Zapisywanie kluczowych wyników przy użyciu zakładek

Ukończone

Aby wyszukać zagrożenia w środowisku firmy Contoso, należy zapoznać się z dużymi ilościami danych dziennika w celu znalezienia dowodu złośliwego zachowania. W trakcie tego procesu można znaleźć zdarzenia, które należy zapamiętać, otworzyć ponownie i przeanalizować w ramach walidacji potencjalnych postanowień, a także zapoznać się z pełnym scenariuszem naruszenia.

Wyszukiwanie przy użyciu zakładek

Zakładki w usłudze Microsoft Sentinel mogą pomóc w wyszukiwaniu zagrożeń przez zachowanie zapytań, które zostały już uruchomione, wraz z wynikami zapytania, które uznajesz za istotne. Możesz również rejestrować uwagi kontekstowe i odwoływać się do wyników, dodając notatki i tagi. Dane oznaczone zakładką są widoczne dla Ciebie i członków zespołu w celu ułatwienia współpracy.

Możesz ponownie przejrzeć dane z zakładkami w dowolnym momencie na karcie Zakładki na stronie Wyszukiwanie zagrożeń . Możesz użyć opcji filtrowania i wyszukiwania, aby szybko znaleźć konkretne dane dla bieżącego badania. Alternatywnie możesz przejrzeć dane z zakładkami bezpośrednio w tabeli HuntingBookmark w obszarze roboczym usługi Log Analytics.

Uwaga

Zdarzenia z zakładkami zawierają standardowe informacje o zdarzeniach, ale mogą być używane na różne sposoby w interfejsie usługi Microsoft Sentinel.

Tworzenie lub dodawanie do zdarzeń przy użyciu zakładek

Przy użyciu zakładek można utworzyć nowe zdarzenie lub dodać do istniejących zdarzeń wyniki zapytania z zakładkami. Przycisk Akcje zdarzenia na pasku narzędzi umożliwia wykonywanie tych zadań po wybraniu zakładki.

Zdarzenia tworzone na podstawie zakładek można zarządzać na stronie Incydenty wraz z innymi zdarzeniami utworzonymi w usłudze Microsoft Sentinel.

Skorzystaj z grafu badania, aby poznać zakładki

Zakładki można zbadać w taki sam sposób, w jaki zbadasz zdarzenia w usłudze Microsoft Sentinel. Na stronie Wyszukiwanie zagrożeń wybierz pozycję Zbadaj, aby otworzyć wykres badania dla zdarzenia. Wykres badania to narzędzie wizualne, które pomaga identyfikować jednostki zaangażowane w atak i relacje między tymi jednostkami. Jeśli zdarzenie obejmuje wiele alertów w czasie, można także przejrzeć oś czasu alertów i korelacje między alertami.

Przeglądanie szczegółów jednostki

Możesz wybrać każdą jednostkę na grafie, aby obserwować pełne informacje kontekstowe dotyczące tej jednostki. Te informacje dotyczą relacji z innymi jednostkami, użycia konta i przepływu danych. W przypadku każdego obszaru informacji można przejść do powiązanych zdarzeń w usłudze Log Analytics i dodać powiązane dane alertu do wykresu.

Przeglądanie szczegółów zakładek

Możesz wybrać element zakładki na wykresie, aby wyświetlić ważne metadane zakładki dotyczące kontekstu zabezpieczeń i środowiska zakładki.

Wybierz najlepszą odpowiedź na następujące pytanie.

Sprawdź swoją wiedzę

1.

Jak zakładki pomagają w procesie wyszukiwania zagrożeń?

Umożliwiają one łowcy zapisywanie wyników zapytań na potrzeby późniejszego odwołania.

Umożliwiają łowcy śledzenie stanu i rozwiązywania incydentów.

Umożliwiają one łowcy tworzenie skoroszytów na podstawie wyników zapytań.

Przed sprawdzeniem pracy musisz odpowiedzieć na wszystkie pytania.