Anterior

Avançar

Salvar as principais descobertas com indicadores

Concluído

Para buscar ameaças no ambiente da Contoso, você precisa examinar grandes quantidades de dados de log em busca de evidências de comportamentos mal-intencionados. Durante esse processo, você pode encontrar eventos que deseja manter em mente, revisitar e analisar como parte da validação das hipóteses possíveis e para a compreensão do contexto completo da violação em questão.

Busca por meio de indicadores

Os marcadores no Microsoft Sentinel podem ajudar você a buscar ameaças preservando as consultas já executadas juntamente com os resultados da consulta que você considera relevantes. Você também pode registrar observações de contexto e consultar as descobertas alcançadas adicionando anotações e marcações. Os dados de indicadores ficam visíveis para você e seus colegas de equipe para facilitar a colaboração.

Revisite os dados salvos nos indicadores a qualquer momento na guia Indicadores da página Busca. Você pode usar as opções de filtragem e pesquisa a fim de localizar rapidamente dados específicos para sua investigação atual. Como alternativa, você pode examinar os dados salvos nos indicadores diretamente na tabela HuntingBookmark, no workspace do Log Analytics.

Observação

Os eventos salvos nos indicadores contêm informações de eventos padrão, mas podem ser usados de diferentes maneiras na interface do Microsoft Sentinel.

Criar incidentes ou adicionar resultados aos incidentes por meio de indicadores

Você pode usar indicadores para criar um incidente ou adicionar resultados de consulta salvos nos indicadores a incidentes existentes. O botão Ações de incidente, na barra de ferramentas, permite que você execute uma dessas tarefas quando um indicador é selecionado.

Os incidentes criados com base nos indicadores podem ser gerenciados na página Incidentes, junto com outros incidentes criados no Microsoft Sentinel.

Usar o grafo de investigação para explorar os indicadores

Você pode investigar os indicadores da mesma forma que investiga os incidentes no Microsoft Sentinel. Na página Busca, selecione Investigar para abrir o grafo de investigação do incidente. O grafo de investigação é uma ferramenta visual que ajuda a identificar as entidades envolvidas no ataque e as relações entre elas. Caso o incidente envolva vários alertas ao longo do tempo, também será possível examinar a linha do tempo do alerta e correlações entre alertas.

Examinar detalhes da entidade

Selecione cada entidade no grafo para observar informações contextuais completas sobre ela. Essas informações incluem: relações com outras entidades, uso da conta e informações sobre o fluxo de dados. Para cada área de informação, será possível acessar os eventos relacionados no Log Analytics e adicionar os dados de alerta relacionados ao grafo.

Examinar detalhes do indicador

Selecione o item de indicador no grafo para ver os metadados importantes do indicador relacionados à segurança do indicador e ao contexto do ambiente.

Escolha a melhor resposta para a pergunta a seguir e selecione Verificar suas respostas.

Verificar seu conhecimento

1.

Como os indicadores auxiliam no processo de busca por ameaças?

Eles permitem que o buscador salve os resultados da consulta para referência posterior.

Eles permitem que o buscador acompanhe o status e a resolução do incidente.

Eles permitem que o buscador crie pastas de trabalho com base nos resultados da consulta.

É necessário responder a todas as perguntas antes de verificar o trabalho.

Continuar