Delen via


Gegevens bijhouden tijdens het opsporen met Microsoft Sentinel

Met opsporingsbladwijzers in Microsoft Sentinel kunt u de query's en queryresultaten behouden die u relevant acht. U kunt ook uw contextuele waarnemingen vastleggen en naar uw bevindingen verwijzen door notities en tags toe te voegen. De van bladwijzers voorziene gegevens zijn zichtbaar voor u en uw teamleden waardoor samenwerking eenvoudig is. Zie Bladwijzers voor meer informatie.

Belangrijk

Microsoft Sentinel is algemeen beschikbaar binnen het geïntegreerde beveiligingsbewerkingsplatform van Microsoft in de Microsoft Defender-portal. Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Een bladwijzer toevoegen

Maak een bladwijzer om de query's, resultaten, uw waarnemingen en bevindingen te behouden.

  1. Voor Microsoft Sentinel in Azure Portal selecteert u Opsporing onder Bedreigingsbeheer.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Threat Management>Hunting.

  2. Selecteer een jacht op het tabblad Opsporing .

  3. Selecteer een van de opsporingsquery's.

  4. Selecteer Query uitvoeren in de details van de opsporingsquery.

  5. Selecteer Queryresultaten weergeven. Voorbeeld:

    Schermopname van het weergeven van queryresultaten van Microsoft Sentinel-opsporing.

    Met deze actie worden de queryresultaten geopend in het deelvenster Logboeken .

  6. Gebruik de selectievakjes in de lijst met logboekqueryresultaten om een of meer rijen te selecteren die de informatie bevatten die u interessant vindt.

  7. Selecteer Bladwijzer toevoegen:

    Schermopname van het toevoegen van een opsporingsbladwijzer aan een query.

  8. Werk aan de rechterkant in het deelvenster Bladwijzer toevoegen desgewenst de naam van de bladwijzer bij, voeg tags en notities toe om te bepalen wat er interessant was aan het item.

  9. Bladwijzers kunnen eventueel worden toegewezen aan MITRE ATT&CK-technieken of subtechnieken. MITRE ATT&CK-toewijzingen worden overgenomen van toegewezen waarden in opsporingsquery's, maar u kunt ze ook handmatig maken. Selecteer de MITRE ATT&CK-tactiek die is gekoppeld aan de gewenste techniek in de vervolgkeuzelijst in de sectie Tactieken en technieken van het deelvenster Bladwijzer toevoegen. Het menu wordt uitgevouwen om alle MITRE ATT&CK-technieken weer te geven en u kunt in dit menu meerdere technieken en subtechnieken selecteren.

    Schermopname van het toewijzen van Mitre Attack-tactieken en -technieken aan bladwijzers.

  10. Een uitgebreide set entiteiten kan nu worden geëxtraheerd uit queryresultaten met bladwijzers voor verder onderzoek. Gebruik in de sectie Entiteitstoewijzing de vervolgkeuzelijsten om entiteitstypen en id's te selecteren. Wijs vervolgens de kolom toe in de queryresultaten met de bijbehorende id. Voorbeeld:

    Schermopname van het toewijzen van entiteitstypen voor het opsporen van bladwijzers.

    Als u de bladwijzer in de onderzoeksgrafiek wilt weergeven, moet u ten minste één entiteit toewijzen. Entiteitstoewijzingen aan account-, host-, IP- en URL-entiteitstypen die u hebt gemaakt, worden ondersteund, met behoud van compatibiliteit met eerdere versies.

  11. Selecteer Opslaan om uw wijzigingen door te voeren en voeg de bladwijzer toe. Alle gegevens met bladwijzers worden gedeeld met andere analisten en zijn een eerste stap in de richting van een samenwerkingsonderzoek.

De resultaten van de logboekquery ondersteunen bladwijzers wanneer dit deelvenster wordt geopend vanuit Microsoft Sentinel. U selecteert bijvoorbeeld Algemene>logboeken in de navigatiebalk, selecteer gebeurteniskoppelingen in de onderzoeksgrafiek of selecteer een waarschuwings-id in de volledige details van een incident. U kunt geen bladwijzers maken wanneer het deelvenster Logboeken wordt geopend vanaf andere locaties, zoals rechtstreeks vanuit Azure Monitor.

Bladwijzers weergeven en bijwerken

Een bladwijzer zoeken en bijwerken vanaf het tabblad Bladwijzer.

  1. Voor Microsoft Sentinel in Azure Portal selecteert u Opsporing onder Bedreigingsbeheer.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Threat Management>Hunting.

  2. Selecteer het tabblad Bladwijzers om de lijst met bladwijzers weer te geven.

  3. Een specifieke bladwijzer of bladwijzer zoeken of filteren.

  4. Selecteer afzonderlijke bladwijzers om de details van de bladwijzer in het rechterdeelvenster weer te geven.

  5. Breng uw wijzigingen indien nodig aan. Uw wijzigingen worden automatisch opgeslagen.

Bladwijzers verkennen in de onderzoeksgrafiek

Visualiseer uw gegevens met bladwijzers door de onderzoekservaring te starten waarin u uw bevindingen kunt bekijken, onderzoeken en visueel kunt overbrengen met behulp van een interactief diagram voor entiteiten en tijdlijnen.

  1. Selecteer op het tabblad Bladwijzers de bladwijzer of bladwijzers die u wilt onderzoeken.

  2. Zorg ervoor dat in de details van de bladwijzer ten minste één entiteit is toegewezen.

  3. Selecteer Onderzoeken om de bladwijzer in de onderzoeksgrafiek weer te geven.

Zie De onderzoeksgrafiek gebruiken voor gedetailleerde informatie over het gebruik van de onderzoeksgrafiek.

Bladwijzers toevoegen aan een nieuw of bestaand incident

Voeg bladwijzers toe aan een incident vanaf het tabblad Bladwijzers op de pagina Opsporing .

  1. Selecteer op het tabblad Bladwijzers de bladwijzer of bladwijzers die u aan een incident wilt toevoegen.

  2. Selecteer Incidentacties op de opdrachtbalk:

    Schermopname van het toevoegen van bladwijzers aan incident.

  3. Selecteer Een nieuw incident maken of toevoegen aan bestaand incident, indien van toepassing. Daarna kunt u het volgende doen:

    • Voor een nieuw incident: Werk desgewenst de details voor het incident bij en selecteer Vervolgens Maken.
    • Als u een bladwijzer wilt toevoegen aan een bestaand incident: selecteer één incident en selecteer vervolgens Toevoegen.
  4. Als u de bladwijzer in het incident wilt weergeven,

    1. Ga naar Microsoft Sentinel>Threat Management-incidenten.>
    2. Selecteer het incident met uw bladwijzer en bekijk de volledige details.
    3. Selecteer op de incidentpagina in het linkerdeelvenster de bladwijzers.

Bladwijzergegevens weergeven in logboeken

Bekijk query's, resultaten of hun geschiedenis met bladwijzers.

  1. Selecteer de bladwijzer op het tabblad Opsporingsbladwijzers>.

  2. Selecteer in het detailvenster de volgende koppelingen:

    • Bekijk de bronquery om de bronquery weer te geven in het deelvenster Logboeken .

    • Bekijk bladwijzerlogboeken om alle metagegevens van bladwijzers weer te geven, waaronder wie de update heeft uitgevoerd, de bijgewerkte waarden en de tijd waarop de update heeft plaatsgevonden.

  3. Selecteer op de opdrachtbalk op het tabblad Opsporingsbladwijzers>bladwijzers bladwijzers om de onbewerkte bladwijzergegevens voor alle bladwijzers weer te geven.

    Schermopname van de opdracht bladwijzerlogboeken.

In deze weergave worden al uw bladwijzers met gekoppelde metagegevens weergegeven. U kunt Kusto-querytaal (KQL)-query's gebruiken om te filteren op de nieuwste versie van de specifieke bladwijzer die u zoekt.

Er kan een aanzienlijke vertraging optreden (gemeten in minuten) tussen de tijd dat u een bladwijzer maakt en wanneer deze wordt weergegeven op het tabblad Bladwijzers .

Een bladwijzer verwijderen

Als u de bladwijzer verwijdert, wordt de bladwijzer verwijderd uit de lijst op het tabblad Bladwijzer . De HuntingBookmark-tabel voor uw Log Analytics-werkruimte bevat nog steeds eerdere bladwijzervermeldingen, maar de laatste vermelding wijzigt de softDelete-waarde in waar, zodat u eenvoudig oude bladwijzers kunt filteren. Als u een bladwijzer verwijdert, worden er geen entiteiten verwijderd uit de onderzoekservaring die zijn gekoppeld aan andere bladwijzers of waarschuwingen.

Voer de volgende stappen uit om een bladwijzer te verwijderen.

  1. Selecteer op het tabblad Opsporingsbladwijzers> de bladwijzer of bladwijzers die u wilt verwijderen.

  2. Klik met de rechtermuisknop en selecteer de optie om de geselecteerde bladwijzers te verwijderen.

In dit artikel hebt u geleerd hoe u een opsporingsonderzoek uitvoert met behulp van bladwijzers in Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel: