Gegevens bijhouden tijdens het opsporen met Microsoft Sentinel

Het opsporen van bedreigingen vereist doorgaans het controleren van bergen logboekgegevens op zoek naar bewijs van schadelijk gedrag. Tijdens dit proces vinden onderzoekers gebeurtenissen die ze willen onthouden, opnieuw bekijken en analyseren als onderdeel van het valideren van mogelijke hypothesen en het begrijpen van het volledige verhaal van een compromis.

Opsporingsbladwijzers in Microsoft Sentinel helpen u hierbij door de query's die u hebt uitgevoerd in Microsoft Sentinel - Logboeken te behouden, samen met de queryresultaten die u relevant acht. U kunt ook uw contextuele waarnemingen vastleggen en naar uw bevindingen verwijzen door notities en tags toe te voegen. De van bladwijzers voorziene gegevens zijn zichtbaar voor u en uw teamleden waardoor samenwerking eenvoudig is.

U kunt nu hiaten in de mitre ATT&CK-techniekdekking identificeren en verhelpen voor alle opsporingsquery's door uw aangepaste opsporingsquery's toe te wijzen aan MITRE ATT&CK-technieken.

U kunt ook meer typen entiteiten onderzoeken tijdens het opsporen met bladwijzers, door de volledige set entiteitstypen en id's die worden ondersteund door Microsoft Sentinel Analytics toe te voegen aan uw aangepaste query's. Hierdoor kunt u bladwijzers gebruiken om de entiteiten te verkennen die worden geretourneerd in opsporingsqueryresultaten met behulp van entiteitspagina's, incidenten en de onderzoeksgrafiek. Als een bladwijzer resultaten van een opsporingsquery vastlegt, neemt deze automatisch de MITRE ATT&CK-techniek en entiteitstoewijzingen van de query over.

Als u iets vindt dat dringend moet worden opgelost tijdens het opsporen in uw logboeken, kunt u eenvoudig een bladwijzer maken en deze promoveren tot een incident of toevoegen aan een bestaand incident. Zie Incidenten onderzoeken met Microsoft Sentinel voor meer informatie over incidenten.

Als u iets hebt gevonden dat het waard is om bladwijzers te maken, maar dat niet onmiddellijk urgent is, kunt u een bladwijzer maken en vervolgens op elk gewenst moment de gegevens van uw bladwijzers bekijken op het tabblad Bladwijzers van het deelvenster Opsporing . U kunt filter- en zoekopties gebruiken om snel specifieke gegevens te vinden voor uw huidige onderzoek.

U kunt uw gegevens met bladwijzers visualiseren door Onderzoeken te selecteren in de details van de bladwijzer. Hiermee wordt de onderzoekservaring gestart waarin u uw bevindingen kunt bekijken, onderzoeken en visueel kunt communiceren met behulp van een interactief entiteitsgrafiekdiagram en een tijdlijn.

U kunt uw gegevens met bladwijzers ook rechtstreeks weergeven in de tabel HuntingBookmark in uw Log Analytics-werkruimte. Bijvoorbeeld:

Schermopname van het weergeven van de tabel met opsporingsbladwijzers.

Als u bladwijzers uit de tabel bekijkt, kunt u gegevens met bladwijzers filteren, samenvatten en samenvoegen met andere gegevensbronnen, zodat u eenvoudig kunt zoeken naar bevestigend bewijsmateriaal.

Notitie

Zie de Microsoft Sentinel-tabellen in Beschikbaarheid van Cloudfuncties voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in clouds van de Amerikaanse overheid.

Een bladwijzer toevoegen

  1. Navigeer in de Azure Portal naar Microsoft Sentinel>Threat management>Opsporing om query's uit te voeren voor verdacht en afwijkend gedrag.

  2. Selecteer een van de opsporingsquery's en selecteer aan de rechterkant in de details van de opsporingsquery de optie Query uitvoeren.

  3. Selecteer Queryresultaten weergeven. Bijvoorbeeld:

    Schermopname van het weergeven van queryresultaten van Microsoft Sentinel-opsporing.

    Met deze actie worden de queryresultaten geopend in het deelvenster Logboeken .

  4. Gebruik in de lijst met resultaten van logboekquery's de selectievakjes om een of meer rijen te selecteren die de informatie bevatten die u interessant vindt.

  5. Selecteer Bladwijzer toevoegen:

    Schermopname van het toevoegen van een opsporingsbladwijzer aan een query.

  6. Aan de rechterkant, in het deelvenster Bladwijzer toevoegen , werkt u desgewenst de naam van de bladwijzer bij, voegt u tags en notities toe om te bepalen wat interessant was aan het item.

  7. Bladwijzers kunnen desgewenst worden toegewezen aan MITRE ATT&CK-technieken of subtechnieken. MITRE ATT&CK-toewijzingen worden overgenomen van toegewezen waarden in opsporingsquery's, maar u kunt ze ook handmatig maken. Selecteer de MITRE ATT&CK-tactiek die is gekoppeld aan de gewenste techniek in de vervolgkeuzelijst in de sectie Tactiektechnieken & van het deelvenster Bladwijzer toevoegen. Het menu wordt uitgebreid met alle MITRE ATT&CK-technieken en u kunt meerdere technieken en subtechnieken selecteren in dit menu.

    Schermopname van het toewijzen van Mitre Attack-tactieken en -technieken aan bladwijzers.

  8. Nu kan een uitgebreide set entiteiten worden geëxtraheerd uit queryresultaten met bladwijzers voor verder onderzoek. Gebruik in de sectie Entiteitstoewijzing de vervolgkeuzelijsten om entiteitstypen en id's te selecteren. Wijs vervolgens de kolom toe in de queryresultaten met de bijbehorende id. Bijvoorbeeld:

    Schermopname van het toewijzen van entiteitstypen voor opsporingsbladwijzers.

    Als u de bladwijzer in de onderzoeksgrafiek wilt weergeven, moet u ten minste één entiteit toewijzen. Entiteitstoewijzingen aan account-, host-, IP- en URL-entiteitstypen die u eerder hebt gemaakt, worden ondersteund, waardoor compatibiliteit met eerdere versies behouden blijft.

  9. Klik op Opslaan om uw wijzigingen door te voeren en de bladwijzer toe te voegen. Alle gegevens met bladwijzers worden gedeeld met andere analisten en zijn een eerste stap in de richting van een gezamenlijke onderzoekservaring.

Notitie

De logboekqueryresultaten ondersteunen bladwijzers wanneer dit deelvenster wordt geopend vanuit Microsoft Sentinel. U selecteert bijvoorbeeld Algemene>logboeken in de navigatiebalk, selecteert gebeurteniskoppelingen in de onderzoeksgrafiek of selecteert een waarschuwings-id uit de volledige details van een incident. U kunt geen bladwijzers maken wanneer het deelvenster Logboeken wordt geopend vanaf andere locaties, zoals rechtstreeks vanuit Azure Monitor.

Bladwijzers weergeven en bijwerken

  1. Ga in de Azure Portal naar Microsoft Sentinel>Threat management>Opsporing.

  2. Selecteer het tabblad Bladwijzers om de lijst met bladwijzers weer te geven.

  3. Als u een specifieke bladwijzer wilt vinden, gebruikt u het zoekvak of de filteropties.

  4. Selecteer afzonderlijke bladwijzers en bekijk de details van de bladwijzer in het detailvenster aan de rechterkant.

  5. Breng de gewenste wijzigingen aan, die automatisch worden opgeslagen.

Bladwijzers verkennen in de onderzoeksgrafiek

  1. Ga in de Azure Portal naar het tabblad Microsoft Sentinel>Threat management>Opsporing>bladwijzers en selecteer de bladwijzers die u wilt onderzoeken.

  2. Zorg ervoor dat in de bladwijzerdetails ten minste één entiteit is toegewezen.

  3. Selecteer Onderzoeken om de bladwijzer weer te geven in de onderzoeksgrafiek.

Zie De onderzoeksgrafiek gebruiken om dieper in te gaan op instructies voor het gebruik van de onderzoeksgrafiek.

Bladwijzers toevoegen aan een nieuw of bestaand incident

  1. Ga in de Azure Portal naar het tabbladOpsporingsbladwijzers> van Microsoft Sentinel>Bedreigingsbeheer> en selecteer de bladwijzers die u aan een incident wilt toevoegen.

  2. Selecteer Incidentacties in de opdrachtbalk:

    Schermopname van het toevoegen van bladwijzers aan het incident.

  3. Selecteer Nieuw incident maken of Toevoegen aan bestaand incident, indien van toepassing. Daarna kunt u het volgende doen:

    • Voor een nieuw incident: werk eventueel de details voor het incident bij en selecteer vervolgens Maken.
    • Voor het toevoegen van een bladwijzer aan een bestaand incident: selecteer één incident en selecteer vervolgens Toevoegen.

De bladwijzer in het incident weergeven: Ga naar Microsoft Sentinel>Threat Management>Incidents en selecteer het incident met uw bladwijzer. Selecteer Volledige details weergeven en selecteer vervolgens het tabblad Bladwijzers .

Tip

Als alternatief voor de optie Incidentacties op de opdrachtbalk kunt u het contextmenu (...) voor een of meer bladwijzers gebruiken om opties te selecteren voor Nieuw incident maken, Toevoegen aan bestaand incident en Verwijderen uit incident.

Gegevens met bladwijzers weergeven in logboeken

Als u query's met bladwijzers, resultaten of hun geschiedenis wilt weergeven, selecteert u de bladwijzer op het tabbladOpsporingsbladwijzers> en gebruikt u de koppelingen in het detailvenster:

  • Bekijk de bronquery om de bronquery weer te geven in het deelvenster Logboeken .

  • Bekijk bladwijzerlogboeken om alle metagegevens van bladwijzers te zien, waaronder wie de update heeft uitgevoerd, de bijgewerkte waarden en het tijdstip waarop de update heeft plaatsgevonden.

U kunt ook de onbewerkte bladwijzergegevens voor alle bladwijzers weergeven door Bladwijzerlogboeken te selecteren in de opdrachtbalk op het tabbladOpsporingsbladwijzers>:

Schermopname van de opdracht bladwijzerlogboeken.

In deze weergave worden al uw bladwijzers met gekoppelde metagegevens weergegeven. U kunt Kusto-querytaal -query's (KQL) gebruiken om te filteren op de meest recente versie van de specifieke bladwijzer die u zoekt.

Notitie

Er kan een aanzienlijke vertraging (gemeten in minuten) zijn tussen het moment waarop u een bladwijzer maakt en wanneer deze wordt weergegeven op het tabblad Bladwijzers .

Een bladwijzer verwijderen

  1. Ga in de Azure Portal naar het tabbladOpsporingsbladwijzers> van Microsoft Sentinel>Threat management> en selecteer de bladwijzers die u wilt verwijderen.

  2. Klik met de rechtermuisknop op uw selecties en selecteer de optie om het aantal bladwijzers dat u hebt geselecteerd te verwijderen.

Als u de bladwijzer verwijdert, wordt de bladwijzer verwijderd uit de lijst op het tabblad Bladwijzer . De tabel HuntingBookmark voor uw Log Analytics-werkruimte blijft eerdere bladwijzervermeldingen bevatten, maar met de meest recente vermelding wordt de waarde SoftDelete gewijzigd in true, waardoor u eenvoudig oude bladwijzers kunt filteren. Als u een bladwijzer verwijdert, worden er geen entiteiten uit de onderzoekservaring verwijderd die zijn gekoppeld aan andere bladwijzers of waarschuwingen.

Volgende stappen

In dit artikel hebt u geleerd hoe u een opsporingsonderzoek uitvoert met behulp van bladwijzers in Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel: