Udostępnij za pośrednictwem


Śledzenie danych podczas wyszukiwania zagrożeń za pomocą usługi Microsoft Sentinel

Zakładki wyszukiwania zagrożeń w usłudze Microsoft Sentinel ułatwiają zachowanie zapytań i wyników zapytań, które uznajesz za istotne. Możesz również rejestrować uwagi kontekstowe i odwoływać się do wyników, dodając notatki i tagi. Dane oznaczone zakładką są widoczne dla Ciebie i członków zespołu w celu ułatwienia współpracy. Aby uzyskać więcej informacji, zobacz Zakładki.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Dodawanie zakładki

Utwórz zakładkę, aby zachować zapytania, wyniki, obserwacje i wyniki.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Wyszukiwanie zagrożeń.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Wyszukiwanie zagrożeń> w usłudze Microsoft Sentinel.>

  2. Na karcie Wyszukiwanie zagrożeń wybierz polowanie.

  3. Wybierz jedno z zapytań wyszukiwania zagrożeń.

  4. W szczegółach zapytania wyszukiwania zagrożeń wybierz pozycję Uruchom zapytanie.

  5. Wybierz pozycję Wyświetl wyniki zapytania. Na przykład:

    Zrzut ekranu przedstawiający wyświetlanie wyników zapytania z wyszukiwania zagrożeń w usłudze Microsoft Sentinel.

    Ta akcja powoduje otwarcie wyników zapytania w okienku Dzienniki .

  6. Z listy wyników zapytania dziennika użyj pól wyboru, aby wybrać co najmniej jeden wiersz zawierający interesujące informacje.

  7. Wybierz pozycję Dodaj zakładkę:

    Zrzut ekranu przedstawiający dodawanie zakładki wyszukiwania zagrożeń do zapytania.

  8. Po prawej stronie w okienku Dodawanie zakładki opcjonalnie zaktualizuj nazwę zakładki, dodaj tagi i notatki, aby ułatwić określenie interesujących informacji o elemencie.

  9. Zakładki można opcjonalnie mapować na techniki MITRE ATT&CK lub techniki podrzędne. Mapowania MITRE ATT&CK są dziedziczone z mapowanych wartości w zapytaniach wyszukiwania zagrożeń, ale można je również utworzyć ręcznie. Wybierz taktykę MITRE ATT&CK skojarzona z odpowiednią techniką z menu rozwijanego w sekcji Taktyka i techniki okienka Dodaj zakładkę. Menu rozwija się, aby wyświetlić wszystkie techniki MITRE ATT&CK, a w tym menu można wybrać wiele technik i technik podrzędnych.

    Zrzut ekranu przedstawiający sposób mapowania taktyki i technik ataku Mitre na zakładki.

  10. Teraz można wyodrębnić rozszerzony zestaw jednostek z wyników zapytań z zakładkami w celu dalszego zbadania. W sekcji Mapowanie jednostek użyj list rozwijanych, aby wybrać typy jednostek i identyfikatory. Następnie zamapuj kolumnę w wynikach zapytania zawierającego odpowiedni identyfikator. Na przykład:

    Zrzut ekranu przedstawiający mapowanie typów jednostek na zakładki wyszukiwania zagrożeń.

    Aby wyświetlić zakładkę na wykresie badania, musisz zamapować co najmniej jedną jednostkę. Mapowania jednostek na utworzone typy jednostek konta, hosta, adresu IP i adresu URL są obsługiwane, co zapewnia zgodność z poprzednimi wersjami.

  11. Wybierz pozycję Zapisz , aby zatwierdzić zmiany i dodać zakładkę. Wszystkie dane z zakładkami są udostępniane innym analitykom i jest pierwszym krokiem w kierunku wspólnego badania.

Wyniki zapytania dziennika obsługują zakładki za każdym razem, gdy to okienko jest otwierane z usługi Microsoft Sentinel. Możesz na przykład wybrać pozycję Dzienniki ogólne>na pasku nawigacyjnym, wybrać linki zdarzeń na wykresie badania lub wybrać identyfikator alertu z pełnych szczegółów zdarzenia. Nie można tworzyć zakładek, gdy okienko Dzienniki jest otwierane z innych lokalizacji, takich jak bezpośrednio z usługi Azure Monitor.

Wyświetlanie i aktualizowanie zakładek

Znajdź i zaktualizuj zakładkę na karcie zakładki.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Wyszukiwanie zagrożeń.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Wyszukiwanie zagrożeń> w usłudze Microsoft Sentinel.>

  2. Wybierz kartę Zakładki , aby wyświetlić listę zakładek.

  3. Wyszukaj lub filtruj, aby znaleźć określoną zakładkę lub zakładki.

  4. Wybierz poszczególne zakładki, aby wyświetlić szczegóły zakładki w okienku po prawej stronie.

  5. Wprowadź zmiany zgodnie z potrzebami. Zmiany są zapisywane automatycznie.

Eksplorowanie zakładek na wykresie badania

Wizualizuj dane z zakładkami, uruchamiając środowisko badania, w którym można wyświetlać, badać i wizualnie komunikować się z wynikami przy użyciu interaktywnego diagramu i osi czasu wykresu jednostek.

  1. Na karcie Zakładki wybierz zakładkę lub zakładki, które chcesz zbadać.

  2. W szczegółach zakładki upewnij się, że co najmniej jedna jednostka jest mapowana.

  3. Wybierz pozycję Zbadaj , aby wyświetlić zakładkę na wykresie badania.

Aby uzyskać instrukcje dotyczące używania grafu badania, zobacz Szczegółowe omówienie za pomocą grafu badania.

Dodawanie zakładek do nowego lub istniejącego zdarzenia

Dodaj zakładki do zdarzenia z karty zakładki na stronie Wyszukiwanie zagrożeń .

  1. Na karcie Zakładki wybierz zakładkę lub zakładki, które chcesz dodać do zdarzenia.

  2. Wybierz pozycję Akcje incydentu na pasku poleceń:

    Zrzut ekranu przedstawiający dodawanie zakładek do zdarzenia.

  3. Wybierz pozycję Utwórz nowe zdarzenie lub Dodaj do istniejącego zdarzenia odpowiednio. Następnie:

    • W przypadku nowego zdarzenia: opcjonalnie zaktualizuj szczegóły zdarzenia, a następnie wybierz pozycję Utwórz.
    • Aby dodać zakładkę do istniejącego zdarzenia: wybierz jedno zdarzenie, a następnie wybierz pozycję Dodaj.
  4. Aby wyświetlić zakładkę w ramach zdarzenia,

    1. Przejdź do pozycji Microsoft Sentinel Threat Management Incidents (Zdarzenia zarządzania zagrożeniami>w usłudze Microsoft Sentinel).>
    2. Wybierz zdarzenie z zakładką i Wyświetl pełne szczegóły.
    3. Na stronie incydentu w okienku po lewej stronie wybierz pozycję Zakładki.

Wyświetlanie danych z zakładkami w dziennikach

Wyświetlanie zapytań, wyników lub historii zakładek.

  1. Na karcie Zakładki wyszukiwania>zagrożeń wybierz zakładkę.

  2. W okienku szczegółów wybierz następujące linki:

    • Wyświetl zapytanie źródłowe, aby wyświetlić zapytanie źródłowe w okienku Dzienniki .

    • Wyświetl dzienniki zakładek, aby wyświetlić wszystkie metadane zakładki, w tym osoby, które dokonały aktualizacji, zaktualizowane wartości i czas wystąpienia aktualizacji.

  3. Na pasku poleceń na karcie Zakładki wyszukiwania>wybierz pozycję Dzienniki zakładek, aby wyświetlić nieprzetworzone dane zakładek dla wszystkich zakładek.

    Zrzut ekranu przedstawiający polecenie dzienników zakładek.

Ten widok przedstawia wszystkie zakładki ze skojarzonymi metadanymi. Zapytania język zapytań Kusto (KQL) umożliwiają filtrowanie do najnowszej wersji określonej zakładki, której szukasz.

Może wystąpić znaczne opóźnienie (mierzone w minutach) między utworzeniem zakładki a wyświetleniem jej na karcie Zakładki .

Usuwanie zakładki

Usunięcie zakładki powoduje usunięcie zakładki z listy na karcie Zakładka . Tabela HuntingBookmark dla obszaru roboczego usługi Log Analytics nadal zawiera poprzednie wpisy zakładki, ale najnowszy wpis zmienia wartość SoftDelete na true, co ułatwia filtrowanie starych zakładek. Usunięcie zakładki nie powoduje usunięcia żadnych jednostek ze środowiska badania, które są skojarzone z innymi zakładkami lub alertami.

Aby usunąć zakładkę, wykonaj następujące kroki.

  1. Na karcie Zakładki wyszukiwania zagrożeń>wybierz zakładkę lub zakładki, które chcesz usunąć.

  2. Kliknij prawym przyciskiem myszy i wybierz opcję usunięcia wybranych zakładek.

W tym artykule przedstawiono sposób uruchamiania badania wyszukiwania zagrożeń przy użyciu zakładek w usłudze Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: