Delen via

Werken met geavanceerde opsporingsresultaten die Microsoft Sentinel gegevens bevatten

  • Artikel
  • Van toepassing op:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Resultaten verkennen

Schermopname van geavanceerde opsporingsresultaten met opties voor het uitvouwen van resultatenrijen in de Microsoft Defender-portal

U kunt de resultaten ook verkennen in overeenstemming met de volgende functies:

  • Vouw een resultaat uit door de vervolgkeuzepijl links van elk resultaat te selecteren.
  • Vouw, indien van toepassing, details uit voor resultaten in JSON- of matrixindeling door de vervolgkeuzepijl links van de toepasselijke resultatenrij te selecteren voor extra leesbaarheid.
  • Open het zijdeelvenster om de details van een record te bekijken (gelijktijdig met uitgevouwen rijen).

U kunt ook met de rechtermuisknop op een resultaatwaarde in een rij klikken, zodat u deze kunt gebruiken om het volgende te doen:

  • Meer filters toevoegen aan de bestaande query
  • Kopieer de waarde voor gebruik in verder onderzoek
  • De query bijwerken om een JSON-veld uit te breiden naar een nieuwe kolom

Voor Microsoft Defender XDR gegevens kunt u verdere actie ondernemen door de selectievakjes links van elke resultaatrij in te schakelen. Selecteer Koppelen aan incident om de geselecteerde resultaten aan een incident te koppelen (lees Queryresultaten koppelen aan een incident) of Acties ondernemen om de wizard Acties ondernemen te openen (lees Actie ondernemen bij geavanceerde opsporingsqueryresultaten).

U kunt de koppeling naar incidentfunctie gebruiken om geavanceerde opsporingsqueryresultaten toe te voegen aan een nieuw of bestaand incident dat wordt onderzocht. Met deze functie kunt u eenvoudig records vastleggen van geavanceerde opsporingsactiviteiten, zodat u een uitgebreidere tijdlijn of context van gebeurtenissen met betrekking tot een incident kunt maken.

  1. Voer in het deelvenster Geavanceerde opsporingsquery uw query in het opgegeven queryveld in en selecteer query uitvoeren om de resultaten op te halen. Schermopname van de geavanceerde opsporingspagina in de Microsoft Defender portal

  2. Selecteer op de pagina Resultaten de gebeurtenissen of records die betrekking hebben op een nieuw of huidig onderzoek waaraan u werkt en selecteer vervolgens Koppelen aan incident. Schermopname van de koppeling naar incidentfunctie in geavanceerde opsporing in de Microsoft Defender-portal

  3. Selecteer in de sectie Waarschuwingsdetails in het deelvenster Koppelen aan incident de optie Nieuw incident maken om de gebeurtenissen te converteren naar waarschuwingen en ze te groeperen naar een nieuw incident:

    U kunt ook Koppelen aan een bestaand incident selecteren om de geselecteerde records toe te voegen aan een bestaand incident. Kies het gerelateerde incident in de vervolgkeuzelijst met bestaande incidenten. U kunt ook de eerste paar tekens van de naam of id van het incident invoeren om het gewenste incident te vinden.
    Schermopname van de opties die beschikbaar zijn in opgeslagen query's in de Microsoft Defender portal

  4. Geef voor een van beide de volgende details op en selecteer vervolgens Volgende:

    • Waarschuwingstitel : een beschrijvende titel voor de resultaten die uw incident responders kunnen begrijpen; deze beschrijvende titel wordt de titel van de waarschuwing
    • Ernst : kies de ernst die van toepassing is op de groep waarschuwingen
    • Categorie : kies de juiste bedreigingscategorie voor de waarschuwingen
    • Beschrijving : geef een nuttige beschrijving van de gegroepeerde waarschuwingen
    • Aanbevolen acties : de aanbevolen herstelacties weergeven voor de beveiligingsanalisten die het incident onderzoeken

  5. Selecteer in de sectie Entiteiten de entiteiten die betrokken zijn bij de verdachte gebeurtenissen. Deze entiteiten worden gebruikt om andere waarschuwingen te correleren met het gekoppelde incident en zijn zichtbaar op de incidentpagina.

    Voor Microsoft Defender XDR gegevens worden de entiteiten automatisch geselecteerd. Als de gegevens afkomstig zijn van Microsoft Sentinel, moet u de entiteiten handmatig selecteren.

