Gegevens bijhouden tijdens het opsporen met Microsoft Sentinel

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Het opsporen van bedreigingen vereist doorgaans het controleren van bergen logboekgegevens op zoek naar bewijs van schadelijk gedrag. Tijdens dit proces vinden onderzoekers gebeurtenissen die ze willen onthouden, opnieuw willen bezoeken en analyseren als onderdeel van het valideren van potentiële hypothesen en het begrijpen van het volledige verhaal van een compromis.

Het opsporen van bladwijzers in Microsoft Sentinel helpt u door de query's te behouden die u hebt uitgevoerd in Microsoft Sentinel - Logboeken, samen met de queryresultaten die u relevant acht. U kunt ook uw contextuele waarnemingen vastleggen en naar uw bevindingen verwijzen door notities en tags toe te voegen. De van bladwijzers voorziene gegevens zijn zichtbaar voor u en uw teamleden waardoor samenwerking eenvoudig is.

U kunt nu hiaten in miTRE ATT&CK-technieken identificeren en aanpakken, in alle opsporingsquery's, door uw aangepaste opsporingsquery's toe te wijzen aan MITRE ATT&CK-technieken.

Onderzoek meer typen entiteiten tijdens het opsporen met bladwijzers door de volledige set entiteitstypen en id's die worden ondersteund door Microsoft Sentinel Analytics toe te voegen in uw aangepaste query's. Gebruik bladwijzers om de entiteiten te verkennen die worden geretourneerd in opsporingsqueryresultaten met behulp van entiteitspagina's, incidenten en de onderzoeksgrafiek. Als een bladwijzer resultaten van een opsporingsquery vastlegt, neemt deze automatisch de MITRE ATT&CK-techniek en entiteitstoewijzingen van de query over.

Als u iets vindt dat dringend moet worden aangepakt tijdens het opsporen in uw logboeken, kunt u eenvoudig een bladwijzer maken en deze promoveren naar een incident of toevoegen aan een bestaand incident. Zie Incidenten onderzoeken met Microsoft Sentinel voor meer informatie over incidenten.

Als u iets hebt gevonden dat bladwijzers waard is, maar dat niet onmiddellijk urgent is, kunt u een bladwijzer maken en vervolgens uw bladwijzergegevens op elk gewenst moment opnieuw bekijken op het tabblad Bladwijzers van het deelvenster Opsporing . U kunt filter- en zoekopties gebruiken om snel specifieke gegevens te vinden voor uw huidige onderzoek.

U kunt uw gegevens met bladwijzers visualiseren door Onderzoeken te selecteren in de details van de bladwijzer. Hiermee wordt de onderzoekservaring gestart waarin u uw bevindingen kunt bekijken, onderzoeken en visueel kunt doorgeven met behulp van een interactief diagram en een tijdlijn voor entiteiten.

U kunt uw bladwijzergegevens ook rechtstreeks in de tabel HuntingBookmark in uw Log Analytics-werkruimte bekijken. Voorbeeld:

Schermopname van het weergeven van de tabel met opsporingsbladwijzers.

Door bladwijzers uit de tabel te bekijken, kunt u bladwijzers filteren, samenvatten en samenvoegen met andere gegevensbronnen, zodat u eenvoudig kunt zoeken naar bewijsmateriaal.

Notitie

Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.

Belangrijk

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Een bladwijzer toevoegen

Maak een bladwijzer om de query's, resultaten, uw waarnemingen en bevindingen te behouden.

  1. Voor Microsoft Sentinel in Azure Portal selecteert u Opsporing onder Bedreigingsbeheer.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Threat Management>Hunting.

  2. Selecteer een van de opsporingsquery's.

  3. Selecteer Query uitvoeren in de details van de opsporingsquery.

  4. Selecteer Queryresultaten weergeven. Voorbeeld:

    Schermopname van het weergeven van queryresultaten van Microsoft Sentinel-opsporing.

    Met deze actie worden de queryresultaten geopend in het deelvenster Logboeken .

