Hålla reda på data under jakt med Microsoft Sentinel

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Hotjakt kräver vanligtvis granskning av berg av loggdata som letar efter bevis på skadligt beteende. Under den här processen hittar utredare händelser som de vill komma ihåg, gå tillbaka till och analysera som en del av valideringen av potentiella hypoteser och förstå hela historien om en kompromiss.

Jaktbokmärken i Microsoft Sentinel hjälper dig genom att bevara de frågor som du körde i Microsoft Sentinel – Loggar, tillsammans med de frågeresultat som du anser vara relevanta. Du kan också registrera dina kontextbaserade observationer och lägga till referenser till dina upptäckter genom att lägga till kommentarer och taggar. Genom att visa bokmärkta data blir det enklare för dig och andra teammedlemmar att samarbeta.

Nu kan du identifiera och åtgärda luckor i MITRE ATT&CK-tekniktäckningen i alla jaktfrågor genom att mappa dina anpassade jaktfrågor till MITRE ATT&CK-tekniker.

Undersök fler typer av entiteter vid jakt med bokmärken genom att mappa den fullständiga uppsättningen entitetstyper och identifierare som stöds av Microsoft Sentinel Analytics i dina anpassade frågor. Använd bokmärken för att utforska de entiteter som returneras i jaktfrågeresultat med hjälp av entitetssidor, incidenter och undersökningsdiagrammet. Om ett bokmärke samlar in resultat från en jaktfråga ärver det automatiskt frågans MITRE ATT&CK-teknik och entitetsmappningar.

Om du hittar något som snabbt måste åtgärdas vid jakt i loggarna kan du enkelt skapa ett bokmärke och antingen flytta upp det till en incident eller lägga till det i en befintlig incident. Mer information om incidenter finns i Undersöka incidenter med Microsoft Sentinel.

Om du har hittat något som är värt att bokmärka, men det inte är omedelbart brådskande, kan du skapa ett bokmärke och sedan gå tillbaka till dina bokmärkta data när som helst på fliken Bokmärken i fönstret Jakt . Du kan använda filtrerings- och sökalternativ för att snabbt hitta specifika data för din aktuella undersökning.

Du kan visualisera dina bokmärkta data genom att välja Undersök från bokmärkesinformationen. Detta startar undersökningsupplevelsen där du kan visa, undersöka och visuellt kommunicera dina resultat med hjälp av ett interaktivt entitetsdiagramdiagram och tidslinje.

Du kan också visa dina bokmärkta data direkt i tabellen HuntingBookmark på Log Analytics-arbetsytan. Till exempel:

Skärmbild av att visa tabellen jaktbokmärken.

Om du visar bokmärken från tabellen kan du filtrera, sammanfatta och koppla bokmärkta data till andra datakällor, vilket gör det enkelt att leta efter bevis som bekräftar dem.

Kommentar

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.

Viktigt!

Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Lägga till ett bokmärke

Skapa ett bokmärke för att bevara frågor, resultat, dina observationer och resultat.

  1. För Microsoft Sentinel i Azure-portalen väljer du Jakt under Hothantering.
    För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel Hothantering>>Jakt.

  2. Välj en av jaktfrågorna.

  3. I information om jaktfrågor väljer du Kör fråga.

  4. Välj Visa frågeresultat. Till exempel:

    Skärmbild av visning av frågeresultat från Microsoft Sentinel-jakt.

    Den här åtgärden öppnar frågeresultatet i fönstret Loggar .

  5. I resultatlistan för loggfrågor använder du kryssrutorna för att markera en eller flera rader som innehåller den information som du tycker är intressant.

  6. Välj Lägg till bokmärke:

    Skärmbild av att lägga till ett jaktbokmärke i frågan.

  7. Till höger i fönstret Lägg till bokmärke kan du uppdatera bokmärkesnamnet, lägga till taggar och anteckningar som hjälper dig att identifiera vad som var intressant med objektet.

  8. Bokmärken kan mappas till MITRE ATT&CK-tekniker eller undertekniker. MITRE ATT&CK-mappningar ärvs från mappade värden i jaktfrågor, men du kan också skapa dem manuellt. Välj MITRE ATT&CK-taktiken som är associerad med önskad teknik i den nedrullningsbara menyn i avsnittet Taktik och tekniker i fönstret Lägg till bokmärke. Menyn expanderas för att visa alla MITRE ATT&CK-tekniker, och du kan välja flera tekniker och undertekniker på den här menyn.

    Skärmbild av hur du mappar Mitre Attack-taktiker och -tekniker till bokmärken.

  9. Nu kan en utökad uppsättning entiteter extraheras från bokmärkta frågeresultat för ytterligare undersökning. I avsnittet Entitetsmappning använder du listrutorna för att välja entitetstyper och identifierare. Mappa sedan kolumnen i frågeresultatet som innehåller motsvarande identifierare. Till exempel:

    Skärmbild för att mappa entitetstyper för att jaga bokmärken.

    Om du vill visa bokmärket i undersökningsdiagrammet måste du mappa minst en entitet. Entitetsmappningar till konto-, värd-, IP- och URL-entitetstyper som du skapade stöds, vilket bevarar bakåtkompatibiliteten.

  10. Välj Spara för att checka in ändringarna och lägg till bokmärket. Alla bokmärkta data delas med andra analytiker och är ett första steg mot en samarbetsinriktad undersökningsupplevelse.

Loggfrågeresultatet stöder bokmärken när det här fönstret öppnas från Microsoft Sentinel. Du kan till exempel välja Allmänna>loggar i navigeringsfältet , välja händelselänkar i undersökningsdiagrammet eller välja ett aviserings-ID från den fullständiga informationen om en incident. Du kan inte skapa bokmärken när fönstret Loggar öppnas från andra platser, till exempel direkt från Azure Monitor.

Visa och uppdatera bokmärken

Hitta och uppdatera ett bokmärke från bokmärkesfliken.

  1. För Microsoft Sentinel i Azure-portalen väljer du Jakt under Hothantering.
    För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel Hothantering>>Jakt.

  2. Välj fliken Bokmärken för att visa listan med bokmärken.

  3. Sök eller filtrera för att hitta ett visst bokmärke eller bokmärken.

  4. Välj enskilda bokmärken för att visa bokmärkesinformationen i den högra rutan.

  5. Gör dina ändringar efter behov. Ändringarna sparas automatiskt.

Utforska bokmärken i undersökningsdiagrammet

Visualisera dina bokmärkta data genom att starta undersökningsupplevelsen där du kan visa, undersöka och visuellt kommunicera dina resultat med hjälp av ett interaktivt entitetsdiagramdiagram och tidslinje.

  1. På fliken Bokmärken väljer du det bokmärke eller bokmärken som du vill undersöka.

  2. I bokmärkesinformationen kontrollerar du att minst en entitet har mappats.

  3. Välj Undersök för att visa bokmärket i undersökningsdiagrammet.

Anvisningar om hur du använder undersökningsdiagrammet finns i Använda undersökningsdiagrammet för att djupdyka.

Lägga till bokmärken i en ny eller befintlig incident

Lägg till bokmärken i en incident från fliken Bokmärken på sidan Jakt .

  1. På fliken Bokmärken väljer du det bokmärke eller bokmärken som du vill lägga till i en incident.

  2. Välj Incidentåtgärder i kommandofältet:

    Skärmbild av att lägga till bokmärken i incidenten.

  3. Välj antingen Skapa ny incident eller Lägg till i befintlig incident efter behov. Sedan:

    • För en ny incident: Om du vill kan du uppdatera informationen för incidenten och sedan välja Skapa.
    • För att lägga till ett bokmärke till en befintlig incident: Välj en incident och välj sedan Lägg till.

Som ett alternativ till alternativet Incidentåtgärder i kommandofältet kan du använda snabbmenyn (...) för ett eller flera bokmärken för att välja alternativ för Att skapa ny incident, Lägga till i befintlig incident och Ta bort från incident.

Så här visar du bokmärket i incidenten: Navigera till Hothanteringsincidenter> i Microsoft Sentinel>och välj incidenten med ditt bokmärke. Välj Visa fullständig information och välj sedan fliken Bokmärken .

Visa bokmärkta data i loggar

Visa bokmärkta frågor, resultat eller deras historik.

  1. Välj bokmärket på fliken Jaktbokmärken>.

  2. Välj länkarna i informationsfönstret:

    • Visa källfråga för att visa källfrågan i fönstret Loggar .

    • Visa bokmärkesloggar för att se alla bokmärkesmetadata, inklusive vem som gjorde uppdateringen, de uppdaterade värdena och tidpunkten då uppdateringen inträffade.

  3. Visa rådata för alla bokmärken genom att välja Bokmärkesloggar i kommandofältet på fliken Jaktbokmärken>:

    Skärmbild av kommandot bokmärkesloggar.

Den här vyn visar alla dina bokmärken med associerade metadata. Du kan använda KQL-frågor (Kusto-frågespråk) för att filtrera ned till den senaste versionen av det specifika bokmärket som du letar efter.

Det kan uppstå en betydande fördröjning (mätt i minuter) mellan den tid då du skapar ett bokmärke och när det visas på fliken Bokmärken .

Ta bort ett bokmärke

Om du tar bort bokmärket tas bokmärket bort från listan på fliken Bokmärke . Tabellen HuntingBookmark för Log Analytics-arbetsytan fortsätter att innehålla tidigare bokmärkesposter, men den senaste posten ändrar Värdet SoftDelete till true, vilket gör det enkelt att filtrera bort gamla bokmärken. Om du tar bort ett bokmärke tas inga entiteter bort från undersökningsmiljön som är associerade med andra bokmärken eller aviseringar.

Slutför följande steg om du vill ta bort ett bokmärke.

  1. På fliken Jaktbokmärken> väljer du det bokmärke eller bokmärken som du vill ta bort.

  2. Högerklicka och välj alternativet för att ta bort de markerade bokmärkena.

Relaterat innehåll

I den här artikeln har du lärt dig hur du kör en jaktundersökning med hjälp av bokmärken i Microsoft Sentinel. Mer information om Microsoft Sentinel finns i följande artiklar: