Сохранение основных результатов в закладках
Для поиска угроз в среде Contoso необходимо проверить большие объемы данных журнала, чтобы получить свидетельства вредоносного поведения. В ходе этого процесса вы можете найти события, которые нужно запомнить, вернуться к ним повторно и проанализировать в ходе проверки потенциальных гипотез и понять всю историю взлома системы безопасности.
Поиск с помощью закладок
Закладки в Microsoft Sentinel могут помочь вам искать угрозы, сохраняя уже запущенные запросы, а также результаты запроса, которые вы считаете соответствующими. Вы также можете записывать контекстные наблюдения и ссылаться на свои выводы, добавляя примечания и теги. Данные, добавленные в закладки, видны вам и вашим коллегам, упрощая совместную работу.
Вы можете в любое время вернуться к своим данным в закладках на вкладке Закладки страницы Охота. Можно использовать фильтрацию и параметры поиска для быстрого поиска конкретных данных для текущего исследования. Кроме того, можно просматривать данные в закладках непосредственно в таблице HuntingBookmark в рабочей области Log Analytics.
Примечание.
События в закладках содержат стандартные сведения, но их можно использовать по-разному в интерфейсе Microsoft Sentinel.
Создание инцидентов с помощью закладок или добавление сведений к ним
С помощью закладок можно создать новый инцидент или добавить результаты запроса в закладках в существующие инциденты. Кнопка действий инцидентов на панели инструментов Хант позволяет выполнять любую из этих задач при выборе закладки.
Инцидентами, созданными из закладок, можно управлять на странице Инциденты наряду с другими инцидентами, созданными в Microsoft Sentinel.
Использование аналитического графа для просмотра закладок
Исследовать закладки можно так же, как и инциденты в Microsoft Sentinel. На странице охоты выберите Хант с закладкой на вкладке Охота (предварительная версия). В области сведений Хант выберите закладки (или выберите связанные инциденты), выберите конкретный закладки, а затем нажмите кнопку Исследовать, чтобы открыть график расследования инцидента. Аналитический граф — это визуальное средство, которое помогает определить сущности, участвующие в атаке, и связи между этими сущностями. Если инцидент включает несколько оповещений, возникших с течением времени, можно также просматривать временную шкалу оповещений и связи между ними.
Просмотр сведений о сущности
Вы можете выбрать каждую сущность на графе, чтобы просмотреть полные контекстные сведения о ней. Эта информация включает связи с другими сущностями, а также сведения об использовании учетной записи и потоке данных. Для каждой области сведений можно перейти к связанным событиям в Log Analytics и добавить связанные данные оповещений на граф.
Просмотр сведений о закладке
Вы можете выбрать элемент закладки на графе, чтобы просмотреть важные метаданные закладки, связанные с безопасностью и контекстом среды закладки.
Выберите лучший ответ на каждый из приведенных ниже вопросов.