Acompanhe os dados durante a caça com o Microsoft Sentinel

• Aplica-se a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Procurar marcadores no Microsoft Sentinel ajuda a preservar as consultas e os resultados da consulta que considera relevantes. Também pode registar as suas observações contextuais e referir as suas descobertas ao adicionar notas e etiquetas. Os dados com marcadores são visíveis para si e para os seus colegas de equipa para uma colaboração fácil. Para obter mais informações, consulte Favoritos.

Importante

O Microsoft Sentinel está disponível como parte da plataforma unificada de operações de segurança no portal Microsoft Defender. O Microsoft Sentinel no portal do Defender agora é suportado para uso em produção. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Adicionar um marcador

Crie um marcador para preservar as consultas, os resultados, as observações e as descobertas.

1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Caça.
   Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Threat management>Hunting.

2. Na guia Caça, selecione uma caçada.

3. Selecione uma das consultas de caça.

4. Nos detalhes da consulta de caça, selecione Executar consulta.

5. Selecione Exibir resultados da consulta. Por exemplo:

   

   Esta ação abre os resultados da consulta no painel Logs .

6. Na lista de resultados da consulta de log, use as caixas de seleção para selecionar uma ou mais linhas que contenham as informações que você achar interessantes.

7. Selecione Adicionar marcador:

   

8. À direita, no painel Adicionar marcador , opcionalmente, atualize o nome do marcador, adicione tags e anotações para ajudá-lo a identificar o que era interessante sobre o item.

9. Os marcadores podem ser opcionalmente mapeados para técnicas ou subtécnicas MITRE ATT&CK. Os mapeamentos MITRE ATT&CK são herdados de valores mapeados em consultas de caça, mas você também pode criá-los manualmente. Selecione a tática MITRE ATT&CK associada à técnica desejada no menu suspenso na seção Táticas & Técnicas do painel Adicionar marcador . O menu se expande para mostrar todas as técnicas MITRE ATT&CK, e você pode selecionar várias técnicas e subtécnicas neste menu.

   

10. Agora, um conjunto expandido de entidades pode ser extraído dos resultados da consulta marcada para investigação adicional. Na seção Mapeamento de entidade, use as listas suspensas para selecionar tipos de entidade e identificadores. Em seguida, mapeie a coluna nos resultados da consulta que contém o identificador correspondente. Por exemplo:

    

    Para visualizar o marcador no gráfico de investigação, você deve mapear pelo menos uma entidade. Há suporte para mapeamentos de entidade para tipos de entidade de conta, host, IP e URL que você criou, preservando a compatibilidade com versões anteriores.

11. Selecione Salvar para confirmar suas alterações e adicionar o marcador. Todos os dados marcados são compartilhados com outros analistas e são um primeiro passo para uma experiência de investigação colaborativa.

Os resultados da consulta de log suportam marcadores sempre que este painel é aberto a partir do Microsoft Sentinel. Por exemplo, selecione Logs gerais>na barra de navegação, selecione links de eventos no gráfico de investigações ou selecione uma ID de alerta a partir dos detalhes completos de um incidente. Não é possível criar marcadores quando o painel Logs é aberto de outros locais, como diretamente do Azure Monitor.

Ver e atualizar marcadores

Encontre e atualize um marcador a partir do separador de marcadores.

1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Caça.
   Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Threat management>Hunting.

2. Selecione a guia Favoritos para exibir a lista de favoritos.

3. Pesquise ou filtre para encontrar um marcador ou marcadores específicos.

4. Selecione marcadores individuais para visualizar os detalhes do marcador no painel direito.

5. Faça as alterações necessárias. As alterações são guardadas automaticamente.

Explorando marcadores no gráfico de investigação

Visualize seus dados marcados iniciando a experiência de investigação na qual você pode visualizar, investigar e comunicar visualmente suas descobertas usando um diagrama interativo de gráfico de entidade e linha do tempo.

1. Na guia Favoritos, selecione o marcador ou favoritos que deseja investigar.

2. Nos detalhes do marcador, certifique-se de que pelo menos uma entidade esteja mapeada.

3. Selecione Investigar para visualizar o marcador no gráfico de investigação.

Para obter instruções sobre como usar o gráfico de investigação, consulte Usar o gráfico de investigação para aprofundar o estudo.

Adicionar marcadores a um incidente novo ou existente

Adicione marcadores a um incidente a partir do separador Marcadores na página Caça.

1. Na guia Favoritos, selecione o marcador ou favoritos que você deseja adicionar a um incidente.

2. Selecione Ações de incidente na barra de comandos:

   

3. Selecione Criar novo incidente ou Adicionar a incidente existente, conforme apropriado. Em seguida:

   • Para um novo incidente: Opcionalmente, atualize os detalhes do incidente e selecione Criar.
   • Para adicionar um marcador a um incidente existente: selecione um incidente e, em seguida, selecione Adicionar.

4. Para visualizar o marcador dentro do incidente,

   1. Vá para Incidentes de gerenciamento de ameaças>do Microsoft Sentinel>.
   2. Selecione o incidente com o seu marcador e veja todos os detalhes.
   3. Na página do incidente, no painel esquerdo, selecione os Favoritos.

Ver dados marcados em registos

Veja consultas marcadas, resultados ou seu histórico.

1. Na guia Favoritos de> caça, selecione o marcador.

2. No painel de detalhes, selecione os seguintes links:

   • Exiba a consulta de origem para exibir a consulta de origem no painel Logs .

   • Exiba os logs de favoritos para ver todos os metadados de favoritos, que incluem quem fez a atualização, os valores atualizados e a hora em que a atualização ocorreu.

3. Na barra de comandos na guia Favoritos de >caça, selecione Registros de favoritos para exibir os dados brutos de favoritos de todos os favoritos.

   

Esta vista mostra todos os seus marcadores com metadados associados. Você pode usar consultas Kusto Query Language (KQL) para filtrar até a versão mais recente do marcador específico que você está procurando.

Pode haver um atraso significativo (medido em minutos) entre o momento em que você cria um marcador e quando ele é exibido na guia Favoritos .

Eliminar um marcador

A eliminação do marcador remove o marcador da lista no separador Marcador . A tabela HuntingBookmark para seu espaço de trabalho do Log Analytics continua a conter entradas de favoritos anteriores, mas a entrada mais recente altera o valor SoftDelete para true, facilitando a filtragem de favoritos antigos. A exclusão de um marcador não remove nenhuma entidade da experiência de investigação associada a outros marcadores ou alertas.

Para excluir um marcador, conclua as etapas a seguir.

1. Na guia Favoritos de >caça, selecione o marcador ou favoritos que deseja excluir.

2. Clique com o botão direito do mouse e selecione a opção para excluir os favoritos selecionados.

Conteúdos relacionados

Neste artigo, você aprendeu como executar uma investigação de caça usando marcadores no Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

• Caça a ameaças com o Microsoft Sentinel
• Usar blocos de anotações para executar campanhas de caça automatizadas
• Caça a ameaças com o Microsoft Sentinel (módulo de treinamento)