Отслеживание данных при охоте на угрозы в Microsoft Sentinel

Функция закладок в Microsoft Sentinel помогает сохранять запросы и результаты запросов, которые вы считаете важными. Вы также можете записывать контекстные наблюдения и ссылаться на свои выводы, добавляя примечания и теги. Данные, добавленные в закладки, видны вам и вашим коллегам, упрощая совместную работу. Дополнительные сведения см. в разделе "Закладки".

Замечание

Закладки можно создавать только на портале Azure. Хотя вы не можете добавлять закладки на портале Microsoft Defender, вы можете увидеть уже созданные закладки.

Внимание

После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.

Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.

Добавление закладки (только на портале Azure)

Создайте закладку для сохранения запросов, результатов, наблюдений и выводов.

1. В разделе "Управление угрозами" выберите "Охота".

2. На вкладке "Запросы" выберите один или несколько запросов поиска.

3. На верхней панели команд выберите "Выполнить выбранные запросы".

4. Выберите "Просмотреть результаты запроса". Например:

   Снимок экрана результатов анализа запросов в Microsoft Sentinel.

   Это действие открывает результаты запроса в панели журналов.

5. В списке результатов запроса в журнале есть флажки, с помощью которых можно выбрать одну или несколько строк с интересующими вас сведениями.

6. На портале Azure выберите "Добавить закладку":

   

7. Справа в области добавления закладок, при необходимости обновите имя закладки, добавьте теги и заметки, чтобы определить, чем вам показался интересен этот элемент.

8. Закладки можно по желанию сопоставить с техникам MITRE ATT&CK или подтехникам. Сопоставления MITRE ATT&CK наследуются из ранее сопоставленных значений в поисковых запросах для охоты, но их также можно создать вручную. Выберите тактику MITRE ATT&CK, связанную с требуемой техникой, в раскрывающемся меню в разделе " Тактика и методы " области "Добавить закладку ". Меню разворачивается, чтобы отобразить все техники MITRE ATT&CK, и вы можете выбрать несколько техник и под-техник в этом меню.

   

9. Теперь развернутый набор сущностей можно извлечь из результатов запроса с закладками для дальнейшего изучения. В разделе сопоставления сущностей используйте раскрывающийся список для выбора типов сущностей и идентификаторов. Затем сопоставьте столбец в результатах запроса, содержащий соответствующий идентификатор. Например:

   

   Чтобы просмотреть закладку в графе исследования, необходимо сопоставить хотя бы одну сущность. Сопоставления сущностей с созданными типами сущностей учетной записи, узла, IP-адреса и URL-адреса поддерживаются, сохраняя обратную совместимость.

10. Нажмите кнопку "Создать", чтобы зафиксировать изменения и добавить закладку. Все данные, помещенные в закладки, передаются другим аналитикам, и это первый шаг к совместному проведению исследований.

Результаты запроса журнала поддерживают закладки каждый раз, когда эта панель открывается из Microsoft Sentinel. Например, если выбрать Общие>журналы на панели навигации, выбрать ссылки на события в графе расследований или выбрать идентификатор уведомления из полных сведений об инциденте. Вы не можете создавать закладки, когда область журналов открыта из другого расположения, например непосредственно из Azure Monitor.

Просмотр и обновление закладок

Найдите и обновите закладку на вкладке закладки.

1. Для Microsoft Sentinel на портале Azure в разделе "Управление угрозами " выберите "Охота".
   Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Threat Management>Hunting.

2. Выберите вкладку "Закладки" , чтобы просмотреть список закладок.

3. Поиск или фильтрация для поиска определенной закладки или закладок.

4. Выберите отдельные закладки, чтобы просмотреть сведения о закладках в правой области.

5. Внесите изменения по мере необходимости. Изменения сохраняются автоматически.

Замечание

На вкладке закладки можно просматривать только до 1000 закладок. Остальные данные закладок можно просмотреть в журналах. Подробнее

Просмотр закладок на графе исследования

Визуализируйте данные с закладками, запуская среду исследования, в которой можно просматривать, исследовать и визуально обмениваться результатами с помощью интерактивной диаграммы сущностей и временной шкалы.

1. На вкладке "Закладки" выберите закладку или закладки, которые вы хотите исследовать.

2. В разделе сведений о закладке должна быть сопоставлена хотя бы одна сущность.

3. Выберите "Исследовать ", чтобы просмотреть закладку в графе исследования.

Инструкции по использованию графа исследования см. в разделе "Использование графа исследования" для глубокого изучения.

Добавление закладок в новый или существующий инцидент (только портал Azure)

Добавьте закладки в инцидент на вкладке "Закладки" на странице "Охота ".

1. На вкладке "Закладки" выберите закладку или закладки, которые нужно добавить в инцидент.

2. Выберите действия инцидента на панели команд:

   

3. Выберите "Создать новый инцидент " или "Добавить в существующий инцидент", как это необходимо. Затем:

   • Для нового инцидента: при необходимости обновите сведения об инциденте, а затем нажмите кнопку "Создать".
   • Чтобы добавить закладку в существующий инцидент: выберите один инцидент и нажмите кнопку "Добавить".

4. Чтобы просмотреть закладку в инциденте,

   1. Перейдите в Microsoft Sentinel>Управление угрозами>Инциденты.
   2. Выберите инцидент с закладкой и просмотрите полные сведения.
   3. На странице инцидента в левой области выберите закладки.

Просмотр данных из закладок в журналах

Просмотр сохранённых запросов, результатов или их истории.

1. На вкладке "Охота на закладки"> выберите закладку.

2. В области сведений выберите следующие ссылки:

   • Откройте исходный запрос в панели журналов.

   • Просмотрите журналы закладок , чтобы просмотреть все метаданные закладки, в том числе сведения о том, кто сделал обновление, обновленные значения и время обновления.

3. На вкладке "Hunting>Bookmarks" выберите "Журналы закладок", чтобы просмотреть необработанные данные закладок для всех закладок.

   

В этом представлении отображаются все закладки со связанными метаданными. Запросы языка запросов Kusto (KQL) можно использовать для фильтрации до последней версии конкретной закладки, которую вы ищете.

Между созданием закладки и отображением закладки на вкладке "Закладки " может быть значительная задержка (измеряемая в минутах).

Удаление закладки

При удалении закладки закладка удаляется из списка на вкладке "Закладка ". Таблица HuntingBookmark для рабочей области Log Analytics продолжает содержать предыдущие записи закладок, но последняя запись изменяет значение SoftDelete на true, что упрощает фильтрацию старых закладок. При удалении закладки не удаляются сущности из интерфейса исследования, связанные с другими закладками или оповещениями.

Чтобы удалить закладку, выполните следующие действия.

1. На вкладке Охота>Закладки выберите закладку или закладки, которые вы хотите удалить.

2. Щелкните правой кнопкой мыши и выберите параметр удаления выбранных закладок.

Связанный контент

Из этой статьи вы узнали, как провести охотничье расследование с использованием закладок в Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:

• Поиск угроз с помощью Microsoft Sentinel
• Использование записных книжек для запуска автоматических кампаний охоты
• Поиск угроз с помощью Microsoft Sentinel (модуль обучения)