Sledování dat během proaktivního vyhledávání pomocí Microsoft Sentinelu

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Záložky proaktivního vyhledávání v Microsoft Sentinelu pomáhají zachovat dotazy a výsledky dotazů, které považujete za relevantní. Můžete také zaznamenat svá kontextová pozorování a odkazovat na svá zjištění přidáváním poznámek a značek. Data v záložkách můžete vidět vy a ostatní členové vašeho týmu, což usnadňuje spolupráci. Další informace najdete v tématu Záložky.

Důležité

Microsoft Sentinel je k dispozici jako součást sjednocené provozní platformy zabezpečení na portálu Microsoft Defender. Microsoft Sentinel na portálu Defender je teď podporovaný pro produkční použití. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Přidání záložky

Vytvořte záložku pro zachování dotazů, výsledků, pozorování a zjištění.

  1. Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Proaktivní vyhledávání.
    Pro Microsoft Sentinel na portálu Defender vyberte Proaktivní vyhledávání pro správu>hrozeb Microsoft Sentinelu>.

  2. Na kartě Proaktivní vyhledávání vyberte lov.

  3. Vyberte jeden z dotazů proaktivního vyhledávání.

  4. V podrobnostech dotazu proaktivního vyhledávání vyberte Spustit dotaz.

  5. Vyberte Zobrazit výsledky dotazu. Příklad:

    Snímek obrazovky s zobrazením výsledků dotazu z proaktivního vyhledávání v Microsoft Sentinelu

    Tato akce otevře výsledky dotazu v podokně Protokoly .

  6. V seznamu výsledků dotazu protokolu pomocí zaškrtávacích políček vyberte jeden nebo více řádků, které obsahují informace, které jsou zajímavé.

  7. Vyberte Přidat záložku:

    Snímek obrazovky s přidáním záložky proaktivního vyhledávání k dotazu

  8. Na pravé straně v podokně Přidat záložku volitelně aktualizujte název záložky, přidejte značky a poznámky, abyste mohli zjistit, co bylo zajímavé o položce.

  9. Záložky lze volitelně mapovat na techniky MITRE ATT&CK nebo dílčí techniky. Mapování MITRE ATT&CK se dědí z mapovaných hodnot v dotazech proaktivního vyhledávání, ale můžete je také vytvořit ručně. V rozevírací nabídce v části Taktika a techniky v podokně Přidat záložku vyberte taktiku MITRE ATT&CK přidruženou k požadované technice. Nabídka se rozbalí a zobrazí všechny techniky MITRE ATT&CK a v této nabídce můžete vybrat několik technik a dílčích technik.

    Snímek obrazovky znázorňuje, jak mapovat taktiku a techniky útoku Mitre na záložky.

  10. Teď je možné rozbalenou sadu entit extrahovat z výsledků dotazu se záložkami pro další šetření. V části Mapování entit pomocí rozevíracích seznamů vyberte typy a identifikátory entit. Potom namapujte sloupec ve výsledcích dotazu obsahujícím odpovídající identifikátor. Příklad:

    Snímek obrazovky pro mapování typů entit pro záložky proaktivního vyhledávání

    Pokud chcete zobrazit záložku v grafu šetření, musíte namapovat aspoň jednu entitu. Mapování entit na typy entit účtů, hostitelů, IP adres a adres URL, které jste vytvořili, se podporují a zachovávají zpětnou kompatibilitu.

  11. Výběrem možnosti Uložit potvrďte změny a přidejte záložku. Všechna data v záložkách se sdílí s dalšími analytiky a je prvním krokem směrem k prostředí pro zkoumání spolupráce.

Výsledky dotazu protokolu podporují záložky při každém otevření tohoto podokna z Microsoft Sentinelu. Například z navigačního panelu vyberete obecné>protokoly, v grafu vyšetřování vyberete odkazy na události nebo vyberete ID výstrahy z úplných podrobností incidentu. Záložky nelze vytvořit, když se podokno Protokoly otevře z jiných umístění, například přímo ze služby Azure Monitor.

Zobrazení a aktualizace záložek

Najděte a aktualizujte záložku na kartě záložky.

  1. Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Proaktivní vyhledávání.
    Pro Microsoft Sentinel na portálu Defender vyberte Proaktivní vyhledávání pro správu>hrozeb Microsoft Sentinelu>.

  2. Výběrem karty Záložky zobrazíte seznam záložek.

  3. Hledáním nebo filtrováním můžete vyhledat konkrétní záložku nebo záložky.

  4. Výběrem jednotlivých záložek zobrazíte podrobnosti záložky v pravém podokně.

  5. Podle potřeby proveďte změny. Vaše změny se automaticky uloží.

Zkoumání záložek v grafu šetření

Vizualizujte svá data v záložkách spuštěním prostředí pro šetření, ve kterém můžete zobrazit, prozkoumat a vizuálně sdělit svá zjištění pomocí interaktivního diagramu a časové osy grafu entit.

  1. Na kartě Záložky vyberte záložku nebo záložky, které chcete prozkoumat.

  2. V podrobnostech záložky se ujistěte, že je namapovaná aspoň jedna entita.

  3. Výběrem možnosti Prozkoumat zobrazíte záložku v grafu šetření.

Pokyny k použití grafu šetření najdete v tématu Podrobné informace o použití grafu šetření.

Přidání záložek do nového nebo existujícího incidentu

Přidejte záložky k incidentu z karty záložek na stránce Proaktivní vyhledávání .

  1. Na kartě Záložky vyberte záložku nebo záložky, které chcete přidat k incidentu.

  2. Na panelu příkazů vyberte akce incidentu:

    Snímek obrazovky s přidáním záložek k incidentu

  3. Podle potřeby vyberte Vytvořit nový incident nebo Přidat do existujícího incidentu. Potom:

    • Pro nový incident: Volitelně aktualizujte podrobnosti incidentu a pak vyberte Vytvořit.
    • Přidání záložky do existujícího incidentu: Vyberte jeden incident a pak vyberte Přidat.

  4. Pokud chcete zobrazit záložku v rámci incidentu,

    1. Přejděte na Incidenty správy>hrozeb služby Microsoft Sentinel.>
    2. Vyberte incident se záložkou a zobrazte si úplné podrobnosti.
    3. Na stránce incidentu v levém podokně vyberte záložky.

Zobrazení dat v záložkách v protokolech

Umožňuje zobrazit záložkované dotazy, výsledky nebo jejich historii.

  1. Na kartě Záložky proaktivního vyhledávání>vyberte záložku.

  2. V podokně podrobností vyberte následující odkazy:

    • Zobrazením zdrojového dotazu zobrazíte zdrojový dotaz v podokně Protokoly .

    • Zobrazte si protokoly záložek, abyste viděli všechna metadata záložek, včetně toho, kdo provedl aktualizaci, aktualizované hodnoty a čas, kdy k aktualizaci došlo.

  3. Na panelu příkazů na kartě Záložky proaktivního vyhledávání>vyberte Protokoly záložek a zobrazte nezpracovaná data záložek pro všechny záložky.

    Snímek obrazovky s příkazem protokoly záložek

Toto zobrazení zobrazuje všechny záložky s přidruženými metadaty. Dotazy dotazovací jazyk Kusto (KQL) můžete použít k filtrování na nejnovější verzi konkrétní záložky, kterou hledáte.

Mezi dobou vytvoření záložky a zobrazením na kartě Záložky může dojít k významnému zpoždění (měřeno v minutách ).

Odstranění záložky

Odstraněním záložky odeberete záložku ze seznamu na kartě Záložka . Tabulka HuntingBookmark pro váš pracovní prostor služby Log Analytics nadále obsahuje předchozí položky záložek, ale nejnovější položka změní hodnotu SoftDelete na true a usnadňuje filtrování starých záložek. Odstranění záložky neodebere žádné entity z prostředí pro šetření, které jsou přidružené k jiným záložkám nebo upozorněním.

Pokud chcete záložku odstranit, proveďte následující kroky.

  1. Na kartě Záložky proaktivního vyhledávání>vyberte záložku nebo záložky, které chcete odstranit.

  2. Klikněte pravým tlačítkem myši a vyberte možnost pro odstranění vybraných záložek.

Související obsah

V tomto článku jste zjistili, jak spustit proaktivní šetření pomocí záložek v Microsoft Sentinelu. Další informace o službě Microsoft Sentinel najdete v následujících článcích: