Dela via


Hålla reda på data under jakt med Microsoft Sentinel

Med jaktbokmärken i Microsoft Sentinel kan du bevara de frågor och frågeresultat som du anser vara relevanta. Du kan också registrera dina kontextbaserade observationer och lägga till referenser till dina upptäckter genom att lägga till kommentarer och taggar. Genom att visa bokmärkta data blir det enklare för dig och andra teammedlemmar att samarbeta. Mer information finns i Bokmärken.

Viktigt!

Microsoft Sentinel är tillgängligt som en del av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Microsoft Sentinel i Defender-portalen stöds nu för produktionsanvändning. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Lägga till ett bokmärke

Skapa ett bokmärke för att bevara frågor, resultat, dina observationer och resultat.

  1. För Microsoft Sentinel i Azure-portalen väljer du Jakt under Hothantering.
    För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel Hothantering>>Jakt.

  2. På fliken Jakt väljer du en jakt.

  3. Välj en av jaktfrågorna.

  4. I information om jaktfrågor väljer du Kör fråga.

  5. Välj Visa frågeresultat. Till exempel:

    Skärmbild av visning av frågeresultat från Microsoft Sentinel-jakt.

    Den här åtgärden öppnar frågeresultatet i fönstret Loggar .

  6. I resultatlistan för loggfrågor använder du kryssrutorna för att markera en eller flera rader som innehåller den information som du tycker är intressant.

  7. Välj Lägg till bokmärke:

    Skärmbild av att lägga till ett jaktbokmärke i frågan.

  8. Till höger i fönstret Lägg till bokmärke kan du uppdatera bokmärkesnamnet, lägga till taggar och anteckningar som hjälper dig att identifiera vad som var intressant med objektet.

  9. Bokmärken kan mappas till MITRE ATT&CK-tekniker eller undertekniker. MITRE ATT&CK-mappningar ärvs från mappade värden i jaktfrågor, men du kan också skapa dem manuellt. Välj MITRE ATT&CK-taktiken som är associerad med önskad teknik i den nedrullningsbara menyn i avsnittet Taktik och tekniker i fönstret Lägg till bokmärke. Menyn expanderas för att visa alla MITRE ATT&CK-tekniker, och du kan välja flera tekniker och undertekniker på den här menyn.

    Skärmbild av hur du mappar Mitre Attack-taktiker och -tekniker till bokmärken.

  10. Nu kan en utökad uppsättning entiteter extraheras från bokmärkta frågeresultat för ytterligare undersökning. I avsnittet Entitetsmappning använder du listrutorna för att välja entitetstyper och identifierare. Mappa sedan kolumnen i frågeresultatet som innehåller motsvarande identifierare. Till exempel:

    Skärmbild för att mappa entitetstyper för att jaga bokmärken.

    Om du vill visa bokmärket i undersökningsdiagrammet måste du mappa minst en entitet. Entitetsmappningar till konto-, värd-, IP- och URL-entitetstyper som du skapade stöds, vilket bevarar bakåtkompatibiliteten.

  11. Välj Spara för att checka in ändringarna och lägg till bokmärket. Alla bokmärkta data delas med andra analytiker och är ett första steg mot en samarbetsinriktad undersökningsupplevelse.

Loggfrågeresultatet stöder bokmärken när det här fönstret öppnas från Microsoft Sentinel. Du kan till exempel välja Allmänna>loggar i navigeringsfältet , välja händelselänkar i undersökningsdiagrammet eller välja ett aviserings-ID från den fullständiga informationen om en incident. Du kan inte skapa bokmärken när fönstret Loggar öppnas från andra platser, till exempel direkt från Azure Monitor.

Visa och uppdatera bokmärken

Hitta och uppdatera ett bokmärke från bokmärkesfliken.

  1. För Microsoft Sentinel i Azure-portalen väljer du Jakt under Hothantering.
    För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel Hothantering>>Jakt.

