Hold styr på data under jagt med Microsoft Sentinel

  • Gælder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Når du jagter bogmærker i Microsoft Sentinel, kan du bevare de forespørgsler og forespørgselsresultater, du finder relevante. Du kan også registrere dine kontekstafhængige observationer og referere til dine resultater ved at tilføje noter og mærker. Bogmærkede data er synlige for dig og dine teammedlemmer, så de nemt kan samarbejde. Du kan få flere oplysninger under Bogmærker.

Bemærk!

Bogmærker kan kun oprettes i Azure Portal. Selvom du ikke kan tilføje bogmærker på Microsoft Defender portal, kan du se bogmærker, der allerede er oprettet.

Vigtigt!

Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.

Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.

Tilføj et bogmærke (kun Azure Portal)

Opret et bogmærke for at bevare forespørgsler, resultater, observationer og resultater.

  1. Under Trusselsstyring skal du vælge Jagt.

  2. Vælg en eller flere af jagtforespørgslerne under fanen Forespørgsler.

  3. Vælg Kør valgte forespørgsler på den øverste kommandolinje.

  4. Vælg Vis forespørgselsresultater. Det kan f.eks. være:

    Skærmbillede af visning af forespørgselsresultater fra Microsoft Sentinel jagt.

    Denne handling åbner forespørgselsresultaterne i ruden Logge .

  5. På listen over logforespørgslers resultater skal du bruge afkrydsningsfelterne til at vælge en eller flere rækker, der indeholder de oplysninger, du finder interessante.

  6. I Azure Portal skal du vælge Tilføj bogmærke:

    Skærmbillede af tilføjelse af et jagtbogmærke til forespørgslen.

  7. I ruden Tilføj bogmærke til højre kan du eventuelt opdatere bogmærkenavnet, tilføje mærker og noter for at hjælpe dig med at identificere det, der var interessant ved elementet.

  8. Bogmærker kan eventuelt knyttes til MITRE ATT&CK-teknikker eller underteknikker. MITRE ATT&CK-tilknytninger nedarves fra tilknyttede værdier i jagtforespørgsler, men du kan også oprette dem manuelt. Vælg MITRE ATT-&CK-taktik, der er knyttet til den ønskede teknik, i rullemenuen i afsnittet Taktik & teknikker i ruden Tilføj bogmærke . Menuen udvides for at vise alle MITRE ATT-&CK-teknikker, og du kan vælge flere teknikker og underteknikker i denne menu.

    Skærmbillede af, hvordan du knytter Mitre-angrebstaktik og -teknikker til bogmærker.

  9. Nu kan et udvidet sæt objekter udtrækkes fra forespørgselsresultater med bogmærker, så de kan undersøges nærmere. I afsnittet Objekttilknytning skal du bruge rullemenuerne til at vælge objekttyper og identifikatorer. Tilknyt derefter kolonnen i forespørgselsresultaterne, der indeholder det tilsvarende id. Det kan f.eks. være:

    Skærmbillede, der viser objekttyper til jagt på bogmærker.

    Hvis du vil have vist bogmærket i undersøgelsesgrafen, skal du tilknytte mindst én enhed. Objekttilknytninger til konto-, værts-, IP- og URL-objekttyper, du har oprettet, understøttes, så bagudkompatibilitet bevares.

  10. Vælg Opret for at bekræfte dine ændringer og tilføje bogmærket. Alle bogmærkedata deles med andre analytikere og er det første skridt i retning af en samarbejdsbaseret undersøgelsesoplevelse.

Resultaterne af logforespørgslen understøtter bogmærker, når denne rude åbnes fra Microsoft Sentinel. Hvis du f.eks. vælger Generelle>logge på navigationslinjen, skal du vælge hændelseslinks i undersøgelsesgrafen eller vælge et besked-id ud fra de fulde oplysninger om en hændelse. Du kan ikke oprette bogmærker, når ruden Logge åbnes fra en anden placering, f.eks. direkte fra Azure Monitor.

Få vist og opdater bogmærker

Find og opdater et bogmærke under bogmærkefanen.

  1. For Microsoft Sentinel i Azure Portal skal du under Trusselsstyring vælge Jagt.
    For Microsoft Sentinel på Defender-portalen skal du vælge Microsoft Sentinel>Threat management>Hunting.

  2. Vælg fanen Bogmærker for at få vist listen over bogmærker.

  3. Søg eller filtrer for at finde et bestemt bogmærke eller bogmærker.

  4. Vælg individuelle bogmærker for at få vist oplysningerne om bogmærket i ruden til højre.

  5. Foretag dine ændringer efter behov. Dine ændringer gemmes automatisk.

Bemærk!

Du kan kun få vist op til 1.000 bogmærker under bogmærkefanen. Du kan få vist resten af dine bogmærkede data i dine logge. Få mere at vide

Udforskning af bogmærker i undersøgelsesgrafen

Visualiser dine bogmærkede data ved at starte undersøgelsesoplevelsen, hvor du kan få vist, undersøge og visuelt kommunikere dine resultater ved hjælp af et interaktivt objektdiagram og en interaktiv tidslinje.

  1. Vælg det eller de bogmærker, du vil undersøge, under fanen Bogmærker .

  2. Kontrollér, at der er tilknyttet mindst ét objekt i bogmærkeoplysningerne.

  3. Vælg Undersøg for at få vist bogmærket i undersøgelsesgrafen.

Du kan finde oplysninger om, hvordan du bruger undersøgelsesgrafen, under Brug undersøgelsesgrafen til grundig gennemgang.

Føj bogmærker til en ny eller eksisterende hændelse (kun Azure Portal)

Føj bogmærker til en hændelse fra fanen Bogmærker på siden Jagt .

  1. Vælg det bogmærke eller de bogmærker, du vil føje til en hændelse, under fanen Bogmærker .

  2. Vælg Hændelseshandlinger på kommandolinjen:

    Skærmbillede af tilføjelse af bogmærker til hændelsen.

  3. Vælg enten Opret ny hændelse eller Føj til eksisterende hændelse efter behov. Derefter:

    • For en ny hændelse: Opdater eventuelt detaljerne for hændelsen, og vælg derefter Opret.
    • Hvis du vil føje et bogmærke til en eksisterende hændelse: Vælg én hændelse, og vælg derefter Tilføj.

  4. Hvis du vil have vist bogmærket i hændelsen,

    1. Gå til Microsoft Sentinel>Der er flereadministrationshændelser>.
    2. Vælg hændelsen med dit bogmærke og Få vist alle detaljer.
    3. Vælg Bogmærker i ruden til venstre på hændelsessiden.

Få vist bogmærkede data i logge

Få vist bogmærkede forespørgsler, resultater eller deres historik.

  1. Vælg bogmærket under fanenJagtbogmærker>.

  2. Vælg følgende links i detaljeruden:

    • Vis kildeforespørgslen for at få vist kildeforespørgslen i ruden Logge .

    • Få vist bogmærkelogge for at se alle bogmærkemetadata, herunder hvem der har foretaget opdateringen, de opdaterede værdier og det tidspunkt, hvor opdateringen fandt sted.

  3. På kommandolinjen under fanenJagtbogmærker> skal du vælge Bogmærkelogfiler for at få vist de rå bogmærkedata for alle bogmærker.

    Skærmbillede af kommandoen bogmærkelogfiler.

I denne visning vises alle dine bogmærker med tilknyttede metadata. Du kan bruge KQL-forespørgsler (Kusto Query Language) til at filtrere ned til den nyeste version af det specifikke bogmærke, du leder efter.

Der kan være en betydelig forsinkelse (målt i minutter) mellem det tidspunkt, hvor du opretter et bogmærke, og det tidspunkt, hvor det vises under fanen Bogmærker .

Slet et bogmærke

Hvis du sletter bogmærket, fjernes bogmærket fra listen under fanen Bogmærke . Tabellen HuntingBookmark for dit Log Analytics-arbejdsområde indeholder fortsat tidligere bogmærkeposter, men den seneste post ændrer værdien for SoftDelete til sand, hvilket gør det nemt at filtrere gamle bogmærker fra. Sletning af et bogmærke fjerner ikke nogen objekter fra undersøgelsesoplevelsen, der er knyttet til andre bogmærker eller beskeder.

Hvis du vil slette et bogmærke, skal du udføre følgende trin.

  1. Vælg det eller debogmærker, du vil slette, under fanen Jagtbogmærker>.

  2. Højreklik, og vælg indstillingen for at slette de valgte bogmærker.

Relateret indhold

I denne artikel har du lært, hvordan du kører en jagtundersøgelse ved hjælp af bogmærker i Microsoft Sentinel. Du kan få mere at vide om Microsoft Sentinel i følgende artikler:

  • Last updated on