Salvare i risultati chiave con segnalibri
Per cercare le minacce per l'ambiente di Contoso, è necessario esaminare grandi quantità di dati di log per trovare prove di comportamenti che rappresentano potenziali minacce. Durante questo processo, è possibile eventi che si vogliono memorizzare, rivedere e analizzare come parte della convalida delle possibili ipotesi e della comprensione della storia completa di una compromissione.
Eseguire la ricerca tramite segnalibri
I segnalibri in Microsoft Sentinel sono utili per la ricerca delle minacce offrendo la possibilità di conservare le query eseguite in Microsoft Sentinel, insieme ai risultati ritenuti rilevanti. È anche possibile registrare le osservazioni contestuali e informazioni di riferimento sui risultati aggiungendo note e tag. I dati con segnalibro sono visibili per l'utente che li aggiunge e i colleghi per facilitare la collaborazione.
Si possono rivedere i dati con segnalibro in qualsiasi momento nella scheda Segnalibri della pagina Ricerca. Sono disponibili opzioni di filtro e di ricerca per trovare rapidamente dati specifici per l'indagine in corso. In alternativa, è possibile esaminare i dati con segnalibro direttamente nella tabella HuntingBookmark dell'area di lavoro Log Analytics.
Nota
Gli eventi con segnalibro contengono informazioni standard sugli eventi, ma possono essere usati in modi diversi nell'interfaccia di Microsoft Sentinel.
Creare eventi imprevisti o aggiungere risultati a eventi imprevisti usando i segnalibri
È possibile usare i segnalibri per creare un nuovo evento imprevisto o aggiungere i risultati di una query con segnalibro agli eventi imprevisti esistenti. Il pulsante azioni evento imprevisto sulla barra degli strumenti Caccia consente di eseguire una di queste attività quando viene selezionato un segnalibro.
Gli eventi imprevisti creati dai segnalibri possono essere gestiti dalla pagina Eventi imprevisti insieme ad altri eventi imprevisti creati in Microsoft Sentinel.
Usare il grafico di indagine per esplorare i segnalibri
È possibile eseguire indagini sui segnalibri con le stesse modalità valide per gli eventi imprevisti in Microsoft Sentinel. Nella pagina ricerca selezionare la Hunt con un segnalibro nella scheda Hunts (anteprima). Nel riquadro dei dettagli caccia selezionare Segnalibri o selezionare eventi imprevisti correlati), selezionare un Segnalibro specifico e quindi selezionare il pulsante Analisi per aprire il grafico di indagine per l'evento imprevisto. Il grafico di indagine e uno strumento visivo che consente di identificare le entità coinvolte nell'attacco e le relazioni tra le entità. Se l'evento imprevisto coinvolge più avvisi nel tempo, è anche possibile esaminare la sequenza temporale e le correlazioni tra gli avvisi.
Esaminare i dettagli delle entità
È possibile selezionare ogni entità nel grafico per esaminare informazioni contestuali complete sull'entità. Queste informazioni includono le relazioni con altre entità, l'utilizzo dell'account e i dettagli sul flusso di dati. Per ogni area di informazioni è possibile passare agli eventi correlati in Log Analytics e aggiungere i dati degli avvisi correlati al grafico.
Esaminare i dettagli dei segnalibri
È possibile selezionare l'elemento del segnalibro nel grafico per visualizzare metadati importanti correlati al contesto di sicurezza e ambiente del segnalibro.
Scegliere la risposta migliore per ognuna delle domande seguenti.