Delen via

Gegevens bijhouden tijdens het opsporen met Microsoft Sentinel

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Met opsporingsbladwijzers in Microsoft Sentinel kunt u de query's en queryresultaten behouden die u relevant acht. U kunt ook uw contextuele waarnemingen vastleggen en naar uw bevindingen verwijzen door notities en tags toe te voegen. De van bladwijzers voorziene gegevens zijn zichtbaar voor u en uw teamleden waardoor samenwerking eenvoudig is. Zie Bladwijzers voor meer informatie.

Opmerking

Bladwijzers kunnen alleen worden gemaakt in Azure Portal. Hoewel u geen bladwijzers kunt toevoegen in de Microsoft Defender-portal, kunt u bladwijzers zien die al zijn gemaakt.

Belangrijk

Microsoft Sentinel is algemeen beschikbaar in de Microsoft Defender-portal, waaronder voor klanten zonder Microsoft Defender XDR of een E5-licentie.

Vanaf juli 2026 worden alle klanten die Microsoft Sentinel in Azure Portal gebruiken, omgeleid naar de Defender-portal en gebruiken ze alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe gebruikers automatisch geïntegreerd en omgeleid naar de Defender-portal.

Als u Nog steeds Microsoft Sentinel gebruikt in Azure Portal, raden we u aan om te beginnen met het plannen van uw overgang naar de Defender-portal om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden aangeboden. Zie Het is tijd om te verplaatsen voor meer informatie: De Azure-portal van Microsoft Sentinel buiten gebruik stellen voor betere beveiliging.

Een bladwijzer toevoegen (alleen Azure Portal)

Maak een bladwijzer om de query's, resultaten, uw waarnemingen en bevindingen te behouden.

  1. Selecteer Opsporing onder Bedreigingsbeheer.

  2. Selecteer op het tabblad Query's een of meer van de opsporingsquery's.

  3. Selecteer geselecteerde query's uitvoeren in de bovenste opdrachtbalk.

  4. Selecteer Queryresultaten weergeven. Voorbeeld:

    Schermopname van het weergeven van queryresultaten van Microsoft Sentinel-opsporing.

    Met deze actie worden de queryresultaten geopend in het deelvenster Logboeken .

  5. Gebruik de selectievakjes in de lijst met logboekqueryresultaten om een of meer rijen te selecteren die de informatie bevatten die u interessant vindt.

  6. Selecteer bladwijzer toevoegen in De Azure-portal:

    Schermopname van het toevoegen van een opsporingsbladwijzer aan een query.

  7. Werk aan de rechterkant in het deelvenster Bladwijzer toevoegen desgewenst de naam van de bladwijzer bij, voeg tags en notities toe om te bepalen wat er interessant was aan het item.

  8. Bladwijzers kunnen eventueel worden toegewezen aan MITRE ATT&CK-technieken of subtechnieken. MITRE ATT&CK-toewijzingen worden overgenomen van toegewezen waarden in opsporingsquery's, maar u kunt ze ook handmatig maken. Selecteer de MITRE ATT&CK-tactiek die is gekoppeld aan de gewenste techniek in de vervolgkeuzelijst in de sectie Tactieken en technieken van het deelvenster Bladwijzer toevoegen . Het menu wordt uitgevouwen om alle MITRE ATT&CK-technieken weer te geven en u kunt in dit menu meerdere technieken en subtechnieken selecteren.

    Schermopname van hoe je Mitre Attack-tactieken en -technieken toewijst aan bladwijzers.

  9. Een uitgebreide set entiteiten kan nu worden geëxtraheerd uit queryresultaten met bladwijzers voor verder onderzoek. Gebruik in de sectie Entiteitstoewijzing de vervolgkeuzelijsten om entiteitstypen en id's te selecteren. Wijs vervolgens de kolom toe in de queryresultaten met de bijbehorende id. Voorbeeld:

    Schermopname voor het in kaart brengen van entiteitstypen om bladwijzers te verzamelen.

    Als u de bladwijzer in de onderzoeksgrafiek wilt weergeven, moet u ten minste één entiteit toewijzen. Entiteitstoewijzingen aan account-, host-, IP- en URL-entiteitstypen die u hebt gemaakt, worden ondersteund, met behoud van compatibiliteit met eerdere versies.

  10. Selecteer Maken om uw wijzigingen door te voeren en de bladwijzer toe te voegen. Alle gegevens met bladwijzers worden gedeeld met andere analisten en zijn een eerste stap in de richting van een samenwerkingsonderzoek.

De resultaten van de logboekquery ondersteunen bladwijzers wanneer dit deelvenster wordt geopend vanuit Microsoft Sentinel. Als u bijvoorbeeld Algemene>logboeken selecteert in de navigatiebalk, selecteert u gebeurteniskoppelingen in de onderzoeksgrafiek of selecteert u een waarschuwings-id in de volledige details van een incident. U kunt geen bladwijzers maken wanneer het deelvenster Logboeken wordt geopend vanaf een andere locatie, zoals rechtstreeks vanuit Azure Monitor.

Bladwijzers weergeven en bijwerken

Een bladwijzer zoeken en bijwerken vanaf het tabblad Bladwijzer.

  1. Voor Microsoft Sentinel in Azure Portal selecteert u Opsporing onder Bedreigingsbeheer.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Threat Management>Hunting.

  2. Selecteer het tabblad Bladwijzers om de lijst met bladwijzers weer te geven.

  3. Een specifieke bladwijzer of bladwijzer zoeken of filteren.

  4. Selecteer afzonderlijke bladwijzers om de details van de bladwijzer in het rechterdeelvenster weer te geven.

  5. Breng uw wijzigingen indien nodig aan. Uw wijzigingen worden automatisch opgeslagen.

Opmerking

U kunt maximaal 1000 favorieten bekijken in het bladwijzertabblad. U kunt de rest van uw favoriete gegevens in uw logboeken bekijken. Meer informatie

Bladwijzers verkennen in de onderzoeksgrafiek

Visualiseer uw gegevens met bladwijzers door de onderzoekservaring te starten waarin u uw bevindingen kunt bekijken, onderzoeken en visueel kunt overbrengen met behulp van een interactief diagram voor entiteiten en tijdlijnen.

  1. Selecteer op het tabblad Bladwijzers de bladwijzer of bladwijzers die u wilt onderzoeken.

  2. Zorg ervoor dat in de details van de bladwijzer ten minste één entiteit is toegewezen.

  3. Kies Onderzoeken om de bladwijzer in de onderzoeksgrafiek weer te geven.

Raadpleeg De onderzoeksgrafiek gebruiken voor diepgaande analyse voor instructies over het gebruik van de onderzoeksgrafiek.

Bladwijzers toevoegen aan een nieuw of bestaand incident (alleen Azure Portal)

Voeg bladwijzers toe aan een incident vanaf het tabblad Bladwijzers op de pagina Opsporing .

  1. Selecteer op het tabblad Bladwijzers de bladwijzer of bladwijzers die u aan een incident wilt toevoegen.

  2. Selecteer Incidentacties op de opdrachtbalk:

    Schermopname van het toevoegen van bladwijzers aan incident.

  3. Selecteer Een nieuw incident maken of toevoegen aan bestaand incident, indien van toepassing. Daarna kunt u het volgende doen:

    • Voor een nieuw incident: Werk desgewenst de details voor het incident bij en selecteer Vervolgens Maken.
    • Als u een bladwijzer wilt toevoegen aan een bestaand incident: selecteer één incident en selecteer vervolgens Toevoegen.

  4. Als u de bladwijzer in het incident wilt weergeven,

    1. Ga naar Microsoft Sentinel>Bedreigingsbeheer>Incidenten.
    2. Selecteer het incident met uw bladwijzer en bekijk de volledige details.
    3. Op de incidentpagina, in het linkerdeelvenster, selecteer de bladwijzers.

Bladwijzergegevens weergeven in logboeken

Bekijk query's, resultaten of hun geschiedenis met bladwijzers.

  1. Selecteer de bladwijzer op het tabblad Jacht>Bladwijzers.

  2. Selecteer in het detailvenster de volgende koppelingen:

    • Bekijk de bronquery om deze te zien in het Logboeken deelvenster.

    • Bekijk bladwijzerlogboeken om alle metagegevens van bladwijzers weer te geven, waaronder wie de update heeft uitgevoerd, de bijgewerkte waarden en de tijd waarop de update heeft plaatsgevonden.

  3. Selecteer in de opdrachtbalk op het tabblad Hunting>BladwijzersBladwijzerlogboeken om de onbewerkte bladwijzergegevens voor alle bladwijzers weer te geven.

    Schermopname van de opdracht bladwijzerlogs.

In deze weergave worden al uw bladwijzers met gekoppelde metagegevens weergegeven. U kunt Kusto Query Language (KQL)-query's gebruiken om de nieuwste versie van de specifieke bladwijzer die u zoekt te filteren.

Er kan een aanzienlijke vertraging optreden (gemeten in minuten) tussen de tijd dat u een bladwijzer maakt en wanneer deze wordt weergegeven op het tabblad Bladwijzers .

Een bladwijzer verwijderen

Als u de bladwijzer verwijdert, wordt de bladwijzer verwijderd uit de lijst op het tabblad Bladwijzer . De HuntingBookmark-tabel voor uw Log Analytics-werkruimte bevat nog steeds eerdere bladwijzervermeldingen, maar de laatste vermelding wijzigt de softDelete-waarde in waar, zodat u eenvoudig oude bladwijzers kunt filteren. Als u een bladwijzer verwijdert, worden er geen entiteiten verwijderd uit de onderzoekservaring die zijn gekoppeld aan andere bladwijzers of waarschuwingen.

Voer de volgende stappen uit om een bladwijzer te verwijderen.

  1. Selecteer op het tabbladOpsporingsbladwijzers> de bladwijzer of bladwijzers die u wilt verwijderen.

  2. Klik met de rechtermuisknop en selecteer de optie om de geselecteerde bladwijzers te verwijderen.

Gerelateerde inhoud

In dit artikel hebt u geleerd hoe u een opsporingsonderzoek uitvoert met behulp van bladwijzers in Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:

  • Last updated on