使用 Microsoft Sentinel 搜捕期間追蹤數據

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

威脅搜捕通常需要檢閱大量記錄數據,以尋找惡意行為的證據。 在這個過程中,調查人員發現他們想要記住、重新審視和分析的事件,作為驗證潛在假設的一部分,並瞭解妥協的完整故事。

Microsoft Sentinel 中的搜捕書籤可藉由保留您在 Microsoft Sentinel 中 執行的查詢來協助您 - 記錄,以及您認為相關的查詢結果。 您也可以透過新增備註與標籤來記錄及參考相關的觀察發現。 您與小組成員可看到已加入書籤的資料,方便共同作業。

現在,您可以藉由將自定義搜捕查詢對應至 MITRE ATT&CK 技術,找出並解決 MITRE ATT&CK 技術涵蓋範圍中的差距。

藉由對應自定義查詢中 Microsoft Sentinel Analytics 所支援的一組完整實體類型和標識符,在搜捕書籤時調查更多類型的實體。 使用書籤來探索使用實體頁面事件和調查圖表在搜捕查詢結果中傳回的實體。 如果書籤從搜捕查詢擷取結果,它會自動繼承查詢的MITRE ATT&CK 技術和實體對應。

如果您在記錄中搜捕時發現一些急需解決的專案,您可以輕鬆地建立書籤,並將其升級至事件,或將其新增至現有的事件。 如需事件的詳細資訊,請參閱 使用 Microsoft Sentinel 調查事件。

如果您發現某個值得加入書籤的東西,但並非立即緊急,您可以建立書籤,然後在 [搜捕] 窗格的 [書籤] 索引卷標上隨時重新流覽您的書籤數據。 您可使用篩選與搜尋選項,快速找出您正在調查的特定資料。

您可以從書籤詳細數據中選取 [調查 ],以將書籤數據可視化。 這會啟動調查體驗,您可以在其中使用互動式實體圖表和時程表,以可視化方式檢視、調查和傳達結果。

或者,您也可以直接在Log Analytics工作區的 HuntingBookmark 資料表中檢視書籤數據。 例如:

檢視搜捕書籤數據表的螢幕快照。

從數據表檢視書籤可讓您篩選、摘要及聯結書籤數據與其他數據源,讓您輕鬆地尋找辨識項。

注意

如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。

重要

Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

新增書籤

建立書籤來保留查詢、結果、觀察結果和結果。

  1. 針對 Azure 入口網站 中的 Microsoft Sentinel,在 [威脅管理] 底下選取 [搜捕]。
    針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>威脅管理>搜捕]。

  2. 選取其中一個搜捕查詢。

  3. 在搜捕查詢詳細數據中,選取 [ 執行查詢]。

  4. 選取 [ 檢視查詢結果]。 例如:

    檢視 Microsoft Sentinel 搜捕查詢結果的螢幕快照。

    此動作會在 [ 記錄 ] 窗格中開啟查詢結果。

  5. 從記錄查詢結果清單中,使用複選框來選取一或多個數據列,其中包含您感興趣的資訊。

  6. 選取 [新增書籤]:

    新增搜捕書籤以查詢的螢幕快照。

  7. 在右側的 [新增書籤 ] 窗格中,選擇性地更新書簽名稱、新增標記和附註,以協助您識別專案感興趣的內容。

  8. 書籤可以選擇性地對應至 MITRE ATT&CK 技術或子技術。 MITRE ATT&CK 對應繼承自搜捕查詢中的對應值,但您也可以手動建立它們。 從 [新增書籤] 窗格的 [策略與技術] 區段中的下拉功能表中,選取與所需技術相關聯的 MITRE ATT&CK 策略。 功能表會展開以顯示所有 MITRE ATT&CK 技術,而且您可以在此功能表中選取多個技術和子技術。

    如何將 Mitre 攻擊策略和技術對應至書籤的螢幕快照。

  9. 現在可以從書籤查詢結果擷取擴充的實體集,以進行進一步調查。 在 [ 實體對應] 區段中,使用下拉式清單來選取 實體類型和標識符。 然後對應查詢結果中的數據行,其中包含對應的標識碼。 例如:

    對應搜捕書簽實體類型的螢幕快照。

    若要在調查圖表中檢視書籤,您必須對應至少一個實體。 支援您建立的帳戶、主機、IP 和 URL 實體類型的實體對應,並保留回溯相容性。

  10. 選取 [ 儲存 ] 以認可您的變更並新增書籤。 所有已加入書籤的數據都會與其他分析師共用,而且是共同調查體驗的第一步。

每當從 Microsoft Sentinel 開啟此窗格時,記錄查詢結果就會支援書籤。 例如,您可以從導覽列選取 [一般>記錄]、選取調查圖表中的事件連結,或從事件的完整詳細數據中選取警示標識符。 當 [記錄] 窗格從其他位置開啟時,您無法建立書籤,例如直接從 Azure 監視器。

檢視和更新書籤

從書籤索引標籤尋找及更新書籤。

  1. 針對 Azure 入口網站 中的 Microsoft Sentinel,在 [威脅管理] 底下選取 [搜捕]。
    針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>威脅管理>搜捕]。

  2. 選取 [ 書籤] 索引 標籤以檢視書籤清單。

  3. 搜尋或篩選以尋找特定的書籤或書籤。

  4. 選取個別書籤,以檢視右側窗格中的書籤詳細數據。

  5. 視需要進行變更。 您的變更會自動儲存。

探索調查圖表中的書籤

藉由啟動調查體驗,以可視化方式呈現您的書籤數據,您可以在其中使用互動式實體圖表和時程表來檢視、調查和可視化地傳達您的結果。

  1. 從 [ 書籤] 索引 標籤中,選取您想要調查的書籤或書籤。

  2. 在書籤詳細數據中,確定至少有一個實體已對應。

  3. 選取 [調查] 以檢視調查圖表中的書籤。

如需使用調查圖表的指示,請參閱 使用調查圖表深入探討

將書籤新增至新的或現有的事件

從 [搜捕] 頁面上的 [書籤] 索引標籤,將書籤新增至事件。

  1. 從 [ 書籤] 索引 標籤中,選取您想要新增至事件的書籤或書籤。

  2. 從命令列選取 [事件動作 ]:

    將書籤新增至事件的螢幕快照。

  3. 視需要選取 [ 建立新事件 ] 或 [新增至現有事件]。 接下來:

    • 針對新的事件:選擇性地更新事件的詳細數據,然後選取 [ 建立]。
    • 若要將書籤新增至現有的事件:選取一個事件,然後選取 [ 新增]。

除了命令行上的 [事件動作] 選項,您可以使用操作功能表 (...) 來選取 [建立新事件]、[新增至現有事件] 和 [從事件移除] 的選項

若要檢視事件內的書籤:流覽至 Microsoft Sentinel>威脅管理>事件 ,並使用您的書籤選取事件。 選取 [ 檢視完整詳細數據],然後選取 [ 書籤] 索引標籤

在記錄中檢視書籤數據

檢視書籤查詢、結果或其歷程記錄。

  1. 從 [搜捕>書籤] 索引卷標選取書籤。

  2. 選取詳細資料窗格中提供的連結:

    • 檢視來源查詢 ,以在 [ 記錄 ] 窗格中檢視來源查詢。

    • 檢視書籤記錄 ,以查看所有書籤元數據,包括進行更新的人員、更新的值,以及更新發生時間。

  3. 從 [搜捕>書籤] 索引標籤上的命令行選取 [書籤記錄],以檢視所有書籤的原始書籤數據:

    書籤記錄命令的螢幕快照。

此檢視會顯示所有具有相關聯元數據的書籤。 您可以使用 Kusto 查詢語言 (KQL) 查詢來篩選到您要尋找之特定書籤的最新版本。

建立書籤的時間與 [書籤] 索引標籤中顯示的時間之間,可能會有顯著的延遲(以分鐘為單位)。

刪除書籤

刪除書籤會從 [書籤] 索引標籤中的 清單中移除書籤 。Log Analytics 工作區的 HuntingBookmark 數據表會繼續包含先前的書籤專案,但最新的專案會將 SoftDelete 值變更為 true,讓您輕鬆地篩選掉舊的書籤。 刪除書籤並不會從與其他書籤或警示相關聯的調查體驗中移除任何實體。

若要刪除書籤,請完成下列步驟。

  1. 從 [搜捕>書籤] 索引標籤中,選取您想要刪除的書籤或書籤。

  2. 以滑鼠右鍵按兩下,然後選取選項以刪除選取的書籤。

相關內容

在本文中,您已瞭解如何使用 Microsoft Sentinel 中的書籤來執行搜捕調查。 若要深入了解 Microsoft Sentinel,請參閱下列文章: