使用書籤儲存重要的結果
若要搜捕 Contoso 環境中的威脅,您必須檢閱大量的記錄資料,取得惡意行為的證據。 您可能會在此過程中找到某些事件,並想要記住、重新瀏覽及分析,藉此驗證您的假設,並了解危害的完整來龍去脈。
使用書籤進行搜捕
Microsoft Sentinel 中的書籤可保留您已執行的查詢,以及您認為相關的查詢結果,以協助您搜捕威脅。 您也可以透過新增備註與標籤來記錄及參考相關的觀察發現。 您與小組成員可看到已加入書籤的資料,方便共同作業。
您可隨時在 [搜捕] 頁面的 [書籤] 索引標籤上,重新瀏覽已加入書籤的資料。 您可使用篩選與搜尋選項,快速找出您正在調查的特定資料。 或者,您也可以直接在 Log Analytics 工作區的 HuntingBookmark 資料表中,檢閱已加入書籤的資料。
注意
雖然加入書籤的事件包含標準事件資訊,但是可在整個 Azure Sentinel 介面中以不同的方式使用。
使用書籤建立或新增至事件
您可使用書籤來建立新的事件,或將已加入書籤的查詢結果新增至現有的事件。 工具列上的 [事件動作] 按鈕可讓您在選取書籤時,執行下列其中一項工作。
從書籤建立的事件,可透過 [事件] 頁面與在 Azure Sentinel 中建立的其他事件一併管理。
使用調查圖表探索書籤
您可用您在 Azure Sentinel 中以調查事件的相同方式來調查書籤。 從 [搜捕] 頁面中,選取 [調查] 以開啟事件的調查圖表。 調查圖表是一種視覺化工具,有助於識別遭受攻擊的實體,以及這些實體之間的關聯性。 如果事件在一段時間內牽涉到多筆警示,您也可以檢閱警示時間表與警示之間的相互關聯。
檢閱實體詳細資料
您可以選取圖表上的每個實體,以觀察實體的完整相關資訊。 此資訊包括與其他實體的關聯性、帳戶使用方式,以及資料流程資訊。 針對每個資訊區域,您可以至 Log Analytics 中的相關事件,並將相關的警示資料新增至圖表。
檢閱書籤詳細資料
您可選取圖表上的書籤項目,以觀察與書籤安全性及環境內容相關的重要書籤中繼資料。
針對下列問題選擇最佳回應。