Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Поиск закладок в Microsoft Sentinel помогает сохранить запросы и результаты запросов, которые вы считаете релевантными. Вы также можете записывать контекстные наблюдения и ссылаться на полученные результаты, добавляя заметки и теги. Данные с закладками отображаются для вас и ваших товарищей по команде, чтобы упростить совместную работу. Дополнительные сведения см. в разделе Закладки.
Примечание.
Закладки можно создавать только в портал Azure. Хотя вы не можете добавить закладки на портале Microsoft Defender, вы можете увидеть уже созданные закладки.
Важно!
После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Добавление закладки (только портал Azure)
Создайте закладку, чтобы сохранить запросы, результаты, наблюдения и результаты.
В разделе Управление угрозами выберите Охота.
На вкладке Запросы выберите один или несколько запросов поиска.
На верхней панели команд выберите Выполнить выбранные запросы.
Выберите Просмотреть результаты запроса. Например, вы можете:
Это действие открывает результаты запроса в области Журналы .
В списке результатов запроса журнала установите флажки, чтобы выбрать одну или несколько строк, содержащих интересующие вас сведения.
В портал Azure выберите Добавить закладку:
Справа в области Добавление закладки при необходимости обновите имя закладки, добавьте теги и заметки, чтобы определить, что интересного в элементе.
При необходимости закладки можно сопоставить с методами MITRE ATT&CK или вложенными методами. Сопоставления MITRE ATT&CK наследуются от сопоставленных значений в охотничьих запросах, но их также можно создать вручную. Выберите тактику MITRE ATT&CK, связанную с нужным методом, в раскрывающемся меню раздела Тактика & приемы на панели Добавление закладки . Меню будет развернуто, чтобы отобразить все методы MITRE ATT&CK, и в этом меню можно выбрать несколько методов и вложенных методов.
Теперь расширенный набор сущностей можно извлечь из результатов запроса с закладками для дальнейшего изучения. В разделе Сопоставление сущностей используйте раскрывающийся список для выбора типов сущностей и идентификаторов. Затем сопоставьте столбец в результатах запроса, содержащий соответствующий идентификатор. Например, вы можете:
Чтобы просмотреть закладку на графе исследования, необходимо сопоставить хотя бы одну сущность. Сопоставления сущностей с созданными типами сущностей учетных записей, узлов, IP-адресов и URL-адресов поддерживаются, сохраняя обратную совместимость.
Нажмите кнопку Создать , чтобы зафиксировать изменения и добавить закладку. Все данные, добавленные в закладки, передаются другим аналитикам и являются первым шагом на пути к совместному исследованию.
Результаты запроса журнала поддерживают закладки при каждом открытии этой области из Microsoft Sentinel. Например, если выбрать общие>журналы на панели навигации, выбрать ссылки на события на графике расследований или выбрать идентификатор оповещения из полных сведений об инциденте. Вы не можете создавать закладки, когда область Журналы открыта из другого расположения, например непосредственно из Azure монитора.
Просмотр и обновление закладок
Поиск и обновление закладки на вкладке закладки.
Для Microsoft Sentinel в портал Azure в разделе Управление угрозами выберите Охота.
Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Охватная охота на управление>.Перейдите на вкладку Закладки , чтобы просмотреть список закладок.
Поиск или фильтрация для поиска определенной закладки или закладок.
Выберите отдельные закладки, чтобы просмотреть сведения о закладках в правой области.
При необходимости внесите изменения. Изменения сохраняются автоматически.
Примечание.
На вкладке закладки можно просмотреть только до 1000 закладок. Остальные данные, добавленные в закладки, можно просмотреть в журналах. Подробнее
Изучение закладок в графе исследования
Визуализируйте данные с закладками, запустив процесс исследования, в котором можно просматривать, исследовать и визуально сообщать результаты с помощью интерактивной диаграммы сущностей и временная шкала.
На вкладке Закладки выберите закладку или закладки, которые нужно исследовать.
В сведениях о закладке убедитесь, что сопоставлена хотя бы одна сущность.
Выберите Исследовать , чтобы просмотреть закладку на графе исследования.
Инструкции по использованию графа исследования см. в статье Использование графа исследования для глубокого погружения.
Добавление закладок в новый или существующий инцидент (только портал Azure)
Добавьте закладки в инцидент на вкладке Закладки на странице Охота .
На вкладке Закладки выберите закладку или закладки, которые нужно добавить в инцидент.
Выберите Действия инцидента на панели команд:
При необходимости выберите Создать новый инцидент или Добавить в существующий инцидент. Затем:
- Для нового инцидента: при необходимости обновите сведения об инциденте и нажмите кнопку Создать.
- Чтобы добавить закладку в существующий инцидент: выберите один инцидент, а затем нажмите кнопку Добавить.
Чтобы просмотреть закладку в инциденте, выполните следующие действия:
- Перейдите в раздел Microsoft Sentinel>Среда инциденты управления>.
- Выберите инцидент с закладкой и просмотрите полные сведения.
- На странице инцидента в области слева выберите Закладки.
Просмотр данных в закладках в журналах
Просмотр запросов, результатов или их журнала с закладками.
На вкладке Охота>на закладки выберите закладку.
В области сведений выберите следующие ссылки:
Просмотр исходного запроса для просмотра исходного запроса в области Журналы .
Просмотрите журналы закладок , чтобы просмотреть все метаданные закладки, которые включают в себя, кто сделал обновление, обновленные значения и время обновления.
На панели команд на вкладке Охота>закладок выберите Журналы закладок , чтобы просмотреть необработанные данные закладок для всех закладок.
В этом представлении отображаются все закладки со связанными метаданными. Вы можете использовать запросы язык запросов Kusto (KQL) для фильтрации до последней версии конкретной закладки, которую вы ищете.
Между созданием закладки и ее отображением на вкладке Закладки может быть значительная задержка (измеряемая в минутах ).
Удаление закладки
При удалении закладки закладка удаляется из списка на вкладке Закладка . Таблица HuntingBookmark для рабочей области Log Analytics по-прежнему содержит предыдущие записи закладок, но последняя запись изменяет значение SoftDelete на true, что упрощает фильтрацию старых закладок. При удалении закладки из процесса исследования не удаляются сущности, связанные с другими закладками или оповещениями.
Чтобы удалить закладку, выполните следующие действия.
На вкладке Охота>закладок выберите закладки или закладки, которые нужно удалить.
Щелкните правой кнопкой мыши и выберите параметр для удаления выбранных закладок.
Связанные материалы
Из этой статьи вы узнали, как выполнять исследование охоты с помощью закладок в Microsoft Sentinel. Дополнительные сведения о Microsoft Sentinel см. в следующих статьях: