Del via

Arbejd med avancerede jagtresultater, der indeholder Microsoft Sentinel data

  • Artikel
  • Gælder for:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Udforsk resultater

Skærmbillede af avancerede jagtresultater med indstillinger til udvidelse af resultatrækker på Microsoft Defender portalen

Du kan også udforske resultaterne på linje med følgende funktioner:

  • Udvid et resultat ved at vælge rullepilen til venstre for hvert resultat.
  • Hvis det er relevant, kan du udvide detaljerne for resultater, der er i JSON- eller matrixformat, ved at vælge rullepilen til venstre for den relevante resultatrække for at få tilføjet læsbarhed.
  • Åbn sideruden for at få vist oplysninger om en post (samtidig med udvidede rækker).

Du kan også højreklikke på en resultatværdi i en række, så du kan bruge den til at:

  • Føj flere filtre til den eksisterende forespørgsel
  • Kopiér værdien til brug i yderligere undersøgelse
  • Opdater forespørgslen for at udvide et JSON-felt til en ny kolonne

For Microsoft Defender XDR data kan du udføre yderligere handling ved at markere afkrydsningsfelterne til venstre for hver resultatrække. Vælg Link til hændelse for at knytte de valgte resultater til en hændelse (læs Sammensæt forespørgselsresultater med en hændelse) eller Udfør handlinger for at åbne guiden Udfør handlinger (læs Udfør handling på avancerede resultater af jagtforespørgslen).

Du kan bruge funktionen link til hændelse til at føje avancerede resultater af jagtforespørgslen til en ny eller eksisterende hændelse, der undersøges. Denne funktion hjælper dig med nemt at registrere poster fra avancerede jagtaktiviteter, hvilket giver dig mulighed for at oprette en mere detaljeret tidslinje eller kontekst for hændelser vedrørende en hændelse.

  1. I ruden med avanceret jagtforespørgsel skal du angive din forespørgsel i det angivne forespørgselsfelt og derefter vælge Kør forespørgsel for at få dine resultater. Skærmbillede af siden avanceret jagt på Microsoft Defender-portalen

  2. På siden Resultater skal du vælge de hændelser eller poster, der er relateret til en ny eller aktuel undersøgelse, du arbejder på, og derefter vælge Link til hændelse. Skærmbillede af linket til hændelsesfunktionen i avanceret jagt på Microsoft Defender-portalen

  3. I afsnittet Beskedoplysninger i ruden Link til hændelse skal du vælge Opret ny hændelse for at konvertere hændelserne til beskeder og gruppere dem til en ny hændelse:

    Du kan også vælge Link til en eksisterende hændelse for at føje de valgte poster til en eksisterende hændelse. Vælg den relaterede hændelse på rullelisten over eksisterende hændelser. Du kan også angive de første par tegn i hændelsesnavnet eller id'et for at finde den ønskede hændelse.
    Skærmbillede af de indstillinger, der er tilgængelige i gemte forespørgsler på Microsoft Defender-portalen

  4. For begge valg skal du angive følgende oplysninger og derefter vælge Næste:

    • Beskedtitel – en beskrivende titel på de resultater, som dine svar på hændelser kan forstå. denne beskrivende titel bliver beskedens titel
    • Alvorsgrad – vælg den alvorsgrad, der skal anvendes på gruppen af beskeder
    • Kategori – vælg den relevante trusselskategori for beskederne
    • Description – giv en nyttig beskrivelse af de grupperede beskeder
    • Anbefalede handlinger – angiv de anbefalede afhjælpningshandlinger for de sikkerhedsanalytikere, der undersøger hændelsen

  5. I afsnittet Enheder skal du vælge de enheder, der er involveret i de mistænkelige hændelser. Disse enheder bruges til at korrelere andre beskeder om den sammenkædede hændelse og er synlige fra hændelsessiden.

    Objekterne vælges automatisk for Microsoft Defender XDR data. Hvis dataene er fra Microsoft Sentinel, skal du vælge enhederne manuelt.

    Der er to sektioner, hvor du kan vælge objekter:

    a. Påvirkede aktiver – påvirkede aktiver, der vises i de valgte hændelser, skal tilføjes her. Følgende typer aktiver kan tilføjes:

    • Konto
    • Enhed
    • Postkasse
    • Cloudprogram
    • Azure-ressource
    • Amazon Web Services-ressource
    • Google Cloud Platform-ressource

    b. Relateret bevismateriale – ikke-aktiver, der vises i de valgte hændelser, kan tilføjes i dette afsnit. De understøttede objekttyper er:

    • Proces
    • Filer
    • Registreringsdatabaseværdi
    • IP
    • OAuth-program
    • DNS
    • Sikkerhedsgruppe
    • URL-adresse
    • Mailklynge
    • Postmeddelelse

Bemærk!

For forespørgsler, der kun indeholder XDR-data, vises kun de objekttyper, der er tilgængelige i XDR-tabeller.

  1. Når en objekttype er valgt, skal du vælge en id-type, der findes i de valgte poster, så den kan bruges til at identificere denne enhed. Hver objekttype har en liste over understøttede identifikatorer, som det kan ses på den relevante rulleliste. Læs beskrivelsen, der vises, når du holder markøren over hvert id, for bedre at forstå den.

  2. Når du har valgt id'et, skal du vælge en kolonne fra de forespørgselsresultater, der indeholder det valgte id. Du kan vælge Udforsk forespørgsel og resultater for at åbne det avancerede panel for jagtkontekst. Dette giver dig mulighed for at udforske din forespørgsel og dine resultater for at sikre, at du vælger den højre kolonne for det valgte id.
    Skærmbillede af forgreningen med link til hændelsesguideenheder på Microsoft Defender-portalen
    I vores eksempel brugte vi en forespørgsel til at finde hændelser, der er relateret til en mulig mailudfiltreringshændelse. Derfor er modtagerens postkasse og modtagers konto de påvirkede enheder, og afsenderens IP samt mail er relaterede beviser.

    Skærmbillede af linket til guiden til hændelser for hele enheder på Microsoft Defender portalen

    Der oprettes en anden besked for hver post med en entydig kombination af påvirkede objekter. Hvis der f.eks. er tre forskellige modtagerpostkasser og kombinationer af modtagerobjekt-id i vores eksempel, oprettes der tre beskeder, som er knyttet til den valgte hændelse.

  3. Vælg Næste.

  4. Gennemse de oplysninger, du har angivet i afsnittet Oversigt.

  5. Vælg Udført.

Få vist sammenkædede poster i hændelsen

Du kan vælge det genererede link i oversigtstrinnet i guiden eller vælge hændelsesnavnet fra hændelseskøen for at få vist den hændelse, som hændelserne er sammenkædet med.

Skærmbillede af oversigtstrinnet i linket til hændelsesguiden på Microsoft Defender portalen

I vores eksempel blev de tre beskeder, der repræsenterer de tre valgte hændelser, kædet sammen med en ny hændelse. På hver af beskedsiderne kan du finde de komplette oplysninger om hændelsen eller hændelserne i tidslinjevisning (hvis den er tilgængelig) og visningen med forespørgselsresultater.

Du kan også vælge hændelsen i tidslinjevisningen eller i visningen med forespørgselsresultater for at åbne ruden Undersøg post .

Skærmbillede af hændelsessiden på Microsoft Defender-portalen

Filtrer efter begivenheder, der er tilføjet ved hjælp af avanceret jagt

Du kan få vist, hvilke beskeder der blev genereret fra avanceret jagt, ved at filtrere hændelser og beskeder efter kilden til manuel registrering.

Skærmbillede af rullemenuen filter under avanceret jagt på Microsoft Defender-portalen