Speichern wichtiger Ergebnisse mit Lesezeichen

Abgeschlossen

Zum Suchen nach Bedrohungen in der Contoso-Umgebung müssen Sie große Mengen an Protokolldaten überprüfen, um Beweise für böswilliges Verhalten zu sichern. Während dieses Vorgangs finden Sie möglicherweise Ereignisse, die Sie sich merken möchten, zu denen Sie zurückkehren möchten oder die Sie als Teil des Überprüfungsprozesses für potenzielle Hypothesen und zum Verstehen des vollen Spektrums einer Kompromittierung analysieren möchten.

Suchen mithilfe von Lesezeichen

Die Lesezeichen in Microsoft Sentinel helfen Ihnen, Bedrohungen zu verfolgen, indem Sie die bereits ausgeführten Abfragen sowie die Abfrageergebnisse beibehalten, die Sie als relevant erachtet haben. Sie können auch Ihre kontextbezogenen Beobachtungen aufzeichnen und Ihre Ergebnisse durch Hinzufügen von Anmerkungen und Tags referenzieren. Mit Lesezeichen markierte Daten sind für Sie und Ihre Teamkollegen zur einfachen Zusammenarbeit sichtbar.

Sie können die Daten, die Sie mit einem Lesezeichen versehen haben, jederzeit auf der Registerkarte Lesezeichen auf der Seite Hunting überprüfen. Sie können Filter- und Suchoptionen verwenden, um bestimmte Daten für Ihre aktuelle Untersuchung schnell zu finden. Alternativ können Sie die mit einem Lesezeichen gekennzeichneten Daten direkt in der Tabelle HuntingBookmark in Ihrem Log Analytics-Arbeitsbereich überprüfen.

Hinweis

Mit einem Lesezeichen versehene Ereignisse enthalten Standardereignisinformationen, können aber auf verschiedene Weise im Zusammenhang mit der Microsoft Sentinel-Schnittstelle verwendet werden.

Erstellen oder Hinzufügen von Incidents mithilfe von Lesezeichen

Sie können Lesezeichen verwenden, um einen neuen Incident zu erstellen oder vorhandenen Incidents Lesezeichen hinzuzufügen. Über die Schaltfläche Incidentaktionen auf der Symbolleiste können Sie eine dieser Aufgaben ausführen, wenn ein Lesezeichen ausgewählt wird.

Screenshot: Dropdownmenü für Incidentaktionen in Microsoft Sentinel.

Incidents, die Sie mithilfe von Lesezeichen erstellen, können über die Seite Incidents zusammen mit anderen Incidents verwaltet werden, die in Microsoft Sentinel erstellt wurden.

Verwenden des Untersuchungsdiagramms zum Durchsuchen von Lesezeichen

Sie können Lesezeichen auf dieselbe Weise untersuchen wie Incidents in Microsoft Sentinel. Klicken Sie auf der Seite Hunting auf Untersuchen, um das Untersuchungsdiagramm für den Incident zu öffnen. Das Untersuchungsdiagramm ist ein visuelles Tool zum Identifizieren der an dem Angriff beteiligten Entitäten und der Beziehungen zwischen diesen Entitäten. Wenn der Incident im Laufe der Zeit mehrere Warnungen umfasst, können Sie auch die Warnungszeitachse und Korrelationen zwischen Warnungen überprüfen.

Screenshot: Seite „Untersuchungsdiagramm“ für einen dedizierten VM-Incident

Überprüfen von Entitätsdetails

Sie können jede Entität im Diagramm auswählen, um umfassende Kontextinformationen zu erhalten. Diese Informationen enthalten Beziehungen zu anderen Entitäten, die Kontonutzung sowie Informationen zum Datenfluss. Sie können für jeden Informationsbereich zu den verknüpften Ereignissen in Log Analytics navigieren und die zugehörigen Warnungsdaten in das Diagramm einfügen.

Überprüfen von Lesezeichendetails

Sie können das Lesezeichenelement im Diagramm auswählen, um wichtige Lesezeichenmetadaten im Zusammenhang mit dem Sicherheits- und Umgebungskontext des Lesezeichens zu beobachten.

Wählen Sie die passende Antwort auf die folgende Fragen aus.

Überprüfen Sie Ihr Wissen

1.

Wie helfen Lesezeichen bei der Bedrohungssuche?