共用方式為

使用 Microsoft Sentinel 在搜捕時持續追蹤資料

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel 中的搜捕書籤可協助您保留您認為相關的查詢和查詢結果。 您也可以透過新增備註與標籤來記錄及參考相關的觀察發現。 您與小組成員可看到已加入書籤的資料,方便共同作業。 如需詳細資訊,請參閱書籤

重要

Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

新增書籤

建立書籤來保留查詢、結果、觀察結果和結果。

  1. 針對 Azure 入口網站 中的 Microsoft Sentinel,請在 [威脅管理] 底下選取 [搜捕]。
    針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[威脅管理]>[搜捕]

  2. 從 [搜捕] 索引標籤中,選取搜尋。

  3. 選取其中一個搜捕查詢。

  4. 在搜捕查詢詳細數據中,選取 [ 執行查詢]。

  5. 選取 [ 檢視查詢結果]。 例如:

    檢視Microsoft Sentinel 搜捕查詢結果的螢幕快照。

    此動作會在 [ 記錄 ] 窗格中開啟查詢結果。

  6. 從記錄查詢結果清單中,使用複選框來選取一或多個數據列,其中包含您感興趣的資訊。

  7. 選取 [新增書籤]:

    新增搜捕書籤以查詢的螢幕快照。

  8. 在右側的 [新增書籤 ] 窗格中,選擇性地更新書簽名稱、新增標記和附註,以協助您識別專案感興趣的內容。

  9. 書籤可以選擇性地對應至 MITRE ATT&CK 技術或子技術。 MITRE ATT&CK 對應繼承自搜捕查詢中的對應值,但您也可以手動建立它們。 從 [新增書籤] 窗格的 [策略與技術] 區段中的下拉功能表中,選取與所需技術相關聯的 MITRE ATT&CK 策略。 功能表會展開以顯示所有 MITRE ATT&CK 技術,而且您可以在此功能表中選取多個技術和子技術。

    如何將 Mitre 攻擊策略和技術對應至書籤的螢幕快照。

  10. 現在可以從書籤查詢結果擷取擴充的實體集,以進行進一步調查。 在 [ 實體對應] 區段中,使用下拉式清單來選取 實體類型和標識符。 然後對應查詢結果中的數據行,其中包含對應的標識碼。 例如:

    對應搜捕書簽實體類型的螢幕快照。

    若要在調查圖表中檢視書籤,您必須對應至少一個實體。 支援您建立的帳戶、主機、IP 和 URL 實體類型的實體對應,並保留回溯相容性。

  11. 選取 [ 儲存 ] 以認可您的變更並新增書籤。 所有已加入書籤的數據都會與其他分析師共用,而且是共同調查體驗的第一步。

每當此窗格從 Microsoft sentinel 開啟時,記錄查詢結果就會支援書籤。 例如,您可以從導覽列選取 [一般>記錄]、選取調查圖表中的事件連結,或從事件的完整詳細數據中選取警示標識符。 當 [記錄] 窗格從其他位置開啟時,您無法建立書籤,例如直接從 Azure 監視器。

檢視和更新書籤

從書籤索引標籤尋找及更新書籤。

  1. 針對 Azure 入口網站 中的 Microsoft Sentinel,請在 [威脅管理] 底下選取 [搜捕]。
    針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[威脅管理]>[搜捕]

  2. 選取 [ 書籤] 索引 標籤以檢視書籤清單。

  3. 搜尋或篩選以尋找特定的書籤或書籤。

  4. 選取個別書籤,以檢視右側窗格中的書籤詳細數據。

  5. 視需要進行變更。 您的變更會自動儲存。

探索調查圖表中的書籤

藉由啟動調查體驗,以可視化方式呈現您的書籤數據,您可以在其中使用互動式實體圖表和時程表來檢視、調查和可視化地傳達您的結果。

  1. 從 [ 書籤] 索引 標籤中,選取您想要調查的書籤或書籤。

  2. 在書籤詳細數據中,確定至少有一個實體已對應。

  3. 選取 [調查] 以檢視調查圖表中的書籤。

如需使用調查圖表的指示,請參閱 使用調查圖表深入探討

將書籤新增至新的或現有的事件

從 [搜捕] 頁面上的 [書籤] 索引標籤,將書籤新增至事件。

  1. 從 [ 書籤] 索引 標籤中,選取您想要新增至事件的書籤或書籤。

  2. 從命令列選取 [事件動作 ]:

    將書籤新增至事件的螢幕快照。

  3. 視需要選取 [ 建立新事件 ] 或 [新增至現有事件]。 接下來:

    • 針對新的事件:選擇性地更新事件的詳細數據,然後選取 [ 建立]。
    • 若要將書籤新增至現有的事件:選取一個事件,然後選取 [ 新增]。

  4. 若要檢視事件內的書籤,

    1. 移至 Microsoft Sentinel>威脅管理>事件。
    2. 選取含有書籤的事件,並 檢視完整詳細數據
    3. 在事件頁面上的左窗格中,選取 [書籤]。

在記錄中檢視書籤數據

檢視書籤查詢、結果或其歷程記錄。

  1. 從 [搜捕>書籤] 索引卷標中,選取書籤。

  2. 從詳細資料窗格中,選取下列連結:

    • 檢視來源查詢 ,以在 [ 記錄 ] 窗格中檢視來源查詢。

    • 檢視書籤記錄 ,以查看所有書籤元數據,包括進行更新的人員、更新的值,以及更新發生時間。

  3. 從 [搜捕>書籤] 索引標籤上的命令行,選取 [書籤記錄] 以檢視所有書籤的原始書籤數據。

    書籤記錄命令的螢幕快照。

此檢視會顯示所有具有相關聯元數據的書籤。 您可以使用 Kusto 查詢語言 (KQL) 查詢來篩選到您要尋找之特定書籤的最新版本。

建立書籤的時間與 [書籤] 索引標籤中顯示的時間之間,可能會有顯著的延遲(以分鐘為單位)。

刪除書籤

刪除書籤會從 [書籤] 索引標籤中的 清單中移除書籤 。Log Analytics 工作區的 HuntingBookmark 數據表會繼續包含先前的書籤專案,但最新的專案會將 SoftDelete 值變更為 true,讓您輕鬆地篩選掉舊的書籤。 刪除書籤並不會從與其他書籤或警示相關聯的調查體驗中移除任何實體。

若要刪除書籤,請完成下列步驟。

  1. 從 [搜捕>書籤] 索引標籤中,選取您想要刪除的書籤或書籤。

  2. 以滑鼠右鍵按兩下,然後選取選項以刪除選取的書籤。

相關內容

在本文中,您已瞭解如何使用 Microsoft sentinel 中的書籤來執行搜捕調查。 若要深入了解 Microsoft Sentinel,請參閱下列文章: