Сохранение основных результатов в закладках

  • 5 мин

Для поиска угроз в среде Contoso необходимо проверить большие объемы данных журнала, чтобы получить свидетельства вредоносного поведения. В ходе этого процесса вы можете найти события, которые нужно запомнить, вернуться к ним повторно и проанализировать в ходе проверки потенциальных гипотез и понять всю историю взлома системы безопасности.

Поиск с помощью закладок

Закладки в Microsoft Sentinel могут помочь вам искать угрозы, сохраняя уже запущенные запросы, а также результаты запроса, которые вы считаете соответствующими. Вы также можете записывать контекстные наблюдения и ссылаться на свои выводы, добавляя примечания и теги. Данные, добавленные в закладки, видны вам и вашим коллегам, упрощая совместную работу.

Вы можете в любое время вернуться к своим данным в закладках на вкладке Закладки страницы Охота. Можно использовать фильтрацию и параметры поиска для быстрого поиска конкретных данных для текущего исследования. Кроме того, можно просматривать данные в закладках непосредственно в таблице HuntingBookmark в рабочей области Log Analytics.

Примечание.

События в закладках содержат стандартные сведения, но их можно использовать по-разному в интерфейсе Microsoft Sentinel.

Создание инцидентов с помощью закладок или добавление сведений к ним

С помощью закладок можно создать новый инцидент или добавить результаты запроса в закладках в существующие инциденты. Кнопка действий инцидентов на панели инструментов Хант позволяет выполнять любую из этих задач при выборе закладки.

Снимок экрана: раскрывающееся меню для действий с инцидентами в Microsoft Sentinel.

Инцидентами, созданными из закладок, можно управлять на странице Инциденты наряду с другими инцидентами, созданными в Microsoft Sentinel.

Использование аналитического графа для просмотра закладок

Исследовать закладки можно так же, как и инциденты в Microsoft Sentinel. На странице охоты выберите Хант с закладкой на вкладке Охота (предварительная версия). В области сведений Хант выберите закладки (или выберите связанные инциденты), выберите конкретный закладки, а затем нажмите кнопку Исследовать, чтобы открыть график расследования инцидента. Аналитический граф — это визуальное средство, которое помогает определить сущности, участвующие в атаке, и связи между этими сущностями. Если инцидент включает несколько оповещений, возникших с течением времени, можно также просматривать временную шкалу оповещений и связи между ними.

Снимок экрана: страница

Просмотр сведений о сущности

Вы можете выбрать каждую сущность на графе, чтобы просмотреть полные контекстные сведения о ней. Эта информация включает связи с другими сущностями, а также сведения об использовании учетной записи и потоке данных. Для каждой области сведений можно перейти к связанным событиям в Log Analytics и добавить связанные данные оповещений на граф.

Просмотр сведений о закладке

Вы можете выбрать элемент закладки на графе, чтобы просмотреть важные метаданные закладки, связанные с безопасностью и контекстом среды закладки.

Выберите лучший ответ на каждый из приведенных ниже вопросов.