Поделиться через

Работа с расширенными результатами охоты, содержащими Microsoft Sentinel данные

  • Статья
  • Применяется к:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Изучение результатов

Снимок экрана: расширенные результаты охоты с параметрами для развертывания строк результатов на портале Microsoft Defender

Вы также можете просмотреть результаты в соответствии со следующими функциями:

  • Разверните результат, щелкнув стрелку раскрывающегося списка слева от каждого результата.
  • Если применимо, разверните сведения о результатах в формате JSON или массива, выбрав стрелку раскрывающегося списка слева от соответствующей строки результата, чтобы добавить удобочитаемость.
  • Откройте боковую панель, чтобы просмотреть сведения о записи (одновременно с развернутыми строками).

Вы также можете щелкнуть правой кнопкой мыши любое результирующий значение в строке, чтобы использовать его для:

  • Добавление дополнительных фильтров в существующий запрос
  • Скопируйте значение для использования при дальнейшем исследовании
  • Обновление запроса для расширения поля JSON до нового столбца

Для Microsoft Defender XDR данных можно выполнить дальнейшие действия, установив флажки слева от каждой строки результата. Выберите Ссылку на инцидент , чтобы связать выбранные результаты с инцидентом (см . статью Связывание результатов запроса с инцидентом) или Выполнить действия , чтобы открыть мастер принятия действий (см. статью Выполнение действий с расширенными результатами запроса охоты).

Вы можете использовать ссылку на функцию инцидента, чтобы добавить расширенные результаты запросов охоты на новый или существующий исследуемый инцидент. Эта функция позволяет легко записывать записи из расширенных действий по охоте, что позволяет создавать более широкие временная шкала или контекст событий, касающихся инцидента.

  1. В области расширенной охоты введите запрос в поле запроса, а затем выберите Выполнить запрос , чтобы получить результаты. Снимок экрана: страница расширенной охоты на портале Microsoft Defender

  2. На странице Результаты выберите события или записи, связанные с новым или текущим исследованием, над которым вы работаете, а затем щелкните Связать с инцидентом. Снимок экрана: ссылка на функцию инцидента в расширенной охоте на портале Microsoft Defender

  3. В разделе Сведения об оповещении на панели Связывание с инцидентом выберите Создать новый инцидент , чтобы преобразовать события в оповещения и сгруппировать их в новый инцидент:

    Вы также можете выбрать Ссылку на существующий инцидент , чтобы добавить выбранные записи в существующий инцидент. Выберите связанный инцидент из раскрывающегося списка существующих инцидентов. Вы также можете ввести первые несколько символов имени инцидента или идентификатора, чтобы найти нужный инцидент.
    Снимок экрана: параметры, доступные в сохраненных запросах на портале Microsoft Defender

  4. Для любого выбора укажите следующие сведения, а затем нажмите кнопку Далее:

    • Заголовок оповещения — описательное название результатов, которые могут понять ваши специалисты по реагированию на инциденты; это описательное название становится заголовком оповещения
    • Серьезность — выберите уровень серьезности, применимый к группе оповещений.
    • Категория — выберите соответствующую категорию угроз для оповещений.
    • Описание — полезное описание сгруппированных оповещений
    • Рекомендуемые действия — список рекомендуемых действий по исправлению для аналитиков безопасности, которые расследуют инцидент.

  5. В разделе Сущности выберите сущности, которые участвуют в подозрительных событиях. Эти сущности используются для сопоставления других оповещений со связанным инцидентом и отображаются на странице инцидента.

    Для Microsoft Defender XDR данных сущности выбираются автоматически. Если данные из Microsoft Sentinel, необходимо выбрать сущности вручную.

    Существует два раздела, для которых можно выбрать сущности:

    А. Затронутые ресурсы . Затронутые ресурсы, которые отображаются в выбранных событиях, должны быть добавлены сюда. Можно добавить следующие типы ресурсов:

    • Учетная запись
    • Устройство
    • Mailbox
    • Облачное приложение
    • Ресурс Azure
    • Ресурс Amazon Web Services
    • Ресурс Google Cloud Platform

    Б. Связанные доказательства . В этом разделе можно добавить неактивные ресурсы, которые отображаются в выбранных событиях. Поддерживаемые типы сущностей:

    • Процесс
    • File
    • Значение реестра
    • IP
    • Приложение OAuth
    • DNS
    • Группа безопасности
    • URL-адрес
    • Почтовый кластер
    • Почтовое сообщение

Примечание.

Для запросов, содержащих только данные XDR, отображаются только типы сущностей, доступные в таблицах XDR.

  1. После выбора типа сущности выберите тип идентификатора, который существует в выбранных записях, чтобы его можно было использовать для идентификации этой сущности. Каждый тип сущности имеет список поддерживаемых идентификаторов, как можно увидеть в соответствующем раскрывающемся списке. Прочтите описание, отображаемое при наведении указателя мыши на каждый идентификатор, чтобы лучше понять его.

  2. Выбрав идентификатор, выберите столбец из результатов запроса, содержащий выбранный идентификатор. Можно выбрать Просмотр запроса и результатов , чтобы открыть панель контекста расширенной охоты. Это позволяет изучить запрос и результаты, чтобы убедиться, что выбран правильный столбец для выбранного идентификатора.
    Снимок экрана: ссылка на ветвь сущностей мастера инцидентов на портале Microsoft Defender
    В нашем примере мы использовали запрос для поиска событий, связанных с возможным инцидентом кражи электронной почты, поэтому почтовый ящик получателя и учетная запись получателя являются затронутыми сущностями, а IP-адрес отправителя и сообщение электронной почты являются связанными доказательствами.

    Снимок экрана: ссылка на ветвь полных сущностей мастера инцидентов на портале Microsoft Defender

    Для каждой записи создается отдельное оповещение с уникальным сочетанием затронутых сущностей. В нашем примере, если есть три разных почтовых ящика получателя и комбинаций идентификаторов объектов получателя, то создаются три предупреждения и связываются с выбранным инцидентом.

  3. Нажмите кнопку Далее.

  4. Просмотрите сведения, указанные в разделе Сводка.

  5. Нажмите кнопку Готово.

Просмотр связанных записей в инциденте

Чтобы просмотреть инцидент, с которым связаны события, можно выбрать созданную ссылку на этапе сводки мастера или выбрать имя инцидента в очереди инцидентов.

Снимок экрана: шаг сводки по ссылке на мастер инцидентов на портале Microsoft Defender

В нашем примере три оповещения, представляющие три выбранных события, успешно связаны с новым инцидентом. На каждой из страниц оповещений можно найти полную информацию о событии или событиях в представлении временная шкала (если доступно) и представлении результатов запроса.

Вы также можете выбрать событие в представлении временная шкала или в представлении результатов запроса, чтобы открыть панель Проверка записи.

Снимок экрана: страница инцидента на портале Microsoft Defender

Фильтр событий, добавленных с помощью расширенной охоты

Вы можете просмотреть, какие оповещения были созданы при расширенной охоте, отфильтровав инциденты и оповещения по источнику обнаружения вручную .

Снимок экрана: раскрывающийся список фильтра в расширенной охоте на портале Microsoft Defender