使用 Microsoft Sentinel 在搜捕時持續追蹤資料

Microsoft Sentinel 中的搜捕書籤可協助您保留您認為相關的查詢和查詢結果。 您也可以藉由新增附註和標記來記錄內容觀察，並參考您的結果。 您和小組成員可以看到書籤資料，以便輕鬆共同作業。 如需詳細資訊，請參閱 書籤。

備註

書籤只能在 Azure 入口網站中建立。 雖然您無法在 Microsoft Defender 入口網站中新增書籤，但您可以看到已建立的書籤。

重要事項

Microsoft Sentinel 已在 Microsoft Defender 入口網站中正式推出，包括沒有 Microsoft Defender XDR 或 E5 授權的客戶。

從 2026 年 7 月開始，所有在 Azure 入口網站中使用 Microsoft Sentinel 的客戶都會重新導向至 Defender 入口網站，且只會在 Defender 入口網站中使用 Microsoft Sentinel。 從 2025 年 7 月開始，許多新客戶 會自動上線並重新導向至 Defender 入口網站。

如果您仍在 Azure 入口網站中使用 Microsoft Sentinel，建議您開始規劃 轉換至 Defender 入口網站 ，以確保順利轉換，並充分利用 Microsoft Defender 所提供的統一安全性作業體驗。 如需詳細資訊，請參閱 移轉時間：Microsoft 淘汰 Sentinel 的 Azure 入口網站，以取得更高的安全性。

新增書籤 （僅限 Azure 入口網站）

建立書籤來保留查詢、結果、觀察結果和結果。

1. 在 [威脅管理] 底下，選取 [ 搜捕]。

2. 從 查詢 索引標籤中，選取一或多個狩獵查詢。

3. 從頂端命令行選取 [ 執行選取的查詢]。

4. 選取 [檢視查詢結果]。 例如：

   

   此動作會在 [ 記錄 ] 窗格中開啟查詢結果。

5. 從記錄查詢結果清單中，使用核取方塊來選取包含您感興趣之資訊的一個或多個資料列。

6. 在 Azure 入口網站中，選取 [新增書籤]：

   

7. 在右側的 [ 新增書籤 ] 窗格中，選擇性地更新書簽名稱、新增標記和附註，以協助您識別專案感興趣的內容。

8. 書籤可以選擇性地對應至 MITRE ATT&CK 技術或子技術。 MITRE ATT&CK 對應繼承自搜捕查詢中的對應值，但您也可以手動建立這些對應。 從 [新增書籤] 窗格的 [策略與技術] 區段中的下拉功能表中，選取與所需技術相關聯的 MITRE ATT&CK 策略。 該功能表會展開以顯示所有 MITRE ATT&CK 技術，您可以從中選取多個技術和子技術。

   

9. 現在可以從加入書籤的查詢結果中擷取擴充的實體集合，以進行更深入的調查。 在 [ 實體對應] 區段中，使用下拉式清單來選取 實體類型和標識符。 然後，對應查詢結果中包含相應識別碼的資料行。 例如：

   

   若要在調查圖表中檢視書籤，您至少需要對應一個實體。 您所建立的帳戶、主機、IP 和 URL 實體類型的實體對應是受到支援的，因此保有回溯相容性。

10. 選取 [建立] 以認可變更並新增書籤。 所有加入書籤的資料都會與其他分析師共享，而這是實現共同調查體驗的第一步。

無論何時從 Microsoft Sentinel 開啟此窗格，記錄查詢結果都會支援書籤。 例如，如果您從導覽列選取 [ 一般>記錄 ]，請選取調查圖表中的事件連結，或從事件的完整詳細數據中選取警示標識符。 當 [ 記錄 ] 窗格從另一個位置開啟時，您無法建立書籤，例如直接從 Azure 監視器。

檢視和更新書籤

從書籤索引標籤尋找及更新書籤。

1. 針對 Azure 門戶中的 Microsoft Sentinel，請在 威脅管理 底下選取 狩獵。
   針對 Defender 入口網站中的 Microsoft Sentinel，選取 [Microsoft Sentinel]>[威脅管理]>[搜捕]。

2. 選取 [ 書籤] 索引 標籤以檢視書籤清單。

3. 搜尋或篩選以尋找特定的一或多個書籤。

4. 選取個別書籤，然後在右側窗格中檢視書籤的詳細資料。

5. 視需要進行變更。 您的變更會自動儲存。

備註

您只能在書籤索引標籤中檢視最多 1,000 個書籤。您可以在記錄中檢視其餘的書籤數據。 瞭解更多資訊

探索調查圖表中的書籤

啟動調查體驗，讓您使用互動式實體圖表和時間表，以視覺化的方式來檢視、調查及傳達您的結果，藉此視覺化您加入書籤的資料。

1. 從 [書籤] 索引標籤中，選取您想要調查的一或多個書籤。

2. 在書籤詳細資料中，確定至少已對應一個實體。

3. 選取 [調查] 以檢視調查圖表中的書籤。

如需使用調查圖表的指示，請參閱 使用調查圖表深入探討。

在新的或現有的事件中新增書籤（僅限 Azure 入口網站）

在 [搜捕] 頁面上的 [書籤] 索引標籤中，將書籤新增到事件中。

1. 從 [書籤] 索引標籤中，選取您想要新增至事件的一或多個書籤。

2. 從命令列選取 [事件動作 ]：

   

3. 視需要選取 [建立新事件 ] 或 [新增至現有事件]。 然後：

   • 針對新的事件：選擇性地更新事件的詳細數據，然後選取 [ 建立]。
   • 若要將書籤新增至現有的事件：選取一個事件，然後選取 [ 新增]。

4. 若要檢視事件內的書籤，

   1. 移至 Microsoft Sentinel>威脅管理>事件。
   2. 選取含有書籤的事件，並 檢視完整詳細數據。
   3. 在事件頁面上的左窗格中，選取 [書籤]。

在記錄中檢視已新增為書籤的資料

檢視書籤查詢、結果或其歷程記錄。

1. 從 [搜捕]>[書籤] 索引標籤中，選取書籤。

2. 從詳細資料窗格中，選取下列連結：

   • 檢視來源查詢 ，以在 [ 記錄 ] 窗格中檢視來源查詢。

   • 檢視書籤記錄 ，以查看所有書籤元數據，包括進行更新的人員、更新的值，以及更新發生時間。

3. 從 [ Hunting>書籤 ] 索引標籤上的命令欄，選取 [ 書籤記錄 ] 以檢視所有書籤的原始書籤數據。

   

此檢視會顯示所有書籤和相關中繼資料。 您可以使用 Kusto 查詢語言 (KQL) 查詢來篩選出您要尋找之特定書籤的最新版本。

建立書籤的時間和該書籤在 [書籤] 索引標籤中顯示的時間之間，可能會有顯著的延遲 (以分鐘為單位)。

刪除書籤

刪除書籤會從 [書籤] 索引標籤中的清單中移除 書籤 。Log Analytics 工作區的 HuntingBookmark 數據表會繼續包含先前的書籤專案，但最新的專案會將 SoftDelete 值變更為 true，讓您輕鬆地篩選掉舊的書籤。 刪除書籤的動作，並不會從與其他書籤或警示相關聯的調查體驗中移除任何實體。

若要刪除書籤，請完成下列步驟。

1. 從 [搜捕]>[書籤] 索引標籤中，選取您想要刪除的一或多個書籤。

2. 以滑鼠右鍵按一下，然後選取選項，以刪除選取的書籤。

相關內容

在本文中，您已了解如何在 Microsoft Sentinel 中利用書籤執行搜捕調查。 若要深入了解 Microsoft Sentinel，請參閱下列文章：

• 使用Microsoft Sentinel 進行威脅搜捕
• 使用筆記本執行自動化搜捕活動
• 使用Microsoft Sentinel 進行威脅搜捕 （訓練模組）