Spara viktiga upptäckter med bokmärken

5 minuter

För att jaga hot i Contosos miljö måste du gå igenom stora mängder loggdata för att hitta tecken på skadligt beteende. När du gör det kan det hända att du hittar händelser som du vill komma ihåg, återvända till och analysera för att verifiera potentiella hypoteser och för att bättre förstå hur systemet komprometterats.

Jaga med hjälp av bokmärken

Bokmärken i Microsoft Sentinel kan hjälpa dig att söka efter hot genom att bevara de frågor som du redan har kört, tillsammans med de frågeresultat som du anser vara relevanta. Du kan också registrera dina kontextbaserade observationer och lägga till referenser till dina upptäckter genom att lägga till kommentarer och taggar. Genom att visa bokmärkta data blir det enklare för dig och andra teammedlemmar att samarbeta.

Du kan gå tillbaka till dina bokmärkta data när som helst på fliken Bokmärken på sidan Jakt . Du kan använda filtrerings- och sökalternativ för att snabbt hitta specifika data för din aktuella undersökning. Du kan också granska dina bokmärkta data direkt i tabellen HuntingBookmark på Log Analytics-arbetsytan.

Kommentar

Bokmärkta händelser innehåller standardhändelseinformation men kan användas på olika sätt i Microsoft Sentinel-gränssnittet.

Skapa eller lägga till incidenter med hjälp av bokmärken

Du kan använda bokmärken för att skapa en ny incident eller lägga till bokmärkta frågeresultat till befintliga incidenter. Med knappen Incidentåtgärder i verktygsfältet Hunt kan du utföra någon av dessa uppgifter när ett bokmärke har valts.

Skärmbild av den nedrullningsbara menyn för incidentåtgärder i Microsoft Sentinel.

Incidenter som du skapar från bokmärken kan hanteras från sidan Incidenter tillsammans med andra incidenter som skapats i Microsoft Sentinel.

Utforska bokmärken i undersökningsdiagrammet

Du kan undersöka bokmärken på samma sätt som du undersöker incidenter i Microsoft Sentinel. På sidan Jakt väljer du din Hunt- med ett Bokmärke från fliken Hunts (förhandsversion). I fönstret Hunt information väljer du Bokmärken (eller väljer några relaterade incidenter), väljer en specifik Bokmärke och väljer sedan knappen Undersök för att öppna undersökningsdiagrammet för incidenten. Undersökningsdiagrammet är ett visuellt verktyg som hjälper till att identifiera entiteter som är inblandade i attacken och relationerna mellan dessa entiteter. Om incidenten omfattar flera aviseringar över tid kan du också granska aviseringstidslinjen och korrelationer mellan aviseringar.

Skärmbild av undersökningsdiagramsidan för en incident med en borttagen virtuell dator.

Granska entitetsinformation

Du kan välja varje entitet i diagrammet för att se fullständig kontextuell information om den. Den här informationen innefattar relationer till andra entiteter, kontoanvändning och dataflödesinformation. För varje informationsområde kan du gå till relaterade händelser i Log Analytics och lägga till relaterade aviseringsdata i grafen.

Granska information om bokmärken

Du kan välja en bokmärkespost i diagrammet för att granska viktiga metadata relaterade till bokmärkets säkerhets- och miljökontext.

Välj det bästa svaret för följande fråga.