在 Microsoft Sentinel 中巡覽和調查事件
Microsoft Sentinel 提供完整的功能案例管理平臺,以調查安全性事件。 [ 事件詳細數據 ] 頁面是您執行調查的中央位置,收集所有相關信息,以及一個畫面中所有適用的工具和工作。
本文會引導您完成事件詳細數據頁面上所有可用的面板和選項,協助您更快速、有效地、有效率地瀏覽和調查您的事件,並減少平均解決時間(MTTR)。
請參閱舊版事件調查的指示。
事件是您案例檔案,其中包含特定調查所有相關證據的匯總。 每個事件都會根據分析規則所產生的證據(警示)或從產生自己警示的第三方安全性產品匯入而建立(或新增至事件)。 事件會繼承 警示中包含的實體 ,以及警示的屬性,例如嚴重性、狀態和 MITRE ATT&CK 策略和技術。
必要條件
需要 Microsoft Sentinel 回應者 角色指派,才能調查事件。
深入瞭解 Microsoft Sentinel 中的角色。
如果您有需要指派事件的來賓使用者,則必須在 Microsoft Entra 租使用者中指派 目錄讀取者 角色。 一般(非來賓)用戶預設會指派此角色。
巡覽和分級事件
[事件] 頁面
從 [Microsoft Sentinel] 導覽功能表的 [威脅管理] 底下,選取 [事件]。
[ 事件] 頁面提供您所有開啟事件的基本資訊。
在畫面頂端,您有開啟事件計數,無論是新事件還是作用中,以及依嚴重性開啟事件計數。 您也會有 橫幅 ,其中包含您可以在特定事件之外採取的動作,無論是整體方格上,還是在多個選取的事件上。
在中央窗格中,您有 事件方格、依清單頂端篩選控件篩選的事件清單,以及搜尋列來尋找特定事件。
在右側,您有一個 詳細數據窗格 ,其中顯示中央清單中醒目提示之事件的重要資訊,以及針對該事件採取特定動作的按鈕。
您的安全性作業小組可能會有 自動化規則 ,以針對新事件執行基本分級,並將其指派給適當的人員。
在此情況下,依 擁有者 篩選事件清單,將清單限制為您或小組指派的事件。 此篩選集代表您的個人工作負載。
否則,您可以自行執行基本分級。 您可以從篩選事件清單開始,方法是依可用的篩選準則、狀態、嚴重性或產品名稱。 如需詳細資訊,請參閱 搜尋事件。
將特定事件分級並立即對其採取一些動作,直接從 [事件] 頁面上的詳細數據窗格,而不必輸入事件的完整詳細數據頁面。
調查 Microsoft Defender 全面偵測回應 中的 Microsoft Defender 全面偵測回應 事件:遵循 [調查 Microsoft Defender 全面偵測回應 連結,在Defender入口網站中樞紐至平行事件。 您在 Microsoft Defender 全面偵測回應 中對事件所做的任何變更都會同步處理至 Microsoft Sentinel 中的相同事件。
開啟指派的任務清單: 已指派任何工作的事件會顯示已完成和總任務計數,以及 [ 檢視完整詳細數據] 連結。 請遵循連結來開啟 [事件工作 ] 面板,以查看此事件的工作清單。
從 [擁有者] 下拉式清單中選取 ,將事件的擁有權指派給使用者或群組。
最近選取的使用者和群組會出現在圖片下拉式清單頂端。
從 [狀態] 下拉式清單中選取 ,以更新事件的狀態(例如從 [新增] 更新為 [作用中] 或 [已關閉]。 關閉事件時,您必須指定原因。 如需指示,請參閱下文。
從 [嚴重性] 下拉式清單中選取 ,以變更事件的嚴重性。
新增標籤 以分類您的事件。 您可能需要向下捲動至詳細數據窗格底部,以查看要新增卷標的位置。
新增批註 以記錄您的動作、想法、問題等等。 您可能需要向下捲動至詳細數據窗格底部,以查看新增批注的位置。
如果詳細資料窗格中的資訊足以提示進一步補救或緩和動作,請選取詳細資料窗格底部的 [動作] 按鈕,以執行下列其中一項動作:
調查: 使用 圖形化調查工具來 探索此事件內警示、實體和活動之間的關聯性,以及跨其他事件。
執行劇本 (預覽): 在此事件上執行 劇本 ,以採取特定的 擴充、共同作業或回應動作 ,例如您的SOC工程師可能已提供。
建立自動化規則: 建立 自動化規則,該規則 只會在類似這一個事件上執行(由同一個分析規則產生),以便減少您未來的工作負載,或考慮需求暫時變更(例如滲透測試)。
建立小組 (預覽): 在 Microsoft Teams 中建立小組,以跨部門與其他個人或小組共同作業以處理事件。
如果需要事件的詳細資訊,請選取 [詳細數據] 窗格中的 [檢視完整詳細數據] 以開啟並查看事件的完整詳細 數據,包括事件中的警示和實體、類似事件的清單,以及選取的最上層深入解析。
請參閱本文的下一節,以遵循一般調查路徑、瞭解您將在那裡看到的所有資訊,以及您可以採取的所有動作。
深入調查您的事件
Microsoft Sentinel 提供完整的功能事件調查和案例管理體驗,讓您可以更快速且有效率地調查、補救和解決事件。 以下是新的事件詳細資料頁面:
正確準備地面
當您設定以調查事件時,請組合您需要引導工作流程的專案。 您會在事件頁面頂端的按鈕列上找到下列工具,位於標題正下方。
選取 [工作] 以查看為此事件指派的工作,或新增您自己的工作。
深入瞭解 如何使用事件工作 來改善SOC中的程序標準化。
選取 [活動記錄檔 ],以查看此事件上是否已採取任何動作,例如自動化規則,以及已做出的任何批注。 您也可以在這裡新增自己的批注。 請參閱 下方活動記錄檔的詳細資訊。
選取 [記錄],隨時開啟事件頁面內的完整空白 Log Analytics 查詢視窗。 撰寫並執行查詢,無論是否相關,而不離開事件。 所以,每當你突然被靈感擊中去追逐一個想法,不要擔心中斷你的流動。 記錄可供您使用。
如需下列記錄的詳細資訊,請參閱以下。
您也會看到 [概觀和實體] 索引標籤對面的 [事件動作] 按鈕。 您可以在這裡使用上述的相同動作,如 [事件] 方格頁面上 [詳細數據] 窗格上的 [動作] 按鈕所提供。 唯一遺漏 的是 [調查],可在左側詳細數據面板上使用。
若要回顧 [事件動作] 按鈕下的可用動作:
執行劇本: 在此事件上執行 劇本 ,以採取特定的 擴充、共同作業或回應動作 ,例如您的SOC工程師可能已提供。
建立自動化規則: 建立 自動化規則,該規則 只會在類似這一個事件上執行(由同一個分析規則產生),以便減少您未來的工作負載,或考慮需求暫時變更(例如滲透測試)。
建立小組 (預覽): 在 Microsoft Teams 中建立小組,以跨部門與其他個人或小組共同作業以處理事件。 如果已為此事件建立小組,此功能表項會顯示為 [開啟Teams]。
取得事件詳細數據頁面上的完整圖片
[事件詳細數據] 頁面的左側面板包含您在方格右側 [事件] 頁面上看到的相同事件詳細數據資訊,而且與舊版幾乎完全相同。 無論頁面的其餘部分顯示哪一個索引標籤,此面板一律會顯示在顯示器上。 您可以從該處檢視事件的基本資訊,並透過下列方式向下切入:
選取 [事件]、[警示] 或 [書籤],以在事件頁面中開啟 [記錄] 面板。 [ 記錄 ] 面板會顯示您所選取的三個查詢中的哪一個,而且您可以深入查看查詢結果,而不會偏離事件。 深入了解記錄。
選取 [實體] 底下的任何專案,以顯示在 [實體] 索引卷標中。(只顯示事件中的前四個實體在這裡。選取 [概觀] 索引標籤上的 [實體] 小工具或 [實體] 索引標籤,以查看其餘部分。 瞭解您可以在 [實體] 索引標籤中執行的動作。
您也可以選取 [調查] 以在圖形化調查工具中開啟事件,以圖表顯示事件所有元素之間的關聯性。
此面板也可以藉由選取 [擁有者] 下拉式清單旁邊的小型左指雙箭號,折疊成畫面的左邊界。 不過,即使處於此最小化狀態,您仍然可以變更擁有者、狀態和嚴重性。
其餘的事件詳細數據頁面分成兩個索引標籤: 概觀 和 實體。
[概觀] 索引標籤包含下列小工具,每個小工具都代表您調查的基本目標。
事件 時間軸 小工具會顯示事件中的警示和 書籤 時間軸,可協助您重建攻擊者活動的時程表。 選取個別專案以查看其所有詳細數據,讓您進一步向下切入。
深入瞭解以下的事件時間軸小工具。
在 [類似事件] 小工具中 ,您會看到最多 20 個最類似目前事件的其他事件集合。 這可讓您在較大的內容中檢視事件,並協助引導您的調查。
深入瞭解下方的類似事件小工具。
[實體] 小工具會顯示警示中已識別的所有實體。 這些是事件中扮演角色的物件,無論是使用者、裝置、位址、檔案或任何其他 類型。 選取實體以查看其完整詳細數據(其會顯示在 [實體] 索引標籤中,如下所示)。
深入瞭解下方的實體小工具。
最後,在 Top Insights 小工具中,您會看到 Microsoft 安全性研究人員所定義的查詢結果集合,這些查詢會根據來源集合的數據,提供事件中所有實體的寶貴和內容安全性資訊。
深入瞭解下方的 Top Insights 小工具。
[實體] 索引標籤會顯示事件中實體的完整清單(與上述的實體小工具相同)。 當您在小工具中選取實體時,您會在這裡看到實體的完整檔案—其識別資訊、其啟用時間軸(事件內外),以及實體的完整深入解析集,就像您在實體的完整實體頁面中所看到的一樣(但僅限於事件適用的時間範圍)。
事件時程表
事件 時間軸 小工具會顯示事件中的警示和 書籤 時間軸,可協助您重建攻擊者活動的時程表。
您可以搜尋警示和書籤清單,或依嚴重性、策略或內容類型(警示或書籤)篩選清單,以協助您尋找您想要追求的專案。
時間軸的初始顯示會立即告訴您其中每個項目的相關幾個重要事項,無論是警示還是書籤:
- 建立 警示或書籤的日期和時間 。
- 在圖示上暫留時,圖示和工具提示所指出的項目類型、警示或書籤。
- 警示或書籤的名稱,以粗體類型在專案的第一行。
- 警示的嚴重性,由左邊緣的色帶表示,並以文字形式表示於警示的三部分「副標題」開頭。
- 警示 提供者,位於子標題的第二個部分。 針對書籤,書籤 的建立者 。
- 與警示相關聯的 MITRE ATT&CK 策略,以圖示和工具 提示 表示,在子標題的第三部分中。
將滑鼠停留在任何圖示或不完整的文字元素上,以查看具有該圖示或文字元素全文檢索的工具提示。 這些工具 提示 由於小工具的寬度有限而截斷顯示的文字時,會派上用場。 請參閱此螢幕快照中的範例:
選取個別警示或書籤以查看其完整詳細數據。
警示詳細數據 包括警示的嚴重性和狀態、產生的分析規則、產生警示的產品、警示中提及的實體、相關聯的 MITRE ATT&CK 策略和技術,以及內部 系統警示標識符。
選取 [ 系統警示標識符 ] 鏈接,進一步向下切入警示,開啟 [ 記錄 ] 面板,並顯示產生結果的查詢,以及觸發警示的事件。
書籤詳細數據 與警示詳細數據完全相同;雖然它們也包含實體、MITRE ATT&CK 策略和技術,以及 書籤標識符,但也包含原始結果和書籤建立者資訊。
選取 [ 檢視書籤記錄 ] 連結以開啟 [ 記錄 ] 面板,並顯示產生儲存為書籤結果的查詢。
從事件時間軸小工具,您也可以對警示和書籤採取下列動作:
在警示上執行劇本,以立即採取行動以減輕威脅。 有時候您需要在繼續調查之前封鎖或隔離威脅。 深入瞭解在警示上執行劇本。
從事件中移除警示。 如果您判斷事件不相關,您可以移除在事件建立之後新增至事件的警示。 深入瞭解如何從事件中移除警示。
從事件中移除書籤,或編輯書籤中可以編輯的欄位(未顯示)。
類似的事件
身為安全性作業分析師,在調查事件時,您會想要注意其較大的內容。 例如,您會想要查看這類其他事件是否在之前或正在發生。
您可能會想要識別可能屬於相同較大攻擊策略的並行事件。
您可能想要識別過去類似的事件,以將它們作為您目前調查的參考點。
您可能想要識別過去類似事件的擁有者、尋找SOC中可以提供更多內容的人員,或向誰呈報調查。
事件 詳細數據 頁面中的類似事件小工具最多會顯示 20 個與目前事件最相似的其他事件。 相似度是由內部 Microsoft Sentinel 演算法所計算,事件會以相似度遞減順序排序和顯示。
如同事件時程表小工具,您可以將滑鼠停留在任何因數據行寬度而未完全顯示的文字上,以顯示全文。
有三個準則可決定相似性:
類似的實體: 如果事件包含相同的 實體,就會被視為類似另一個事件。 兩個事件的共同實體越多,它們就越類似。
類似的規則: 如果事件都是由相同的 分析規則所建立,就會被視為類似另一個事件。
類似的警示詳細數據: 如果事件共用相同的標題、產品名稱和/或 自定義詳細數據,就會被視為類似另一個事件。
事件出現在類似事件清單中的原因會顯示在 [相似度原因 ] 資料行中。 將滑鼠停留在資訊圖示上以顯示一般專案(實體、規則名稱或詳細數據)。
事件相似性是根據事件中最後一個活動前 14 天的數據計算,這是事件中最近警示的結束時間。
每次您輸入事件詳細數據頁面時,都會重新計算事件相似性,因此如果已建立或更新新事件,則會話間的結果可能會有所不同。
取得事件的最佳見解
Microsoft Sentinel 的安全性專家已建置查詢,可自動詢問事件中實體的相關重大問題。 您可以在 [熱門深入解析] 小工具中看到 最上方的 解答,該小工具會顯示在事件詳細數據頁面右側。 此小工具會根據機器學習分析和安全性專家小組的策展,顯示深入解析的集合。
這些是實體頁面上出現的一些相同深入解析,特別針對協助您快速分級並了解威脅範圍而特別選取。 基於相同原因,事件中所有實體的深入解析會一起呈現,讓您更完整地瞭解所發生的情況。
以下是目前選取的最上層深入解析(清單可能會變更):
- 依帳戶的動作。
- 帳戶上的動作。
- UEBA 深入解析。
- 與使用者相關的威脅指標。
- 關注清單深入解析 (預覽)。
- 安全性事件的異常高數目。
- Windows 登入活動。
- IP 位址遠端連線。
- 符合 TI 的 IP 位址遠端連線。
每個深入解析(除了與關注清單相關的見解,目前除外)都有連結,您可以選取在事件頁面中開啟的 [記錄] 面板中開啟基礎查詢。 然後,您可以向下切入查詢的結果。
Top Insights 小工具的時間範圍是從事件中最早警示的 24 小時到最新警示的時間。
探索事件的實體
[實體] 小工具會顯示事件警示中已識別的所有實體。 這些是事件中扮演角色的物件,無論是使用者、裝置、位址、檔案或任何其他 類型。
您可以在實體小工具中搜尋實體清單,或依實體類型篩選清單,以協助您尋找實體。
如果您已經知道特定實體是已知的入侵指標,請選取實體數據列上的三個點,然後選擇 [新增至 TI ] 將 實體新增至威脅情報。 (此選項適用於 支援的實體類型。)
如果您想要觸發特定實體的自動響應順序,請選取三個點,然後選擇 [執行劇本](預覽)。 (此選項適用於 支援的實體類型。)
選取實體以查看其完整詳細數據。 當您選取實體時,您會從 [ 概觀] 索引卷標 移至 [實體] 索引卷標,這是事件詳細數據頁面的另一個部分。
[實體] 索引標籤
[實體] 索引標籤會顯示事件中所有實體的清單。
如同實體小工具,此清單也可以依實體類型來搜尋和篩選。 在一個清單中套用的搜尋和篩選不會套用至另一個清單。
選取清單中要顯示在右側側邊面板中該實體信息的數據列。
如果實體名稱顯示為連結,選取實體的名稱會將您重新導向至事件調查頁面以外的完整 實體頁面。 若要只顯示側邊面板而不離開事件,請選取實體出現所在清單中的數據列,但不選取其名稱。
您可以在這裏採取與概觀頁面上小工具相同的動作。 選取實體數據列中的三個點,以執行劇本或將實體新增至您的威脅情報。
您也可以選取側邊面板底部 [檢視完整詳細數據] 旁的按鈕,以採取這些動作。 按鈕會讀取 [新增至 TI]、 [執行劇本]或 [實體動作] —在此情況下,功能表會出現另外兩個選項。
[ 檢視完整詳細數據 ] 按鈕本身會將您重新導向至實體的完整實體頁面。
側邊面板有三張卡片:
資訊 包含實體的識別資訊。 例如,對於使用者帳戶實體,這可能是像是用戶名稱、功能變數名稱、安全性標識碼(SID)、組織資訊、安全性資訊等等,以及IP位址,例如地理位置。
時間軸 包含功能此實體的警示、 書籤和 異常 清單,以及實體已執行的活動,如從實體出現的記錄中收集。 此實體的所有警示都會在此清單中, 不論警示是否 屬於此事件。
不屬於事件的警示會以不同的方式顯示:盾牌圖示會呈現灰色,嚴重性色彩帶會是虛線而不是實線,而且警示列右側會有加號的按鈕。
選取加號,將 警示新增至此事件。 當警示新增至事件時,所有警示的其他實體(尚未屬於事件的一部分)也會新增至該事件。 現在,您可以查看 這些 實體的相關警示時程表,進一步展開調查。
此時程表僅限於過去七天內的警示和活動。 若要進一步返回,請樞紐至完整實體頁面中的時程表,其時間範圍是可自定義的。
深入解析 包含 Microsoft 安全性研究人員所定義的查詢結果,這些查詢會根據來源集合的數據,提供實體的寶貴內容安全性資訊。 這些深入解析包括 Top Insights 小工具中的深入解析,以及更多深入解析;它們與出現在完整 實體頁面上的相同深入解析,但在有限的時間範圍內:從事件中最早警示前 24 小時開始,並結束於最新警示的時間。
大部分深入解析都包含連結,當選取時,開啟 [記錄 ] 面板 ,顯示產生深入解析的查詢及其結果。
專注您的調查
瞭解如何將 警示新增至事件或從事件中移除警示,以擴大或縮小調查範圍。
深入了解記錄中的數據
從調查體驗的任何地方,您就能在調查內容中選取一個連結,以在 [記錄 ] 面板中開啟基礎查詢。 如果您從其中一個連結取得 [記錄] 面板,對應的查詢會出現在查詢視窗中,而且查詢會自動執行,併產生適當的結果供您探索。
您也可以隨時在事件詳細數據頁面內呼叫空的 [記錄] 面板,如果您認為您想要在調查時嘗試的查詢,同時留在內容中。 若要這樣做,請選取頁面頂端的 [ 記錄 ]。
不過,如果您已執行想要儲存其結果的查詢,則最後會位於 [記錄] 面板上:
標記您要從結果中儲存的數據列旁的複選框。 若要儲存所有結果,請標記數據行頂端的複選框。
將標示的結果儲存為書籤。 您有兩個選項可完成此動作:
建立書籤之後(或如果您選擇不這麼做),請選取 [完成 ] 以關閉 [ 記錄 ] 面板。
稽核和批注事件
在調查事件時,您會想要徹底記錄您採取的步驟,既要確保向管理提供準確的報告,又能夠讓同事之間順暢地合作和共同作業。 您也會想要清楚地看到其他人對事件採取之任何動作的記錄,包括自動化程式。 Microsoft Sentinel 提供 您活動記錄、豐富的稽核和批注環境,以協助您完成這項作業。
您也可以使用批注自動擴充事件。 例如,當您在從外部來源擷取相關信息的事件上執行劇本時(例如,在 VirusTotal 檢查惡意代碼的檔案),您可以在事件批注中放置外部來源的回應,以及您定義的任何其他資訊。
活動記錄會自動重新整理,即使開啟,您隨時都能即時看到變更。 當您開啟活動記錄檔時,您也會收到對活動記錄所做的任何變更的通知。
若要檢視活動和批注的記錄,或新增您自己的批注:
- 選取 事件詳細數據頁面頂端的活動記錄 。
- 若要篩選記錄檔,只顯示活動或只顯示批注,請選取記錄頂端的篩選控件。
- 如果您想要新增批注,請在事件活動記錄面板底部的 RTF 編輯器中輸入批注。
- 選取 [ 批注 ] 以提交批注。 您現在會在記錄的頂端看到您的批注。
批注的考慮
以下是使用事件批注時要考慮的幾個考慮。
支援的輸入:
文字: Microsoft Sentinel 中的批注支援純文本、基本 HTML 和 Markdown 中的文字輸入。 您也可以複製的文字、HTML 和 Markdown 貼到批注視窗中。
連結: 連結的格式必須是 HTML 錨點標籤,而且它們必須具有 參數
target="_blank"。 範例:<a href="https://www.url.com" target="_blank">link text</a>注意
如果您有在事件中建立批注的劇本,這些批注中的連結現在也必須符合此範本,因為批注格式有所變更。
影像: 您可以在批注中插入影像的連結,且影像會內嵌顯示,但影像必須已裝載在可公開存取的位置,例如Dropbox、OneDrive、Google Drive等。 影像無法直接上傳至批注。
大小限制:
每個批注: 單一批注最多可以包含 30,000 個字元。
每個事件: 單一事件最多可以包含 100個批注。
注意
Log Analytics 中 SecurityIncident 資料表中單一事件記錄的大小限制為 64 KB。 如果超過此限制,將會截斷批注(從最早開始),這可能會影響進階搜尋結果中顯示的批注。
事件資料庫中的實際事件記錄不會受到影響。
神秘 可以編輯或移除:
編輯: 只有批注的作者才有權編輯它。
刪除: 只有具有 Microsoft Sentinel 參與者 角色的使用者才有權刪除批注。 即使是批註的作者也必須有此角色才能刪除它。
使用調查圖表以可視化方式調查事件
如果您偏好可視化、圖形表示警示、實體,以及調查中警示之間的連線,您也可以完成上述許多與傳統調查圖表討論的內容。 圖表的缺點是,您最終必須更進一步地切換內容。
調查圖表向您提供以下資訊:
原始資料的視覺化內容:即時視覺化圖表會顯示從原始資料自動擷取的實體關聯性。 這可讓您輕鬆地查看不同數據源之間的連線。
完整調查範圍探索:使用內建探索查詢展開調查範圍,以呈現缺口的完整範圍。
