempio direttamente da Monitoraggio di Azure.

Visualizzare e aggiornare i segnalibri

Trovare e aggiornare un segnalibro dalla scheda segnalibro.

  1. Per Microsoft Sentinel nel portale di Azure, in Gestione delle minacce selezionare Ricerca.
    Per Microsoft Sentinel nel portale di Defender selezionare Ricerca di gestione>delle minacce di Microsoft Sentinel.>

  2. Selezionare la scheda Segnalibri per visualizzare l'elenco dei segnalibri.

  3. Cercare o filtrare per trovare un segnalibro o un segnalibro specifico.

  4. Selezionare singoli segnalibri per visualizzare i dettagli del segnalibro nel riquadro di destra.

  5. Apportare le modifiche in base alle esigenze. Le modifiche vengono salvate automaticamente.

Esplorazione dei segnalibri nel grafico di indagine

Visualizzare i dati con segnalibri avviando l'esperienza di indagine in cui è possibile visualizzare, analizzare e comunicare visivamente i risultati usando un diagramma interattivo di entità e una sequenza temporale.

  1. Nella scheda Segnalibri selezionare il segnalibro o i segnalibri da analizzare.

  2. Nei dettagli del segnalibro verificare che sia mappata almeno un'entità.

  3. Selezionare Ricerca per visualizzare il segnalibro nel grafico dell'indagine.

Per istruzioni sull'uso del grafico di indagine, vedere Usare il grafico di indagine per approfondire l'analisi.

Aggiungere segnalibri a un evento imprevisto nuovo o esistente

Aggiungere segnalibri a un evento imprevisto dalla scheda segnalibri nella pagina Ricerca .

  1. Nella scheda Segnalibri selezionare il segnalibro o i segnalibri da aggiungere a un evento imprevisto.

  2. Selezionare Azioni evento imprevisto dalla barra dei comandi:

    Screenshot dell'aggiunta di segnalibri a eventi imprevisti.

  3. Selezionare Crea nuovo evento imprevisto o Aggiungi a un evento imprevisto esistente, in base alle esigenze. Quindi:

    • Per un nuovo evento imprevisto: facoltativamente aggiornare i dettagli per l'evento imprevisto e quindi selezionare Crea.
    • Per aggiungere un segnalibro a un evento imprevisto esistente: selezionare un evento imprevisto e quindi selezionare Aggiungi.
  4. Per visualizzare il segnalibro all'interno dell'evento imprevisto,

    1. Passare a Eventi imprevisti di gestione delle minacce>di Microsoft Sentinel>.
    2. Selezionare l'evento imprevisto con il segnalibro e Visualizzare i dettagli completi.
    3. Nel riquadro sinistro della pagina evento imprevisto selezionare Segnalibri.

Visualizzare i dati con segnalibro nei log

Visualizzare query, risultati o cronologia con segnalibri.

  1. Nella scheda Cerca>segnalibri selezionare il segnalibro.

  2. Nel riquadro dei dettagli selezionare i collegamenti seguenti:

    • Visualizzare la query di origine per visualizzare la query di origine nel riquadro Log .

    • Visualizzare i log dei segnalibri per visualizzare tutti i metadati dei segnalibri, inclusi chi ha eseguito l'aggiornamento, i valori aggiornati e l'ora in cui si è verificato l'aggiornamento.

  3. Nella barra dei comandi della scheda Segnalibri di ricerca>selezionare Segnalibri per visualizzare i dati non elaborati dei segnalibri per tutti i segnalibri.

    Screenshot del comando dei log dei segnalibri.

Questa visualizzazione mostra tutti i segnalibri con i metadati associati. È possibile usare Linguaggio di query Kusto query (KQL) per filtrare in base alla versione più recente del segnalibro specifico che si sta cercando.

Può verificarsi un ritardo significativo (misurato in minuti) tra il momento in cui si crea un segnalibro e quando viene visualizzato nella scheda Segnalibri .

Eliminare un segnalibro

L'eliminazione del segnalibro rimuove il segnalibro dall'elenco nella scheda Segnalibro . La tabella HuntingBookmark per l'area di lavoro Log Analytics continua a contenere voci di segnalibro precedenti, ma la voce più recente modifica il valore SoftDelete su true, rendendo più semplice filtrare i vecchi segnalibri. L'eliminazione di un segnalibro non rimuove alcuna entità dall'esperienza di indagine associata ad altri segnalibri o avvisi.

Per eliminare un segnalibro, completare la procedura seguente.

  1. Nella scheda Segnalibri di ricerca>selezionare il segnalibro o i segnalibri da eliminare.

  2. Fare clic con il pulsante destro del mouse e selezionare l'opzione per eliminare i segnalibri selezionati.

In questo articolo si è appreso come eseguire un'indagine sulla ricerca usando segnalibri in Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti: