Śledzenie danych podczas wyszukiwania zagrożeń za pomocą usługi Microsoft Sentinel

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Wyszukiwanie zagrożeń zwykle wymaga przejrzenia gór danych dziennika w poszukiwaniu dowodów złośliwego zachowania. Podczas tego procesu śledczy znajdują zdarzenia, które chcą zapamiętać, ponownie przejrzeć i przeanalizować w ramach weryfikacji potencjalnych hipotez i zrozumieć pełną historię kompromisu.

Zakładki wyszukiwania zagrożeń w usłudze Microsoft Sentinel ułatwiają zachowanie zapytań uruchomionych w usłudze Microsoft Sentinel — dzienniki wraz z wynikami zapytania, które uznajesz za istotne. Możesz również rejestrować uwagi kontekstowe i odwoływać się do wyników, dodając notatki i tagi. Dane oznaczone zakładką są widoczne dla Ciebie i członków zespołu w celu ułatwienia współpracy.

Teraz możesz identyfikować i rozwiązywać luki w zakresie technik MITRE ATT&CK we wszystkich zapytaniach wyszukiwania zagrożeń, mapując niestandardowe zapytania wyszukiwania zagrożeń na techniki MITRE ATT&CK.

Zbadaj więcej typów jednostek podczas wyszukiwania zakładek, mapując pełny zestaw typów jednostek i identyfikatorów obsługiwanych przez analizę usługi Microsoft Sentinel w zapytaniach niestandardowych. Użyj zakładek, aby eksplorować jednostki zwracane w wynikach zapytania wyszukiwania zagrożeń przy użyciu stron jednostek, zdarzeń i grafu badania. Jeśli zakładka przechwytuje wyniki z zapytania wyszukiwania zagrożeń, automatycznie dziedziczy technikę MITRE ATT&CK zapytania i mapowania jednostek.

Jeśli znajdziesz coś, co należy pilnie rozwiązać podczas wyszukiwania zagrożeń w dziennikach, możesz łatwo utworzyć zakładkę i podwyższyć jej poziom do zdarzenia lub dodać go do istniejącego zdarzenia. Aby uzyskać więcej informacji na temat zdarzeń, zobacz Badanie zdarzeń za pomocą usługi Microsoft Sentinel.

Jeśli znajdziesz coś wartego zakładki, ale nie jest to natychmiast pilne, możesz utworzyć zakładkę, a następnie ponownie przejrzeć dane zakładki w dowolnym momencie na karcie Zakładki w okienku Wyszukiwanie zagrożeń . Możesz użyć opcji filtrowania i wyszukiwania, aby szybko znaleźć konkretne dane dla bieżącego badania.

Możesz zwizualizować dane z zakładką, wybierając pozycję Zbadaj w szczegółach zakładki. Spowoduje to uruchomienie środowiska badania, w którym można wyświetlać, badać i wizualnie komunikować się z wynikami przy użyciu interaktywnego diagramu i osi czasu wykresu jednostek.

Alternatywnie możesz wyświetlić dane z zakładkami bezpośrednio w tabeli HuntingBookmark w obszarze roboczym usługi Log Analytics. Na przykład:

Zrzut ekranu przedstawiający wyświetlanie tabeli zakładek wyszukiwania zagrożeń.

Wyświetlanie zakładek z tabeli umożliwia filtrowanie, podsumowywanie i łączenie danych z zakładkami z innymi źródłami danych, co ułatwia wyszukiwanie potwierdzenia dowodów.

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Ważne

Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Dodawanie zakładki

Utwórz zakładkę, aby zachować zapytania, wyniki, obserwacje i wyniki.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Wyszukiwanie zagrożeń.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Wyszukiwanie zagrożeń> w usłudze Microsoft Sentinel.>

  2. Wybierz jedno z zapytań wyszukiwania zagrożeń.

  3. W szczegółach zapytania wyszukiwania zagrożeń wybierz pozycję Uruchom zapytanie.

  4. Wybierz pozycję Wyświetl wyniki zapytania. Na przykład:

    Zrzut ekranu przedstawiający wyświetlanie wyników zapytania z wyszukiwania zagrożeń w usłudze Microsoft Sentinel.

    Ta akcja powoduje otwarcie wyników zapytania w okienku Dzienniki .

  5. Z listy wyników zapytania dziennika użyj pól wyboru, aby wybrać co najmniej jeden wiersz zawierający interesujące informacje.

  6. Wybierz pozycję Dodaj zakładkę:

    Zrzut ekranu przedstawiający dodawanie zakładki wyszukiwania zagrożeń do zapytania.

  7. Po prawej stronie w okienku Dodawanie zakładki opcjonalnie zaktualizuj nazwę zakładki, dodaj tagi i notatki, aby ułatwić określenie interesujących informacji o elemencie.

  8. Zakładki można opcjonalnie mapować na techniki MITRE ATT&CK lub techniki podrzędne. Mapowania MITRE ATT&CK są dziedziczone z mapowanych wartości w zapytaniach wyszukiwania zagrożeń, ale można je również utworzyć ręcznie. Wybierz taktykę MITRE ATT&CK skojarzona z odpowiednią techniką z menu rozwijanego w sekcji Taktyka i techniki okienka Dodaj zakładkę. Menu rozwija się, aby wyświetlić wszystkie techniki MITRE ATT&CK, a w tym menu można wybrać wiele technik i technik podrzędnych.

    Zrzut ekranu przedstawiający sposób mapowania taktyki i technik ataku Mitre na zakładki.

  9. Teraz można wyodrębnić rozszerzony zestaw jednostek z wyników zapytań z zakładkami w celu dalszego zbadania. W sekcji Mapowanie jednostek użyj list rozwijanych, aby wybrać typy jednostek i identyfikatory. Następnie zamapuj kolumnę w wynikach zapytania zawierającego odpowiedni identyfikator. Na przykład:

    Zrzut ekranu przedstawiający mapowanie typów jednostek na zakładki wyszukiwania zagrożeń.

    Aby wyświetlić zakładkę na wykresie badania, musisz zamapować co najmniej jedną jednostkę. Mapowania jednostek na utworzone typy jednostek konta, hosta, adresu IP i adresu URL są obsługiwane, co zapewnia zgodność z poprzednimi wersjami.

  10. Wybierz pozycję Zapisz , aby zatwierdzić zmiany i dodać zakładkę. Wszystkie dane z zakładkami są udostępniane innym analitykom i jest pierwszym krokiem w kierunku wspólnego badania.

Wyniki zapytania dziennika obsługują zakładki za każdym razem, gdy to okienko jest otwierane z usługi Microsoft Sentinel. Możesz na przykład wybrać pozycję Dzienniki ogólne>na pasku nawigacyjnym, wybrać linki zdarzeń na wykresie badania lub wybrać identyfikator alertu z pełnych szczegółów zdarzenia. Nie można tworzyć zakładek, gdy okienko Dzienniki jest otwierane z innych lokalizacji, takich jak bezpośrednio z usługi Azure Monitor.

Wyświetlanie i aktualizowanie zakładek

Znajdź i zaktualizuj zakładkę na karcie zakładki.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Wyszukiwanie zagrożeń.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Wyszukiwanie zagrożeń> w usłudze Microsoft Sentinel.>

  2. Wybierz kartę Zakładki , aby wyświetlić listę zakładek.

  3. Wyszukaj lub filtruj, aby znaleźć określoną zakładkę lub zakładki.

  4. Wybierz poszczególne zakładki, aby wyświetlić szczegóły zakładki w okienku po prawej stronie.

  5. Wprowadź zmiany zgodnie z potrzebami. Zmiany są zapisywane automatycznie.

Eksplorowanie zakładek na wykresie badania

Wizualizuj dane z zakładkami, uruchamiając środowisko badania, w którym można wyświetlać, badać i wizualnie komunikować się z wynikami przy użyciu interaktywnego diagramu i osi czasu wykresu jednostek.

  1. Na karcie Zakładki wybierz zakładkę lub zakładki, które chcesz zbadać.

  2. W szczegółach zakładki upewnij się, że co najmniej jedna jednostka jest mapowana.

  3. Wybierz pozycję Zbadaj , aby wyświetlić zakładkę na wykresie badania.

Aby uzyskać instrukcje dotyczące używania grafu badania, zobacz Szczegółowe omówienie za pomocą grafu badania.

Dodawanie zakładek do nowego lub istniejącego zdarzenia

Dodaj zakładki do zdarzenia z karty zakładki na stronie Wyszukiwanie zagrożeń .

  1. Na karcie Zakładki wybierz zakładkę lub zakładki, które chcesz dodać do zdarzenia.

  2. Wybierz pozycję Akcje incydentu na pasku poleceń:

    Zrzut ekranu przedstawiający dodawanie zakładek do zdarzenia.

  3. Wybierz pozycję Utwórz nowe zdarzenie lub Dodaj do istniejącego zdarzenia odpowiednio. Następnie:

    • W przypadku nowego zdarzenia: opcjonalnie zaktualizuj szczegóły zdarzenia, a następnie wybierz pozycję Utwórz.
    • Aby dodać zakładkę do istniejącego zdarzenia: wybierz jedno zdarzenie, a następnie wybierz pozycję Dodaj.

Alternatywą dla opcji Akcje incydentu na pasku poleceń jest użycie menu kontekstowego (...) dla co najmniej jednej zakładki, aby wybrać opcje Tworzenia nowego zdarzenia, Dodaj do istniejącego zdarzenia i Usuń ze zdarzenia.

Aby wyświetlić zakładkę w ramach zdarzenia: przejdź do pozycji Zdarzenia zarządzania zagrożeniami>w usłudze Microsoft Sentinel>i wybierz zdarzenie z zakładką. Wybierz pozycję Wyświetl pełne szczegóły, a następnie wybierz kartę Zakładki .

Wyświetlanie danych z zakładkami w dziennikach

Wyświetlanie zapytań, wyników lub historii zakładek.

  1. Wybierz zakładkę z karty Zakładki wyszukiwania>zagrożeń.

  2. Wybierz linki podane w okienku szczegółów:

    • Wyświetl zapytanie źródłowe, aby wyświetlić zapytanie źródłowe w okienku Dzienniki .

    • Wyświetl dzienniki zakładek, aby wyświetlić wszystkie metadane zakładki, w tym osoby, które dokonały aktualizacji, zaktualizowane wartości i czas wystąpienia aktualizacji.

  3. Wyświetl nieprzetworzone dane zakładek dla wszystkich zakładek, wybierając pozycję Dzienniki zakładek na pasku poleceń na karcie Zakładki wyszukiwania>zagrożeń:

    Zrzut ekranu przedstawiający polecenie dzienników zakładek.

Ten widok przedstawia wszystkie zakładki ze skojarzonymi metadanymi. Zapytania język zapytań Kusto (KQL) umożliwiają filtrowanie do najnowszej wersji określonej zakładki, której szukasz.

Może wystąpić znaczne opóźnienie (mierzone w minutach) między utworzeniem zakładki a wyświetleniem jej na karcie Zakładki .

Usuwanie zakładki

Usunięcie zakładki powoduje usunięcie zakładki z listy na karcie Zakładka . Tabela HuntingBookmark dla obszaru roboczego usługi Log Analytics nadal zawiera poprzednie wpisy zakładki, ale najnowszy wpis zmienia wartość SoftDelete na true, co ułatwia filtrowanie starych zakładek. Usunięcie zakładki nie powoduje usunięcia żadnych jednostek ze środowiska badania, które są skojarzone z innymi zakładkami lub alertami.

Aby usunąć zakładkę, wykonaj następujące kroki.

  1. Na karcie Zakładki wyszukiwania zagrożeń>wybierz zakładkę lub zakładki, które chcesz usunąć.

  2. Kliknij prawym przyciskiem myszy i wybierz opcję usunięcia wybranych zakładek.

Powiązana zawartość

W tym artykule przedstawiono sposób uruchamiania badania wyszukiwania zagrożeń przy użyciu zakładek w usłudze Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: