使用书签保存重要发现

已完成

若要搜寻 Contoso 环境中的威胁，需要查看大量日志数据，以查找恶意行为的证据。 在此过程中，可能会发现某些事件，为了验证存在可能性的假想和了解整个攻击情况，需要记住、重新访问和分析这些事件。

使用书签搜寻

Microsoft Sentinel 中的书签可以通过保留已运行的查询，以及你认为相关的查询结果，来帮助你搜寻威胁。 还可以通过添加注释和标记来记录在上下文中的观察结果和引用发现结果。 你和你的团队成员可以看到带有书签的数据，这样可便于轻松协作。

可以随时在“搜寻”页面的“书签”选项卡上重新查看带有书签的数据。 可以使用筛选和搜索选项快速查找要用于当前调查的特定数据。 也可直接在 Log Analytics 工作区中的 HuntingBookmark 表中查看带书签的数据。

注意

带书签的事件包含标准事件信息，但可在整个 Microsoft Sentinel 界面中以其他方式使用。

使用书签创建或添加到事件

可以使用书签创建新事件，或向现有事件中添加带书签的查询结果。 使用工具栏上的“事件操作”按钮，可以在选中书签时执行上述任一任务。

可以在“事件”页面上将从书签中创建的事件与在 Microsoft Sentinel 中创建的其他事件一起管理。

使用调查关系图浏览书签

可以采用与在 Microsoft Sentinel 中调查事件相同的方式调查书签。 在“搜寻”页上，选择“调查”，打开事件的调查关系图。 调查关系图是一个视觉工具，可帮助你识别攻击涉及的实体以及这些实体之间的关系。 如果事件在一段时间内涉及多个警报，还可以查看警报时间线以及警报之间的相关性。

查看实体详细信息

可选择图上的每个实体来发现有关该实体的完整上下文信息。 此信息提供与其他实体的关系、帐户使用情况和数据流信息。 对于每个信息区域，可以转到 Log Analytics 中的相关事件，并将相关警报数据添加到图中。

查看书签详细信息

可以在图上选择书签项，了解与书签的安全性和环境相关的重要书签元数据。

为以下问题选择最佳答案。

知识检查

1.

书签如何辅助威胁搜寻过程？

搜寻者通过书签可以保存查询结果供以后参考。

搜寻者通过书签可以跟踪事件状态和解决方法。

搜寻者通过书签可以使用查询结果创建工作簿。

在检查工作前，必须回答所有问题。