Ukládání důležitých zjištění pomocí záložek

  • 5 min

Pokud chcete proaktivně vyhledávat hrozby v prostředí společnosti Contoso, musíte kontrolovat velké objemy dat v protokolech, jestli v nich není nějaký důkaz škodlivého chování. Během tohoto procesu můžete najít události, které si budete chtít zapamatovat, vrátit se k nim a analyzovat je, abyste ověřili potenciální hypotézu a porozuměli úplnému kontextu ohrožení.

Proaktivní vyhledávání pomocí záložek

Záložky v Microsoft Sentinelu vám můžou pomoct hledat hrozby tím, že zachováte dotazy, které jste už spustili, spolu s výsledky dotazu, které považujete za relevantní. Můžete také zaznamenat svá kontextová pozorování a odkazovat na svá zjištění přidáváním poznámek a značek. Data v záložkách můžete vidět vy a ostatní členové vašeho týmu, což usnadňuje spolupráci.

Data v záložkách si můžete kdykoli znovu prohlédnout na kartě Záložky na stránce Proaktivní vyhledávání. Pomocí možností filtrování a hledání můžete rychle najít konkrétní data pro vaše aktuální prověřování. Případně si můžete data v záložkách prohlédnout přímo v tabulce HuntingBookmark v pracovním prostoru služby Log Analytics.

Poznámka:

Události v záložkách obsahují standardní informace o událostech, ale dají se používat různými způsoby v rozhraní Microsoft Sentinelu.

Vytváření nebo přidávání incidentů pomocí záložek

Pomocí záložek můžete vytvořit nový incident nebo můžete přidávat výsledky dotazů v záložkách do existujících incidentů. Tlačítko Akce incidentu na panelu nástrojů vám umožňuje provést oba tyto úkoly, když je vybraná některá záložka.

Snímek obrazovky s rozevírací nabídkou akcí incidentů v Microsoft Sentinelu

Incidenty vytvořené ze záložek je možné spravovat na stránce Incidenty spolu s dalšími incidenty vytvořenými v Microsoft Sentinelu.

Zkoumání záložek pomocí grafu prověřování

Záložky můžete vyšetřovat stejným způsobem jako incidenty ve službě Microsoft Sentinel. Na stránce Proaktivní vyhledávání vyberte Prozkoumat a otevřete graf šetření incidentu. Graf šetření je vizuální nástroj, který pomáhá identifikovat entity zapojené do útoku a vztahy mezi těmito entitami. Pokud incident zahrnuje více výstrah v průběhu času, můžete si také projít časovou osu výstrah a korelace mezi výstrahami.

Snímek obrazovky se stránkou grafu šetření pro incident odstraněného virtuálního počítače

Kontrola podrobností entity

Výběrem každé entity v grafu můžete sledovat úplné kontextové informace o této entitě. Tyto informace zahrnují vztahy s jinými entitami, využití účtů a informace o toku dat. U každé oblasti informací můžete přejít na související události v Log Analytics a přidat do grafu data související výstrahy.

Kontrola podrobností záložek

Když vyberete položku záložky v grafu, můžete se podívat na důležitá metadata záložky související s kontextem zabezpečení a prostředí této záložky.

Zvolte nejlepší odpověď pro následující otázku.

Kontrola znalostí

1.

Jak záložky pomáhají v procesu proaktivního vyhledávání hrozeb?