Поделиться через

Отслеживание данных при охоте на угрозы в Microsoft Sentinel

  • Статья
  • Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Охота на закладки в Microsoft Sentinel помогает сохранять запросы и результаты запросов, которые вы считаете соответствующими. Вы также можете записывать контекстные наблюдения и ссылаться на свои выводы, добавляя примечания и теги. Данные, добавленные в закладки, видны вам и вашим коллегам, упрощая совместную работу. Дополнительные сведения см. в разделе "Закладки".

Внимание

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см. в Microsoft Sentinel на портале Microsoft Defender.

Добавление закладки

Создайте закладку для сохранения запросов, результатов, наблюдений и результатов.

  1. Для Microsoft Sentinel на портале Azure в разделе "Управление угрозами " выберите "Охота".
    Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Threat Management>Hunting.

  2. На вкладке "Охота" выберите охоту.

  3. Выберите один из запросов охоты.

  4. В сведениях о запросе для охоты выберите "Выполнить запрос".

  5. Выберите "Просмотреть результаты запроса". Например:

    Снимок экрана результатов анализа запросов в Microsoft Sentinel.

    Это действие открывает результаты запроса в панели журналов.

  6. В списке результатов запроса в журнале есть флажки, с помощью которых можно выбрать одну или несколько строк с интересующими вас сведениями.

  7. Выберите "Добавить закладку":

    Снимок экрана добавления закладки для поиска.

  8. Справа в области добавления закладок, при необходимости обновите имя закладки, добавьте теги и заметки, чтобы определить, что было интересно в элементе.

  9. Закладки можно при необходимости сопоставить с методами mitRE ATT&CK или вложенными методами. Сопоставления MITRE ATT&CK наследуются от сопоставленных значений в поисковых запросах, но их также можно создать вручную. Выберите тактику MITRE ATT&CK, связанную с требуемой техникой, в раскрывающемся меню в разделе " Тактика и методы " области "Добавить закладку ". Меню разворачивается, чтобы отобразить все методы MITRE ATT&CK, и вы можете выбрать несколько методов и вложенных методов в этом меню.

    Снимок экрана: сопоставление тактики и методов mitre Attack с закладками.

  10. Теперь развернутый набор сущностей можно извлечь из результатов запроса закладки для дальнейшего изучения. В разделе сопоставления сущностей используйте раскрывающийся список для выбора типов сущностей и идентификаторов. Затем сопоставьте столбец в результатах запроса, содержащий соответствующий идентификатор. Например:

    Скриншот сопоставления типов сущностей для поиска закладок.

    Чтобы просмотреть закладку в графе исследования, необходимо сопоставить хотя бы одну сущность. Сопоставления сущностей с созданными типами сущностей учетной записи, узла, IP-адреса и URL-адреса поддерживаются, сохраняя обратную совместимость.

  11. Нажмите кнопку "Сохранить", чтобы зафиксировать изменения и добавить закладку. Все данные, помещенные в закладки, передаются другим аналитикам, и это первый шаг к совместному проведению исследований.

Результаты запроса журнала поддерживают закладки каждый раз, когда эта панель открывается из Microsoft Sentinel. Например, вы выбираете Общие>журналы на панели навигации, выбираете ссылки на события в графе расследований или идентификатор оповещения из полных сведений об инциденте. Вы не можете создавать закладки при открытии панели журналов из других мест, например, непосредственно из Azure Monitor.

Просмотр и обновление закладок

Найдите и обновите закладку на вкладке закладки.

  1. Для Microsoft Sentinel на портале Azure в разделе "Управление угрозами " выберите "Охота".
    Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Threat Management>Hunting.

  2. Выберите вкладку "Закладки" , чтобы просмотреть список закладок.

  3. Поиск или фильтрация для поиска определенной закладки или закладок.

  4. Выберите отдельные закладки, чтобы просмотреть сведения о закладках в правой области.

  5. Внесите изменения по мере необходимости. Изменения сохраняются автоматически.

Просмотр закладок на графе исследования

Визуализировать данные закладок, запуская процесс исследования, в котором можно просматривать, исследовать и визуально обмениваться результатами с помощью интерактивной диаграммы диаграммы сущностей и временной шкалы.

  1. На вкладке "Закладки" выберите закладку или закладки, которые вы хотите исследовать.

  2. В разделе сведений о закладке должна быть сопоставлена хотя бы одна сущность.

  3. Выберите "Исследовать ", чтобы просмотреть закладку в графе исследования.

Инструкции по использованию графа исследования см. в разделе "Использование графа исследования" для глубокого изучения.

Добавление закладок для нового или существующего инцидента

Добавьте закладки в инцидент из вкладки "Закладки" на странице "Охота".

  1. На вкладке "Закладки" выберите закладку или закладки, которые нужно добавить в инцидент.

  2. Выберите действия инцидента на панели команд:

    Снимок экрана добавления закладок в инцидент.

  3. Выберите "Создать новый инцидент " или "Добавить в существующий инцидент", как это необходимо. Затем:

    • Для нового инцидента: при необходимости обновите сведения об инциденте, а затем нажмите кнопку "Создать".
    • Чтобы добавить закладку в существующий инцидент: выберите один инцидент и нажмите кнопку "Добавить".

  4. Чтобы просмотреть закладку в инциденте,

    1. Перейдите в Microsoft Sentinel>управление угрозами>инциденты.
    2. Выберите инцидент с закладкой и просмотрите полные сведения.
    3. На странице инцидента в левой области выберите закладки.

Просмотр данных в закладками в журналах

Просмотр закладочных запросов, результатов или их журнала.

  1. На вкладке Закладки>выберите закладку.

  2. В области сведений выберите следующие ссылки:

    • Откройте исходный запрос на панели Журналы.

    • Просмотрите журналы закладок , чтобы просмотреть все метаданные закладки, в том числе сведения о том, кто сделал обновление, обновленные значения и время обновления.

  3. На вкладке "Закладки охоты" в командной строке выберите "Журналы закладок", чтобы просмотреть необработанные данные закладок для всех закладок.

    Снимок экрана: команда журналов закладок.

В этом представлении отображаются все закладки со связанными метаданными. Запросы языка запросов Kusto (KQL) можно использовать для фильтрации до последней версии конкретной закладки, которую вы ищете.

Между созданием закладки и отображением закладки на вкладке "Закладки " может быть значительная задержка (измеряемая в минутах).

Удаление закладки

При удалении закладки закладка удаляется из списка на вкладке "Закладка ". Таблица HuntingBookmark для рабочей области Log Analytics продолжает содержать предыдущие записи закладок, но последняя запись изменяет значение SoftDelete на true, что упрощает фильтрацию старых закладок. При удалении закладки не удаляются сущности из интерфейса исследования, связанные с другими закладками или оповещениями.

Чтобы удалить закладку, выполните следующие действия.

  1. На вкладке Hunting>закладки выберите закладку или закладки, которые вы хотите удалить.

  2. Щелкните правой кнопкой мыши и выберите параметр удаления выбранных закладок.

Связанный контент

Из этой статьи вы узнали, как запустить исследование для поиска угроз в Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях: