Freigeben über

Arbeiten mit erweiterten Huntingergebnissen, die Microsoft Sentinel Daten enthalten

  • Artikel
  • Gilt für::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Ergebnisse erkunden

Screenshot der ergebnisse der erweiterten Suche mit Optionen zum Erweitern von Ergebniszeilen im Microsoft Defender-Portal

Sie können die Ergebnisse auch im Einklang mit den folgenden Features untersuchen:

  • Erweitern Sie ein Ergebnis, indem Sie links neben jedem Ergebnis den Dropdownpfeil auswählen.
  • Erweitern Sie ggf. Details für Ergebnisse im JSON- oder Arrayformat, indem Sie den Dropdownpfeil links neben der entsprechenden Ergebniszeile auswählen, um die Lesbarkeit zu erhöhen.
  • Öffnen Sie den Seitenbereich, um die Details eines Datensatzes anzuzeigen (gleichzeitig mit erweiterten Zeilen).

Sie können auch mit der rechten Maustaste auf einen beliebigen Ergebniswert in einer Zeile klicken, sodass Sie ihn für Folgendes verwenden können:

  • Hinzufügen weiterer Filter zur vorhandenen Abfrage
  • Kopieren Sie den Wert für die weitere Untersuchung.
  • Aktualisieren der Abfrage, um ein JSON-Feld auf eine neue Spalte zu erweitern

Für Microsoft Defender XDR Daten können Sie weitere Maßnahmen ergreifen, indem Sie die Kontrollkästchen links neben den einzelnen Ergebniszeilen aktivieren. Wählen Sie Mit Incident verknüpfen aus, um die ausgewählten Ergebnisse mit einem Incident zu verknüpfen (lesen Sie Verknüpfen von Abfrageergebnissen mit einem Incident) oder Aktionen ausführen , um den Assistenten "Aktionen ausführen" zu öffnen (lesen Sie Aktion für erweiterte Suchabfrageergebnisse ausführen).

Sie können das Feature link to incident verwenden, um erweiterte Huntingabfrageergebnisse zu einem neuen oder vorhandenen Vorfall hinzuzufügen, der untersucht wird. Dieses Feature hilft Ihnen, Datensätze aus erweiterten Hunting-Aktivitäten einfach zu erfassen, sodass Sie eine umfangreichere Zeitleiste oder einen Kontext von Ereignissen in Bezug auf einen Incident erstellen können.

  1. Geben Sie im Bereich erweiterte Suchabfrage Ihre Abfrage in das angegebene Abfragefeld ein, und wählen Sie dann Abfrage ausführen aus, um Ihre Ergebnisse zu erhalten. Screenshot der Seite

  2. Wählen Sie auf der Seite Ergebnisse die Ereignisse oder Datensätze aus, die sich auf eine neue oder aktuelle Untersuchung beziehen, an der Sie gerade arbeiten, und wählen Sie dann Mit Incident verknüpfen aus. Screenshot des Features

  3. Wählen Sie im Abschnitt Warnungsdetails im Bereich Mit Incident verknüpfen die Option Neuen Incident erstellen aus, um die Ereignisse in Warnungen zu konvertieren und sie in einen neuen Incident zu gruppieren:

    Sie können auch Link zu einem vorhandenen Incident auswählen, um die ausgewählten Datensätze zu einem vorhandenen Incident hinzuzufügen. Wählen Sie den zugehörigen Incident aus der Dropdownliste der vorhandenen Vorfälle aus. Sie können auch die ersten Zeichen des Incidentnamens oder der ID eingeben, um den gewünschten Incident zu finden.
    Screenshot der Optionen, die in gespeicherten Abfragen im Microsoft Defender-Portal verfügbar sind

  4. Geben Sie für beide Optionen die folgenden Details an, und wählen Sie dann Weiter aus:

    • Warnungstitel – Ein beschreibender Titel für die Ergebnisse, die Ihre Incident-Responder verstehen können; Dieser beschreibende Titel wird zum Warnungstitel
    • Schweregrad : Wählen Sie den schweregrad aus, der für die Gruppe von Warnungen gilt.
    • Kategorie : Wählen Sie die geeignete Bedrohungskategorie für die Warnungen aus.
    • Beschreibung : Geben Sie eine hilfreiche Beschreibung der gruppierten Warnungen an.
    • Empfohlene Aktionen : Auflisten der empfohlenen Abhilfemaßnahmen für die Sicherheitsanalysten, die den Vorfall untersuchen

  5. Wählen Sie im Abschnitt Entitäten die Entitäten aus, die an den verdächtigen Ereignissen beteiligt sind. Diese Entitäten werden verwendet, um andere Warnungen mit dem verknüpften Incident zu korrelieren und sind auf der Incidentseite sichtbar.

    Für Microsoft Defender XDR Daten werden die Entitäten automatisch ausgewählt. Wenn die Daten aus Microsoft Sentinel stammen, müssen Sie die Entitäten manuell auswählen.

    Es gibt zwei Abschnitte, für die Sie Entitäten auswählen können:

    a. Beeinträchtigte Ressourcen : Betroffene Ressourcen, die in den ausgewählten Ereignissen angezeigt werden, sollten hier hinzugefügt werden. Die folgenden Ressourcentypen können hinzugefügt werden:

    • Konto
    • Gerät
    • Postfach
    • Cloudanwendung
    • Azure-Ressource
    • Amazon Web Services-Ressource
    • Google Cloud Platform-Ressource

    b. Verwandte Beweise : Nicht-Ressourcen, die in den ausgewählten Ereignissen angezeigt werden, können in diesem Abschnitt hinzugefügt werden. Die unterstützten Entitätstypen sind:

    • Prozess
    • File
    • Registrierungswert
    • IP
    • OAuth-Anwendung
    • DNS
    • Sicherheitsgruppe
    • URL
    • E-Mail-Cluster
    • E-Mail-Nachricht

Hinweis

Bei Abfragen, die nur XDR-Daten enthalten, werden nur Entitätstypen angezeigt, die in XDR-Tabellen verfügbar sind.

  1. Nachdem ein Entitätstyp ausgewählt wurde, wählen Sie einen Bezeichnertyp aus, der in den ausgewählten Datensätzen vorhanden ist, damit er zum Identifizieren dieser Entität verwendet werden kann. Jeder Entitätstyp verfügt über eine Liste unterstützter Bezeichner, wie in der entsprechenden Dropdownliste zu sehen ist. Lesen Sie die Beschreibung, die beim Zeigen auf die einzelnen Bezeichner angezeigt wird, um sie besser zu verstehen.

  2. Nachdem Sie den Bezeichner ausgewählt haben, wählen Sie eine Spalte aus den Abfrageergebnissen aus, die den ausgewählten Bezeichner enthalten. Sie können Abfrage und Ergebnisse durchsuchen auswählen, um den Kontextbereich für die erweiterte Suche zu öffnen. Auf diese Weise können Sie Ihre Abfrage und die Ergebnisse untersuchen, um sicherzustellen, dass Sie die richtige Spalte für den ausgewählten Bezeichner ausgewählt haben.
    Screenshot des Links zu Entitäten des Incident-Assistenten im Microsoft Defender-Portal
    In unserem Beispiel haben wir eine Abfrage verwendet, um Ereignisse im Zusammenhang mit einem möglichen E-Mail-Exfiltrationsvorfall zu finden. Daher sind das Postfach des Empfängers und das Konto des Empfängers die betroffenen Entitäten, und die IP-Adresse des Absenders sowie die E-Mail-Nachricht sind verwandte Beweise.

    Screenshot des Vollständigen Entitätsbranchs des Links zum Incident-Assistenten im Microsoft Defender-Portal

    Für jeden Datensatz mit einer eindeutigen Kombination betroffener Entitäten wird eine andere Warnung erstellt. Wenn in unserem Beispiel drei verschiedene Kombinationen aus Empfängerpostfächern und Empfängerobjekt-ID für instance vorhanden sind, werden drei Warnungen erstellt und mit dem ausgewählten Incident verknüpft.

  3. Wählen Sie Weiter aus.

  4. Überprüfen Sie die Details, die Sie im Abschnitt Zusammenfassung angegeben haben.

  5. Wählen Sie Fertig aus.

Anzeigen verknüpfter Datensätze im Incident

Sie können den generierten Link im Zusammenfassungsschritt des Assistenten auswählen oder den Incidentnamen aus der Incidentwarteschlange auswählen, um den Incident anzuzeigen, mit dem die Ereignisse verknüpft sind.

Screenshot des Zusammenfassungsschritts im Link zum Incident-Assistenten im Microsoft Defender-Portal

In unserem Beispiel wurden die drei Warnungen, die die drei ausgewählten Ereignisse darstellen, erfolgreich mit einem neuen Incident verknüpft. Auf jeder Warnungsseite finden Sie die vollständigen Informationen zu dem Ereignis oder den Ereignissen in Zeitleiste Ansicht (sofern verfügbar) und der Abfrageergebnisansicht.

Sie können das Ereignis auch in der ansicht Zeitleiste oder in der Abfrageergebnisansicht auswählen, um den Bereich Datensatz überprüfen zu öffnen.

Screenshot der Seite

Filtern nach Ereignissen, die mithilfe der erweiterten Suche hinzugefügt wurden

Sie können anzeigen, welche Warnungen bei der erweiterten Suche generiert wurden, indem Sie Incidents und Warnungen nach der Quelle der manuellen Erkennung filtern.

Screenshot der Dropdownliste