內建調查步驟:使用預先定義的探索選項,確保您在遇到威脅時詢問正確的問題。
如要使用調查圖表:
選取事件,然後選取 [調查]。 這會將您引導至調查圖表。 此圖表提供直接連線至警示的實體,以及每個進一步連線資源的說明對應。
重要
只有在產生的分析規則或書籤包含實體對應時,您才能調查事件。 您的原始事件中必須包含實體,才能使用調查圖表。
調查圖表目前支持調查 長達 30 天的事件。
選取實體以開啟 [ 實體 ] 窗格,以便檢閱該實體的相關信息。
將滑鼠暫留在每個實體上,以顯示每個實體類型的安全性專家和分析師所設計的問題清單,以加深調查。 我們會呼叫這些選項 探索查詢。
例如,您可以要求相關的警示。 如果您選取探索查詢,產生的授權會新增回圖形。 在此範例中,選取 [相關警示 ] 會將下列警示傳回圖表:
查看相關警示會依虛線顯示到實體。
針對每個探索查詢,您可以選取選項來開啟原始事件結果,以及Log Analytics中使用的查詢,方法是選取 [事件>]。
為了瞭解事件,圖表會提供平行時間軸。
將滑鼠停留在時間軸上,以查看圖形上發生的時間點。
關閉事件
解決特定事件之後(例如,當您的調查得出結論時),您應該將事件的狀態設定為 [已關閉]。 當您這樣做時,系統會要求您指定關閉事件的原因來分類事件。 此步驟為必要步驟。 按兩下 [ 選取分類 ],然後從下拉式清單中選擇下列其中一項:
- True Positive – 可疑活動
- 良性正面 – 可疑但預期
- 誤判 – 不正確的警示邏輯
- 誤判 – 不正確的數據
- 未決定
如需誤判和良性正面的詳細資訊,請參閱 在 Microsoft Sentinel 中處理誤判。
選擇適當的分類之後,請在 [ 批注 ] 字段中新增一些描述性文字。 這在您需要參考此事件的事件中很有用。 完成時按兩下 [套用 ],事件將會關閉。
搜尋事件
若要快速尋找特定事件,請在事件方格上方的搜尋方塊中輸入搜尋字串,然後按 Enter 以修改據此顯示的事件清單。 如果您的事件未包含在結果中,您可能想要使用 進階搜尋選項縮小搜尋 範圍。
若要修改搜尋參數,請選取 [ 搜尋 ] 按鈕,然後選取您要在其中執行搜尋的參數。
例如:
根據預設,事件搜尋只會在事件標識碼、標題、標籤、擁有者和產品名稱值之間執行。 在搜尋窗格中,向下捲動清單以選取一或多個要搜尋的其他參數,然後選取 [ 套用 ] 以更新搜尋參數。 選取 [設定為預設 ] 會將選取的參數重設為預設選項。
注意
[擁有者] 欄位中的搜尋同時支援名稱和電子郵件位址。
使用進階搜尋選項會變更搜尋行為,如下所示:
| 搜尋行為 | 描述 |
|---|---|
| 搜尋按鈕色彩 | 搜尋按鈕的色彩會根據目前在搜尋中使用的參數類型而變更。
|
| 自動重新整理 | 使用進階搜尋參數可防止您選取以自動重新整理結果。 |
| 實體參數 | 進階搜尋支援所有實體參數。 在任何實體參數中搜尋時,搜尋會在所有實體參數中執行。 |
| 搜尋字串 | 搜尋單字字串包含搜尋查詢中的所有單字。 搜尋字串會區分大小寫。 |
| 跨工作區支援 | 跨工作區的檢視不支援進階搜尋。 |
| 顯示的搜尋結果數目 | 當您使用進階搜尋參數時,一次只會顯示 50 個結果。 |
提示
如果您找不到您要尋找的事件,請移除搜尋參數以展開您的搜尋。 如果您的搜尋結果太多,請新增更多篩選以縮小結果範圍。
下一步
在本文中,您已瞭解如何開始使用 Microsoft Sentinel 調查事件。 如需詳細資訊,請參閱