    Er zijn twee secties waarvoor u entiteiten kunt selecteren:

    a. Beïnvloede assets : beïnvloede assets die worden weergegeven in de geselecteerde gebeurtenissen, moeten hier worden toegevoegd. De volgende typen assets kunnen worden toegevoegd:

    • Rekening
    • Apparaat
    • Brievenbus
    • Cloudtoepassing
    • Azure-resource
    • Amazon Web Services-resource
    • Google Cloud Platform-resource

    b. Gerelateerd bewijs: niet-assets die worden weergegeven in de geselecteerde gebeurtenissen kunnen in deze sectie worden toegevoegd. De ondersteunde entiteitstypen zijn:

    • Proces
    • Bestand
    • Registerwaarde
    • IP
    • OAuth-toepassing
    • DNS
    • Beveiligingsgroep
    • URL
    • E-mailcluster
    • E-mailbericht

Opmerking

Voor query's die alleen XDR-gegevens bevatten, worden alleen entiteitstypen weergegeven die beschikbaar zijn in XDR-tabellen.

  1. Nadat een entiteitstype is geselecteerd, selecteert u een id-type dat aanwezig is in de geselecteerde records, zodat dit kan worden gebruikt om deze entiteit te identificeren. Elk entiteitstype heeft een lijst met ondersteunde id's, zoals te zien is in de relevante vervolgkeuzelijst. Lees de beschrijving die wordt weergegeven wanneer u de muisaanwijzer op elke id plaatst om deze beter te begrijpen.

  2. Nadat u de id hebt geselecteerd, selecteert u een kolom in de queryresultaten die de geselecteerde id bevatten. U kunt Query en resultaten verkennen selecteren om het deelvenster geavanceerde opsporingscontext te openen. Hiermee kunt u uw query en resultaten verkennen om ervoor te zorgen dat u de juiste kolom voor de geselecteerde id hebt gekozen.
    Schermopname van de koppeling naar de vertakking van de entiteiten van de incidentwizard in de Microsoft Defender-portal
    In ons voorbeeld hebben we een query gebruikt om gebeurtenissen te vinden die betrekking hebben op een mogelijk incident met e-mailexfiltratie. Daarom zijn het postvak en het account van de geadresseerde de betrokken entiteiten en zijn het IP-adres en het e-mailbericht van de afzender gerelateerd bewijs.

    Schermopname van de koppeling naar de volledige entities-vertakking van de wizard voor incidenten in de Microsoft Defender-portal

    Er wordt een andere waarschuwing gemaakt voor elke record met een unieke combinatie van betrokken entiteiten. Als er in ons voorbeeld bijvoorbeeld drie verschillende geadresseerdenpostvakken en object-id-combinaties van geadresseerden zijn, worden er drie waarschuwingen gemaakt en gekoppeld aan het gekozen incident.

  3. Selecteer Volgende.

  4. Bekijk de details die u hebt opgegeven in de sectie Samenvatting.

  5. Selecteer Gereed.

Gekoppelde records in het incident weergeven

U kunt de gegenereerde koppeling selecteren in de samenvattingsstap van de wizard of de naam van het incident selecteren in de incidentwachtrij om het incident weer te geven waaraan de gebeurtenissen zijn gekoppeld.

Schermopname van de samenvattingsstap in de wizard Koppeling naar incident in de Microsoft Defender-portal

In ons voorbeeld zijn de drie waarschuwingen, die de drie geselecteerde gebeurtenissen vertegenwoordigen, gekoppeld aan een nieuw incident. Op elk van de waarschuwingspagina's vindt u de volledige informatie over de gebeurtenis of gebeurtenissen in de tijdlijnweergave (indien beschikbaar) en de weergave met queryresultaten.

U kunt de gebeurtenis ook selecteren in de tijdlijnweergave of in de weergave met queryresultaten om het deelvenster Record inspecteren te openen.

Schermopname van de incidentpagina in de Microsoft Defender portal

Filteren op gebeurtenissen die zijn toegevoegd met behulp van geavanceerde opsporing

U kunt zien welke waarschuwingen zijn gegenereerd op basis van geavanceerde opsporing door incidenten te filteren en waarschuwingen te filteren op handmatige detectiebron.

Schermopname van de filtervervolgkeuzelijst in geavanceerde opsporing in de Microsoft Defender-portal