Belangrijke bevindingen opslaan met bladwijzers

Voltooid

Als u bedreigingen voor de omgeving van Contoso wilt opsporen, moet u grote hoeveelheden logboekgegevens controleren op de aanwezigheid van schadelijk gedrag. Tijdens dit proces kunt u gebeurtenissen tegenkomen die u wilt onthouden, opnieuw wilt bekijken en analyseren als onderdeel van het valideren van mogelijke hypotheses en het inzicht krijgen in het volledige verhaal van een inbreuk.

Zoeken met behulp van bladwijzers

Bladwijzers in Microsoft Sentinel kunnen u helpen bij het opsporen van bedreigingen door de query's te behouden die u al hebt uitgevoerd, samen met de queryresultaten die u relevant acht. U kunt ook uw contextuele waarnemingen vastleggen en naar uw bevindingen verwijzen door notities en tags toe te voegen. De van bladwijzers voorziene gegevens zijn zichtbaar voor u en uw teamleden waardoor samenwerking eenvoudig is.

U kunt uw gegevens met bladwijzers op elk gewenst moment opnieuw bekijken op het tabblad Bladwijzers van de pagina Opsporing . U kunt filter- en zoekopties gebruiken om snel specifieke gegevens te vinden voor uw huidige onderzoek. U kunt uw bladwijzergegevens ook rechtstreeks bekijken in de tabel HuntingBookmark in uw Log Analytics-werkruimte.

Notitie

Gebeurtenissen met bladwijzers bevatten standaardgebeurtenisgegevens, maar kunnen op verschillende manieren worden gebruikt in de Microsoft Sentinel-interface.

Incidenten maken of toevoegen met behulp van bladwijzers

U kunt bladwijzers gebruiken om een nieuw incident te maken of om queryresultaten met bladwijzers aan bestaande incidenten toe te voegen. Met de knop Incidentacties in de werkbalk kunt u een van deze taken uitvoeren wanneer u een bladwijzer selecteert.

Incidenten die u maakt op basis van bladwijzers, kunnen worden beheerd vanaf de pagina Incidenten naast andere incidenten die zijn gemaakt in Microsoft Sentinel.

De onderzoeksgrafiek gebruiken om bladwijzers te verkennen

U kunt bladwijzers op dezelfde manier onderzoeken als incidenten in Microsoft Sentinel. Selecteer Onderzoeken op de pagina Opsporing om de onderzoeksgrafiek voor het incident te openen. De onderzoeksgrafiek is een visueel hulpmiddel dat helpt bij het identificeren van entiteiten die betrokken zijn bij de aanval en de relaties tussen deze entiteiten. Als het incident meerdere waarschuwingen in de loop van de tijd omvat, kunt u ook de waarschuwingstijdlijn en correlaties tussen waarschuwingen bekijken.

Details van entiteiten controleren

U kunt elke entiteit in de grafiek selecteren om volledige contextuele informatie over deze entiteit te bekijken. Deze informatie omvat relaties met andere entiteiten, accountgebruik en gegevensstroomgegevens. Voor elk informatiegebied kunt u naar de gerelateerde gebeurtenissen in Log Analytics gaan en de gerelateerde waarschuwingsgegevens toevoegen aan de grafiek.

Details van bladwijzers bekijken

U kunt het bladwijzeritem in de grafiek selecteren om belangrijke metagegevens over de bladwijzer te bekijken met betrekking tot de beveiligings- en omgevingscontext van de bladwijzer.

Kies het beste antwoord voor de volgende vraag.

Kennis testen

1.

Hoe helpen bladwijzers bij het opsporingsproces voor bedreigingen?

Ze stellen de jager in staat om queryresultaten op te slaan voor latere naslaginformatie.

Ze stellen de jager in staat om de status en oplossing van incidenten bij te houden.

Hiermee kan de jager werkmappen maken op basis van queryresultaten.

U moet alle vragen beantwoorden voordat uw werk kan worden gecontroleerd.