  2. Välj fliken Bokmärken för att visa listan med bokmärken.

  3. Sök eller filtrera för att hitta ett visst bokmärke eller bokmärken.

  4. Välj enskilda bokmärken för att visa bokmärkesinformationen i den högra rutan.

  5. Gör dina ändringar efter behov. Ändringarna sparas automatiskt.

Utforska bokmärken i undersökningsdiagrammet

Visualisera dina bokmärkta data genom att starta undersökningsupplevelsen där du kan visa, undersöka och visuellt kommunicera dina resultat med hjälp av ett interaktivt entitetsdiagramdiagram och tidslinje.

  1. På fliken Bokmärken väljer du det bokmärke eller bokmärken som du vill undersöka.

  2. I bokmärkesinformationen kontrollerar du att minst en entitet har mappats.

  3. Välj Undersök för att visa bokmärket i undersökningsdiagrammet.

Anvisningar om hur du använder undersökningsdiagrammet finns i Använda undersökningsdiagrammet för att djupdyka.

Lägga till bokmärken i en ny eller befintlig incident

Lägg till bokmärken i en incident från fliken Bokmärken på sidan Jakt .

  1. På fliken Bokmärken väljer du det bokmärke eller bokmärken som du vill lägga till i en incident.

  2. Välj Incidentåtgärder i kommandofältet:

    Skärmbild av att lägga till bokmärken i incidenten.

  3. Välj antingen Skapa ny incident eller Lägg till i befintlig incident efter behov. Sedan:

    • För en ny incident: Om du vill kan du uppdatera informationen för incidenten och sedan välja Skapa.
    • För att lägga till ett bokmärke till en befintlig incident: Välj en incident och välj sedan Lägg till.
  4. Om du vill visa bokmärket i incidenten

    1. Gå till Microsoft Sentinel-hothanteringsincidenter>>.
    2. Välj incidenten med ditt bokmärke och Visa fullständig information.
    3. Välj Bokmärken i den vänstra rutan på incidentsidan.

Visa bokmärkta data i loggar

Visa bokmärkta frågor, resultat eller deras historik.

  1. Välj bokmärket på fliken Jaktbokmärken>.

  2. Välj följande länkar i informationsfönstret:

    • Visa källfråga för att visa källfrågan i fönstret Loggar .

    • Visa bokmärkesloggar för att se alla bokmärkesmetadata, inklusive vem som gjorde uppdateringen, de uppdaterade värdena och tidpunkten då uppdateringen inträffade.

  3. I kommandofältet på fliken Jaktbokmärken>väljer du Bokmärkesloggar för att visa rådata för alla bokmärken.

    Skärmbild av kommandot bokmärkesloggar.

Den här vyn visar alla dina bokmärken med associerade metadata. Du kan använda KQL-frågor (Kusto Query Language) för att filtrera ned till den senaste versionen av det specifika bokmärket du letar efter.

Det kan uppstå en betydande fördröjning (mätt i minuter) mellan den tid då du skapar ett bokmärke och när det visas på fliken Bokmärken .

Ta bort ett bokmärke

Om du tar bort bokmärket tas bokmärket bort från listan på fliken Bokmärke . Tabellen HuntingBookmark för Log Analytics-arbetsytan fortsätter att innehålla tidigare bokmärkesposter, men den senaste posten ändrar Värdet SoftDelete till true, vilket gör det enkelt att filtrera bort gamla bokmärken. Om du tar bort ett bokmärke tas inga entiteter bort från undersökningsmiljön som är associerade med andra bokmärken eller aviseringar.

Slutför följande steg om du vill ta bort ett bokmärke.

  1. På fliken Jaktbokmärken> väljer du det bokmärke eller bokmärken som du vill ta bort.

  2. Högerklicka och välj alternativet för att ta bort de markerade bokmärkena.

I den här artikeln har du lärt dig hur du kör en jaktundersökning med hjälp av bokmärken i Microsoft Sentinel. Mer information om Microsoft Sentinel finns i följande artiklar: