Salvare i risultati chiave con segnalibri

Completato

Per cercare le minacce per l'ambiente di Contoso, è necessario esaminare grandi quantità di dati di log per trovare prove di comportamenti che rappresentano potenziali minacce. Durante questo processo, è possibile eventi che si vogliono memorizzare, rivedere e analizzare come parte della convalida delle possibili ipotesi e della comprensione della storia completa di una compromissione.

Eseguire la ricerca tramite segnalibri

I segnalibri in Microsoft Sentinel sono utili per la ricerca delle minacce offrendo la possibilità di conservare le query eseguite in Microsoft Sentinel, insieme ai risultati ritenuti rilevanti. È anche possibile registrare le osservazioni contestuali e informazioni di riferimento sui risultati aggiungendo note e tag. I dati con segnalibro sono visibili per l'utente che li aggiunge e i colleghi per facilitare la collaborazione.

Si possono rivedere i dati con segnalibro in qualsiasi momento nella scheda Segnalibri della pagina Ricerca. Sono disponibili opzioni di filtro e di ricerca per trovare rapidamente dati specifici per l'indagine in corso. In alternativa, è possibile esaminare i dati con segnalibro direttamente nella tabella HuntingBookmark dell'area di lavoro Log Analytics.

Nota

Gli eventi con segnalibro contengono informazioni standard sugli eventi, ma possono essere usati in modi diversi nell'interfaccia di Microsoft Sentinel.

Creare eventi imprevisti o aggiungere risultati a eventi imprevisti usando i segnalibri

È possibile usare i segnalibri per creare un nuovo evento imprevisto o aggiungere i risultati di una query con segnalibro agli eventi imprevisti esistenti. Il pulsante Azioni evento imprevisto sulla barra degli strumenti consente di eseguire una di queste attività quando viene selezionato un segnalibro.

Screenshot del menu a discesa per le azioni degli eventi imprevisti in Microsoft Sentinel.

Gli eventi imprevisti creati dai segnalibri possono essere gestiti dalla pagina Eventi imprevisti insieme ad altri eventi imprevisti creati in Microsoft Sentinel.

Usare il grafico di indagine per esplorare i segnalibri

È possibile eseguire indagini sui segnalibri con le stesse modalità valide per gli eventi imprevisti in Microsoft Sentinel. Nella pagina Ricerca selezionare Ricerca causa per aprire il grafico di indagine per l'evento imprevisto. Il grafico di indagine e uno strumento visivo che consente di identificare le entità coinvolte nell'attacco e le relazioni tra le entità. Se l'evento imprevisto coinvolge più avvisi nel tempo, è anche possibile esaminare la sequenza temporale e le correlazioni tra gli avvisi.

Screenshot della pagina del grafico di indagine per un evento imprevisto di macchina virtuale eliminata.

Esaminare i dettagli delle entità

È possibile selezionare ogni entità nel grafico per esaminare informazioni contestuali complete sull'entità. Queste informazioni includono le relazioni con altre entità, l'utilizzo dell'account e i dettagli sul flusso di dati. Per ogni area di informazioni è possibile passare agli eventi correlati in Log Analytics e aggiungere i dati degli avvisi correlati al grafico.

Esaminare i dettagli dei segnalibri

È possibile selezionare l'elemento del segnalibro nel grafico per visualizzare metadati importanti correlati al contesto di sicurezza e ambiente del segnalibro.

Scegliere la risposta migliore per ognuna delle domande seguenti.

Verificare le conoscenze

1.

In che modo i segnalibri sono utili per il processo di ricerca delle minacce?