Freigeben über


Daten während des Huntings mit Microsoft Sentinel verfolgen

Die Suche von Lesezeichen in Microsoft Sentinel hilft Ihnen, die Abfragen und Abfrageergebnisse beizubehalten, die Sie als relevant ansehen. Sie können auch Ihre kontextbezogenen Beobachtungen aufzeichnen und Ihre Ergebnisse durch Hinzufügen von Anmerkungen und Tags referenzieren. Mit Lesezeichen markierte Daten sind für Sie und Ihre Teamkollegen zur einfachen Zusammenarbeit sichtbar. Weitere Informationen finden Sie unter Textmarken.

Wichtig

Microsoft Sentinel ist als Teil der vereinheitlichten Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Microsoft Sentinel im Defender-Portal wird jetzt für die Produktionsverwendung unterstützt. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Hinzufügen eines Lesezeichens

Erstellen Sie ein Lesezeichen, um Abfragen, Ergebnisse, Ihre Beobachtungen und Schlussfolgerungen zu speichern.

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Bedrohungsmanagement die Option Hunting aus.
    Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Bedrohungsmanagement>Hunting aus.

  2. Wählen Sie auf der Registerkarte Hunting eine Suche aus.

  3. Wählen Sie eine der Hunting-Abfragen aus.

  4. Wählen Sie in den Hunting-Abfragedetails die Option Abfrage ausführen aus.

  5. Wählen Sie Abfrageergebnisse anzeigen aus. Beispiel:

    Screenshot: Anzeigen von Abfrageergebnissen für Microsoft Sentinel-Hunting

    Diese Aktion öffnet die Abfrageergebnisse im Bereich Protokolle.

  6. Verwenden Sie in der Liste mit den Protokollabfrageergebnissen die Kontrollkästchen, um eine oder mehrere Zeilen auszuwählen, in denen die für Sie interessanten Informationen enthalten sind.

  7. Wählen Sie Lesezeichen hinzufügen aus:

    Screenshot: Hinzufügen eines Hunting-Lesezeichens zu einer Abfrage

  8. Aktualisieren Sie optional im rechten Bereich Lesezeichen hinzufügen den Lesezeichennamen, und fügen Sie Tags und Anmerkungen hinzu, damit Sie später erkennen können, was an dem Element interessant war.

  9. Lesezeichen können optional MITRE ATT&CK-Techniken bzw. -Untertechniken zugeordnet werden. MITRE ATT&CK-Zuordnungen werden von zugeordneten Werten in Hunting-Abfragen geerbt, aber Sie können sie auch manuell erstellen. Wählen Sie die MITRE ATT&CK-Taktik, die der gewünschten Technik zugeordnet ist, im Dropdownmenü im Abschnitt Taktiken und Techniken des Bereichs Lesezeichen hinzufügen aus. Das Menü wird erweitert, und es werden alle MITRE ATT&CK-Techniken angezeigt. In diesem Menü können Sie mehrere Techniken und Untertechniken auswählen.

    Screenshot: Zuordnen von MITRE ATT&CK-Taktiken und -Techniken zu Lesezeichen

  10. Sie können jetzt einen erweiterten Satz mit Entitäten aus mit Lesezeichen versehenen Abfrageergebnissen extrahieren, um die weitere Untersuchung zu ermöglichen. Verwenden Sie im Abschnitt Entitätszuordnung die Dropdownlisten, um Entitätstypen und Bezeichner auszuwählen. Ordnen Sie anschließend die Spalte in den Abfrageergebnissen zu, die den entsprechenden Bezeichner enthält. Beispiel:

    Screenshot: Zuordnen von Entitätstypen für Hunting-Lesezeichen

    Um das Lesezeichen im Untersuchungsdiagramm anzeigen zu können, müssen Sie mindestens eine Entität zuordnen. Entitätszuordnungen für die Entitätstypen „Konto“, „Host“, „IP-Adresse“ und „URL“, die Sie erstellt haben, werden unterstützt, um Abwärtskompatibilität sicherzustellen.

  11. Wählen Sie Speichern aus, um Ihre Änderungen zu übernehmen und das Lesezeichen hinzuzufügen. Alle mit Lesezeichen markierten Daten werden für andere Analysten freigegeben. Dies ist ein erster Schritt zur Schaffung einer Umgebung für gemeinsame Untersuchungen.

Die Ergebnisse der Protokollabfrage unterstützen Lesezeichen, wenn dieser Bereich von Microsoft Sentinel aus geöffnet wird. Sie wählen z. B. Allgemein>Protokolle auf der Navigationsleiste, dann Ereignislinks im Untersuchungsdiagramm oder eine Warnungs-ID aus den vollständigen Details eines Incidents aus. Sie können keine Lesezeichen erstellen, wenn der Bereich Protokolle von anderen Positionen aus geöffnet wird, z. B. direkt über Azure Monitor.

Anzeigen und Aktualisieren von Lesezeichen

Suchen und Aktualisieren eines Lesezeichens auf der Registerkarte „Lesezeichen“.

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Bedrohungsmanagement die Option Hunting aus.
    Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Bedrohungsmanagement>Hunting aus.

  2. Wählen Sie die Registerkarte Lesezeichen aus, um die Liste der Lesezeichen anzuzeigen.

  3. Suchen oder filtern Sie nach einem oder mehreren Lesezeichen.

  4. Wählen Sie einzelne Lesezeichen aus, um die Lesezeichendetails im rechten Bereich anzuzeigen.

  5. Nehmen Sie die gewünschten Änderungen vor. Ihre Änderungen werden automatisch gespeichert.

Untersuchen von Lesezeichen im Untersuchungsdiagramm

Visualisieren Sie Ihre Lesezeichendaten durch Starten des Untersuchungsvorgangs, in dem Sie Ihre Ergebnisse mithilfe eines interaktiven Entitätsdiagramms und einer Zeitachse anzeigen, untersuchen und visuell kommunizieren können.

  1. Wählen Sie auf der Registerkarte Lesezeichen die Lesezeichen aus, die Sie untersuchen möchten.

  2. Stellen Sie in den Lesezeichendetails sicher, dass mindestens eine Entität zugeordnet ist.

  3. Wählen Sie die Option Untersuchen aus, um das Lesezeichen im Untersuchungsdiagramm anzuzeigen.

Anweisungen zur Verwendung des Untersuchungsdiagramms finden Sie unter Ausführliche Untersuchung mit dem Untersuchungsdiagramm.

Hinzufügen von Lesezeichen zu einem neuen oder bestehenden Incident

Fügen Sie einem Incident über die Registerkarte „Lesezeichen“ auf der Seite Hunting Lesezeichen hinzu.

  1. Wählen Sie auf der Registerkarte Lesezeichen die Lesezeichen aus, die Sie einem Incident hinzufügen möchten.

  2. Wählen Sie auf der Befehlsleiste die Option Incidentaktionen aus:

    Screenshot: Hinzufügen von Lesezeichen zu einem Incident

  3. Wählen Sie entweder Neuen Incident erstellen oder Zum vorhandenem Incident hinzufügen aus. Führen Sie dann folgende Schritte aus:

    • Für einen neuen Incident: Aktualisieren Sie optional die Details für den Incident, und wählen Sie dann Erstellen aus.
    • Zum Hinzufügen eines Lesezeichens zu einem vorhandenen Incident: Wählen Sie einen Incident und anschließend Hinzufügen aus.
  4. So zeigen Sie das Lesezeichen innerhalb des Incidents an

    1. Navigieren Sie zu Microsoft Sentinel>Verwaltung von Bedrohungen>Incidents.
    2. Wählen Sie den Incident mit Ihrem Lesezeichen und Alle Details anzeigen aus.
    3. Wählen Sie auf der Incident-Seite im linken Bereich die Lesezeichen aus.

Anzeigen von mit Lesezeichen markierten Daten in Protokollen

Zeigen Sie mit Lesezeichen versehene Abfragen, Ergebnisse oder deren Verlauf an.

  1. Wählen Sie das Lesezeichen auf der Registerkarte Hunting>Lesezeichen aus.

  2. Wählen Sie im Detailbereich die folgenden Links aus:

    • Quellabfrage anzeigen, um die Quellabfrage im Bereich Protokolle anzuzeigen.

    • Lesezeichenprotokolle anzeigen, um alle Lesezeichenmetadaten anzuzeigen, z. B. die Person, die die Aktualisierung vorgenommen hat, die aktualisierten Werte und die Uhrzeit, zu der die Aktualisierung erfolgt ist.

  3. Sie können auch die unformatierten Lesezeichendaten für alle Lesezeichen anzeigen, indem Sie Lesezeichenprotokolle über die Befehlsleiste auf der Registerkarte Hunting>Lesezeichen auswählen.

    Screenshot: Option „Lesezeichenprotokolle“

In dieser Ansicht werden alle Ihre Lesezeichen mit den zugehörigen Metadaten angezeigt. Sie können KQL-Abfragen (Kusto Query Language) verwenden, um nach der neuesten Version des gesuchten Lesezeichens zu filtern.

Es kann eine erhebliche Verzögerung (gemessen in Minuten) zwischen der Erstellung eines Lesezeichens und dem Zeitpunkt liegen, ab dem es auf der Registerkarte Lesezeichen angezeigt wird.

Löschen eines Lesezeichens

Das Löschen eines Lesezeichens bewirkt, dass das Lesezeichen aus der Liste auf der Registerkarte Lesezeichen (Bookmarks) entfernt wird. In der Tabelle HuntingBookmark für Ihren Log Analytics-Arbeitsbereich bleiben frühere Lesezeicheneinträge weiter enthalten, aber für den letzten Eintrag wird der Wert von SoftDelete in TRUE geändert, um das Filtern nach alten Lesezeichen zu vereinfachen. Durch das Löschen eines Lesezeichens werden keine Entitäten aus den Untersuchungsvorgängen entfernt, die mit anderen Lesezeichen oder Benachrichtigungen verknüpft sind.

Führen Sie die folgenden Schritte aus, um ein Lesezeichen zu löschen.

  1. Wählen Sie auf der Registerkarte Hunting>Lesezeichen die Lesezeichen aus, die Sie löschen möchten.

  2. Klicken Sie mit der rechten Maustaste, und wählen Sie die Option zum Löschen der ausgewählten Lesezeichen aus.

In diesem Artikel haben Sie erfahren, wie Sie eine Bedrohungsuntersuchung mithilfe von Lesezeichen in Microsoft Sentinel ausführen. Weitere Informationen über Microsoft Sentinel finden Sie in den folgenden Artikeln: