Śledzenie danych podczas wyszukiwania zagrożeń za pomocą Microsoft Sentinel

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Wyszukiwanie zakładek w Microsoft Sentinel ułatwia zachowanie zapytań i wyników zapytań, które uważasz za istotne. Możesz również rejestrować obserwacje kontekstowe i odwoływać się do wyników, dodając notatki i tagi. Dane z zakładkami są widoczne dla Ciebie i Twoich kolegów z drużyny, aby ułatwić współpracę. Aby uzyskać więcej informacji, zobacz Zakładki.

Uwaga

Zakładki można tworzyć tylko w Azure Portal. Chociaż nie możesz dodawać zakładek w portalu Microsoft Defender, możesz zobaczyć zakładki, które zostały już utworzone.

Ważna

Po 31 marca 2027 r. Microsoft Sentinel nie będą już obsługiwane w Azure Portal i będą dostępne tylko w portalu Microsoft Defender. Wszyscy klienci korzystający z Microsoft Sentinel w Azure Portal zostaną przekierowane do portalu usługi Defender i będą używać Microsoft Sentinel tylko w portalu usługi Defender.

Jeśli nadal używasz Microsoft Sentinel w Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia płynnego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez Microsoft Defender.

Dodawanie zakładki (tylko Azure Portal)

Utwórz zakładkę, aby zachować zapytania, wyniki, obserwacje i wyniki.

  1. W obszarze Zarządzanie zagrożeniami wybierz pozycję Wyszukiwanie zagrożeń.

  2. Na karcie Zapytania wybierz co najmniej jedno z zapytań wyszukiwania zagrożeń.

  3. Na górnym pasku poleceń wybierz pozycję Uruchom wybrane zapytania.

  4. Wybierz pozycję Wyświetl wyniki zapytania. Przykład:

    Zrzut ekranu przedstawiający wyświetlanie wyników zapytań z wyszukiwania Microsoft Sentinel wyszukiwania zagrożeń.

    Ta akcja spowoduje otwarcie wyników zapytania w okienku Dzienniki .

  5. Z listy wyników zapytania dziennika użyj pól wyboru, aby wybrać co najmniej jeden wiersz zawierający interesujące informacje.

  6. W Azure Portal wybierz pozycję Dodaj zakładkę:

    Zrzut ekranu przedstawiający dodawanie zakładki wyszukiwania zagrożeń do zapytania.

  7. Po prawej stronie w okienku Dodaj zakładkę opcjonalnie zaktualizuj nazwę zakładki, dodaj tagi i notatki, aby ułatwić zidentyfikowanie interesujących elementów.

  8. Zakładki można opcjonalnie zamapować na mitre att&technik CK lub technik podrzędnych. Mapowania&CK programu MITRE ATT są dziedziczone z mapowanych wartości w zapytaniach wyszukiwania zagrożeń, ale można je również utworzyć ręcznie. Wybierz taktykę CK&MITRE ATT skojarzoną z odpowiednią techniką z menu rozwijanego w sekcji Taktyka & Techniki w okienku Dodaj zakładkę . Menu zostanie rozwinięte, aby wyświetlić wszystkie techniki MITRE ATT&CK, a w tym menu można wybrać wiele technik i technik podrzędnych.

    Zrzut ekranu przedstawiający mapowanie taktyk i technik ataku Mitre na zakładki.

  9. Teraz rozszerzony zestaw jednostek można wyodrębnić z wyników zapytania z zakładki w celu dalszego zbadania. W sekcji Mapowanie jednostek użyj list rozwijanych, aby wybrać typy i identyfikatory jednostek. Następnie zamapuj kolumnę w wynikach zapytania zawierającą odpowiedni identyfikator. Przykład:

    Zrzut ekranu przedstawiający mapowanie typów jednostek na zakładki wyszukiwania zagrożeń.

    Aby wyświetlić zakładkę na grafie badania, musisz zamapować co najmniej jedną jednostkę. Mapowania jednostek na utworzone typy jednostek konta, hosta, adresu IP i adresu URL są obsługiwane, zachowując zgodność z poprzednimi wersjami.

  10. Wybierz pozycję Utwórz , aby zatwierdzić zmiany i dodać zakładkę. Wszystkie dane z zakładkami są udostępniane innym analitykom i są pierwszym krokiem w kierunku wspólnego badania.

Wyniki zapytania dziennika obsługują zakładki za każdym razem, gdy to okienko jest otwierane z Microsoft Sentinel. Jeśli na przykładwybierzesz pozycję Dziennikiogólne> na pasku nawigacyjnym, wybierz linki zdarzeń na grafie badań lub wybierz identyfikator alertu z pełnych szczegółów zdarzenia. Nie można tworzyć zakładek po otwarciu okienka Dzienniki z innej lokalizacji, na przykład bezpośrednio z Azure Monitor.

Wyświetlanie i aktualizowanie zakładek

Znajdź i zaktualizuj zakładkę na karcie zakładki.

  1. W Microsoft Sentinel w Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Wyszukiwanie zagrożeń.
    W Microsoft Sentinel w portalu usługi Defender wybierz pozycję Microsoft Sentinel>Zarządzanie wyszukiwaniem>zagrożeń.

  2. Wybierz kartę Zakładki , aby wyświetlić listę zakładek.

  3. Wyszukaj lub przefiltruj, aby znaleźć określoną zakładkę lub zakładki.

  4. Wybierz poszczególne zakładki, aby wyświetlić szczegóły zakładki w okienku po prawej stronie.

  5. W razie potrzeby wprowadź zmiany. Zmiany są zapisywane automatycznie.

Uwaga

Na karcie zakładki można wyświetlić tylko maksymalnie 1000 zakładek. Pozostałe dane z zakładek można wyświetlić w dziennikach. Dowiedz się więcej

Eksplorowanie zakładek na grafie badania

Wizualizuj dane z zakładkami, uruchamiając środowisko badania, w którym można wyświetlać, badać i wizualnie komunikować wyniki za pomocą interaktywnego diagramu grafów i osi czasu.

  1. Na karcie Zakładki wybierz zakładkę lub zakładki, które chcesz zbadać.

  2. W szczegółach zakładki upewnij się, że co najmniej jedna jednostka jest mapowana.

  3. Wybierz pozycję Zbadaj , aby wyświetlić zakładkę na grafie badania.

Aby uzyskać instrukcje dotyczące korzystania z wykresu badania, zobacz Używanie wykresu badania do dokładnego poznania.

Dodawanie zakładek do nowego lub istniejącego zdarzenia (tylko Azure Portal)

Dodaj zakładki do zdarzenia na karcie Zakładki na stronie Wyszukiwanie zagrożeń .

  1. Na karcie Zakładki wybierz zakładkę lub zakładki, które chcesz dodać do zdarzenia.

  2. Wybierz pozycję Akcje zdarzenia na pasku poleceń:

    Zrzut ekranu przedstawiający dodawanie zakładek do zdarzenia.

  3. Wybierz odpowiednio pozycję Utwórz nowe zdarzenie lub Dodaj do istniejącego zdarzenia. Następnie:

    • W przypadku nowego zdarzenia: opcjonalnie zaktualizuj szczegóły zdarzenia, a następnie wybierz pozycję Utwórz.
    • Aby dodać zakładkę do istniejącego zdarzenia: wybierz jedno zdarzenie, a następnie wybierz pozycję Dodaj.

  4. Aby wyświetlić zakładkę w zdarzeniu,

    1. Przejdź do obszaru> Microsoft Sentinel Zdarzeń zarządzania>nimi.
    2. Wybierz zdarzenie przy użyciu zakładki i Wyświetl pełne szczegóły.
    3. Na stronie zdarzenia w okienku po lewej stronie wybierz pozycję Zakładki.

Wyświetlanie danych z zakładkami w dziennikach

Wyświetlanie zapytań, wyników lub historii zakładek.

  1. Nakarcie Zakładkiwyszukiwania zagrożeń> wybierz zakładkę.

  2. W okienku szczegółów wybierz następujące linki:

    • Wyświetl zapytanie źródłowe , aby wyświetlić zapytanie źródłowe w okienku Dzienniki .

    • Wyświetl dzienniki zakładek , aby wyświetlić wszystkie metadane zakładki, w tym informacje o tym, kto dokonał aktualizacji, zaktualizowane wartości i czas wystąpienia aktualizacji.

  3. Na pasku poleceń nakarcie Zakładkiwyszukiwania zagrożeń> wybierz pozycję Dzienniki zakładek, aby wyświetlić nieprzetworzone dane zakładek dla wszystkich zakładek.

    Zrzut ekranu przedstawiający polecenie dzienników zakładek.

Ten widok przedstawia wszystkie zakładki ze skojarzonymi metadanymi. Zapytania język zapytań Kusto (KQL) umożliwiają filtrowanie w dół do najnowszej wersji określonej zakładki, której szukasz.

Między utworzeniem zakładki a wyświetlaniem jej na karcie Zakładki może wystąpić znaczne opóźnienie ( mierzone w minutach ).

Usuwanie zakładki

Usunięcie zakładki powoduje usunięcie zakładki z listy na karcie Zakładka . Tabela HuntingBookmark dla obszaru roboczego usługi Log Analytics nadal zawiera poprzednie wpisy zakładek, ale najnowszy wpis zmienia wartość SoftDelete na true, co ułatwia filtrowanie starych zakładek. Usunięcie zakładki nie powoduje usunięcia żadnych jednostek z środowiska badania skojarzonych z innymi zakładkami ani alertami.

Aby usunąć zakładkę, wykonaj następujące kroki.

  1. Nakarcie Zakładkiwyszukiwania zagrożeń> wybierz zakładkę lub zakładki, które chcesz usunąć.

  2. Kliknij prawym przyciskiem myszy i wybierz opcję usunięcia wybranych zakładek.

Zawartość pokrewna

W tym artykule przedstawiono sposób uruchamiania badania zagrożeń przy użyciu zakładek w Microsoft Sentinel. Aby dowiedzieć się więcej na temat Microsoft Sentinel, zobacz następujące artykuły:

  • Last updated on