  5. Gebruik de selectievakjes in de lijst met logboekqueryresultaten om een of meer rijen te selecteren die de informatie bevatten die u interessant vindt.

  6. Selecteer Bladwijzer toevoegen:

    Schermopname van het toevoegen van een opsporingsbladwijzer aan een query.

  7. Werk aan de rechterkant in het deelvenster Bladwijzer toevoegen desgewenst de naam van de bladwijzer bij, voeg tags en notities toe om te bepalen wat er interessant was aan het item.

  8. Bladwijzers kunnen eventueel worden toegewezen aan MITRE ATT&CK-technieken of subtechnieken. MITRE ATT&CK-toewijzingen worden overgenomen van toegewezen waarden in opsporingsquery's, maar u kunt ze ook handmatig maken. Selecteer de MITRE ATT&CK-tactiek die is gekoppeld aan de gewenste techniek in de vervolgkeuzelijst in de sectie Tactieken en technieken van het deelvenster Bladwijzer toevoegen. Het menu wordt uitgevouwen om alle MITRE ATT&CK-technieken weer te geven en u kunt in dit menu meerdere technieken en subtechnieken selecteren.

    Schermopname van het toewijzen van Mitre Attack-tactieken en -technieken aan bladwijzers.

  9. Een uitgebreide set entiteiten kan nu worden geëxtraheerd uit queryresultaten met bladwijzers voor verder onderzoek. Gebruik in de sectie Entiteitstoewijzing de vervolgkeuzelijsten om entiteitstypen en id's te selecteren. Wijs vervolgens de kolom toe in de queryresultaten met de bijbehorende id. Voorbeeld:

    Schermopname van het toewijzen van entiteitstypen voor het opsporen van bladwijzers.

    Als u de bladwijzer in de onderzoeksgrafiek wilt weergeven, moet u ten minste één entiteit toewijzen. Entiteitstoewijzingen aan account-, host-, IP- en URL-entiteitstypen die u hebt gemaakt, worden ondersteund, met behoud van compatibiliteit met eerdere versies.

  10. Selecteer Opslaan om uw wijzigingen door te voeren en voeg de bladwijzer toe. Alle gegevens met bladwijzers worden gedeeld met andere analisten en zijn een eerste stap in de richting van een samenwerkingsonderzoek.

De resultaten van de logboekquery ondersteunen bladwijzers wanneer dit deelvenster wordt geopend vanuit Microsoft Sentinel. U selecteert bijvoorbeeld Algemene>logboeken in de navigatiebalk, selecteer gebeurteniskoppelingen in de onderzoeksgrafiek of selecteer een waarschuwings-id in de volledige details van een incident. U kunt geen bladwijzers maken wanneer het deelvenster Logboeken wordt geopend vanaf andere locaties, zoals rechtstreeks vanuit Azure Monitor.

Bladwijzers weergeven en bijwerken

Een bladwijzer zoeken en bijwerken vanaf het tabblad Bladwijzer.

  1. Voor Microsoft Sentinel in Azure Portal selecteert u Opsporing onder Bedreigingsbeheer.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Threat Management>Hunting.

  2. Selecteer het tabblad Bladwijzers om de lijst met bladwijzers weer te geven.

  3. Een specifieke bladwijzer of bladwijzer zoeken of filteren.

  4. Selecteer afzonderlijke bladwijzers om de details van de bladwijzer in het rechterdeelvenster weer te geven.

  5. Breng uw wijzigingen indien nodig aan. Uw wijzigingen worden automatisch opgeslagen.

Bladwijzers verkennen in de onderzoeksgrafiek

Visualiseer uw gegevens met bladwijzers door de onderzoekservaring te starten waarin u uw bevindingen kunt bekijken, onderzoeken en visueel kunt overbrengen met behulp van een interactief diagram voor entiteiten en tijdlijnen.

  1. Selecteer op het tabblad Bladwijzers de bladwijzer of bladwijzers die u wilt onderzoeken.

  2. Zorg ervoor dat in de details van de bladwijzer ten minste één entiteit is toegewezen.

  3. Selecteer Onderzoeken om de bladwijzer in de onderzoeksgrafiek weer te geven.

Zie De onderzoeksgrafiek gebruiken voor gedetailleerde informatie over het gebruik van de onderzoeksgrafiek.

Bladwijzers toevoegen aan een nieuw of bestaand incident

Voeg bladwijzers toe aan een incident vanaf het tabblad Bladwijzers op de pagina Opsporing .

  1. Selecteer op het tabblad Bladwijzers de bladwijzer of bladwijzers die u aan een incident wilt toevoegen.

  2. Selecteer Incidentacties op de opdrachtbalk:

    Schermopname van het toevoegen van bladwijzers aan incident.

  3. Selecteer Een nieuw incident maken of toevoegen aan bestaand incident, indien van toepassing. Daarna kunt u het volgende doen:

    • Voor een nieuw incident: Werk desgewenst de details voor het incident bij en selecteer Vervolgens Maken.
    • Als u een bladwijzer wilt toevoegen aan een bestaand incident: selecteer één incident en selecteer vervolgens Toevoegen.

Als alternatief voor de optie Incidentacties op de opdrachtbalk kunt u het contextmenu (...) voor een of meer bladwijzers gebruiken om opties te selecteren voor het maken van een nieuw incident, toevoegen aan bestaand incident en Verwijderen uit incident.

Ga naar Microsoft Sentinel>Threat Management-incidenten> en selecteer het incident met uw bladwijzer om de bladwijzer in het incident weer te geven. Selecteer Volledige details weergeven en selecteer vervolgens het tabblad Bladwijzers .

Bladwijzergegevens weergeven in logboeken

Bekijk query's, resultaten of hun geschiedenis met bladwijzers.

  1. Selecteer de bladwijzer op het tabblad Opsporingsbladwijzers>.

  2. Selecteer de koppelingen in het detailvenster:

    • Bekijk de bronquery om de bronquery weer te geven in het deelvenster Logboeken .

    • Bekijk bladwijzerlogboeken om alle metagegevens van bladwijzers weer te geven, waaronder wie de update heeft uitgevoerd, de bijgewerkte waarden en de tijd waarop de update heeft plaatsgevonden.

  3. Bekijk de onbewerkte bladwijzergegevens voor alle bladwijzers door bladwijzerlogboeken te selecteren op de opdrachtbalk op het tabblad Opsporingsbladwijzers>:

    Schermopname van de opdracht bladwijzerlogboeken.

In deze weergave worden al uw bladwijzers met gekoppelde metagegevens weergegeven. U kunt Kusto-querytaal (KQL)-query's gebruiken om te filteren op de nieuwste versie van de specifieke bladwijzer die u zoekt.

Er kan een aanzienlijke vertraging optreden (gemeten in minuten) tussen de tijd dat u een bladwijzer maakt en wanneer deze wordt weergegeven op het tabblad Bladwijzers .

Een bladwijzer verwijderen

Als u de bladwijzer verwijdert, wordt de bladwijzer verwijderd uit de lijst op het tabblad Bladwijzer . De HuntingBookmark-tabel voor uw Log Analytics-werkruimte bevat nog steeds eerdere bladwijzervermeldingen, maar de laatste vermelding wijzigt de softDelete-waarde in waar, zodat u eenvoudig oude bladwijzers kunt filteren. Als u een bladwijzer verwijdert, worden er geen entiteiten verwijderd uit de onderzoekservaring die zijn gekoppeld aan andere bladwijzers of waarschuwingen.

Voer de volgende stappen uit om een bladwijzer te verwijderen.

  1. Selecteer op het tabblad Opsporingsbladwijzers> de bladwijzer of bladwijzers die u wilt verwijderen.

  2. Klik met de rechtermuisknop en selecteer de optie om de geselecteerde bladwijzers te verwijderen.

Gerelateerde inhoud

In dit artikel hebt u geleerd hoe u een opsporingsonderzoek uitvoert met behulp van bladwijzers in Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel: