Seuraa tietoja metsästyksen aikana Microsoft Sentinel

  • Koskee seuraavia:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Sentinel kirjanmerkkien metsästyksen avulla voit säilyttää kyselyt ja kyselytulokset, jotka pidät oleellisina. Voit myös tallentaa tilannekohtaisia havaintoja ja viitata havaintoihisi lisäämällä huomautuksia ja tunnisteita. Kirjanmerkeille merkittävät tiedot näkyvät sinulle ja joukkuetovereillesi, mikä helpottaa yhteistyötä. Lisätietoja on kohdassa Kirjanmerkit.

Huomautus

Kirjanmerkkejä voi luoda vain Azure-portaali. Vaikka et voi lisätä kirjanmerkkejä Microsoft Defender-portaalissa, näet kirjanmerkit, jotka on jo luotu.

Tärkeää

31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa.

Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta.

Kirjanmerkin lisääminen (vain Azure-portaali)

Luo kirjanmerkki kyselyiden, tulosten, havaintojen ja havaintojen säilyttämiseksi.

  1. Valitse Uhkien hallinta -kohdassa Metsästys.

  2. Valitse Kyselyt-välilehdeltä vähintään yksi metsästyskyselyistä.

  3. Valitse yläreunan komentopalkista Suorita valitut kyselyt.

  4. Valitse Näytä kyselyn tulokset. Esimerkki:

    Näyttökuva Microsoft Sentinel metsästyksen kyselytulosten tarkastelemisesta.

    Tämä toiminto avaa kyselyn tulokset Lokit-ruudussa .

  5. Valitse lokikyselyn tulosten luettelosta valintaruutujen avulla vähintään yksi rivi, joka sisältää mielestäsi kiinnostavat tiedot.

  6. Valitse Azure-portaali Lisää kirjanmerkki:

    Näyttökuva metsästyskirjanmerkin lisäämisestä kyselyyn.

  7. Oikealla olevassa Lisää kirjanmerkki -ruudussa voit halutessasi päivittää kirjanmerkin nimen, lisätä tunnisteita ja huomautuksia, jotta tunnistat, mikä kohteessa oli kiinnostavaa.

  8. Kirjanmerkit voidaan valinnaisesti yhdistää MITRE ATT -&CK-tekniikoihin tai alitekniikoihin. MITRE ATT&CK-määritykset periytyvät metsästyskyselyiden yhdistetyistä arvoista, mutta voit luoda ne myös manuaalisesti. Valitse haluamaasi tekniikkaan liittyvä MITRE ATT&CK -taktiikka Lisää kirjanmerkki -ruudun avattavasta valikosta Taktiikka & Tekniikat. Valikko laajenee näyttämään kaikki MITRE ATT&CK-tekniikat, ja voit valita useita tekniikoita ja alitekniikoita tästä valikosta.

    Näyttökuva Mitre Attack -taktiikoiden ja -tekniikoiden yhdistämisestä kirjanmerkkeihin.

  9. Nyt laajennettu entiteettijoukko voidaan poimia kirjanmerkein lisätutkimuksin kirjanmerkein tehdyistä kyselytuloksista. Valitse Entiteetin yhdistämismääritys -osiossa avattavat valikot entiteettityyppien ja tunnisteiden valitsemiseksi. Yhdistä sitten vastaava tunniste sisältävän kyselyn tulosten sarake. Esimerkki:

    Näyttökuva, joka yhdistää entiteettityypit metsästyskirjanmerkkejä varten.

    Jos haluat tarkastella kirjanmerkkiä tutkimuskaaviossa, sinun on yhdistettävä vähintään yksi entiteetti. Entiteettien yhdistämismäärityksiä tili-, isäntä-, IP- ja URL-entiteettityyppeihin tuetaan, mikä säilyttää yhteensopivuuden aikaisempien versioiden kanssa.

  10. Vahvista muutokset valitsemalla Luo ja lisää kirjanmerkki. Kaikki kirjanmerkityt tiedot jaetaan muiden analyytikoiden kanssa, ja ne ovat ensimmäinen askel kohti yhteistyötutkimuskokemusta.

Lokikyselyn tulokset tukevat kirjanmerkkejä aina, kun tämä ruutu avataan Microsoft Sentinel. Jos esimerkiksi valitset siirtymispalkista Yleiset>lokit , valitse tapahtumalinkit tutkintakaaviosta tai valitse hälytystunnus tapahtuman kaikista tiedoista. Et voi luoda kirjanmerkkejä, kun Lokit-ruutu avataan toisesta sijainnista, esimerkiksi suoraan monitorin Azure.

Kirjanmerkkien tarkasteleminen ja päivittäminen

Etsi ja päivitä kirjanmerkki kirjanmerkkivälilehdeltä.

  1. Microsoft Sentinel Azure-portaali kohdassa Uhkien hallinta valitse Metsästys.
    Jos haluat Microsoft Sentinel Defender-portaalissa, valitse Microsoft Sentinel>Hävikin hallinta>Metsästys.

  2. Voit tarkastella kirjanmerkkien luetteloa valitsemalla Kirjanmerkit-välilehden .

  3. Hae tai suodata tietyn kirjanmerkin tai kirjanmerkkien löytämiseksi.

  4. Valitse yksittäisiä kirjanmerkkejä, jos haluat tarkastella kirjanmerkin tietoja oikeanpuoleisessa ruudussa.

  5. Tee haluamasi muutokset. Tekemäsi muutokset tallennetaan automaattisesti.

Huomautus

Kirjanmerkkivälilehdessä voi tarkastella enintään 1 000 kirjanmerkkiä. Voit tarkastella muita kirjanmerkeillä merkittyjä tietoja lokeissasi. Lisätietoja

Kirjanmerkkien tutkiminen tutkimuskaaviossa

Visualisoi kirjanmerkityt tiedot käynnistämällä tutkimuskokemus, jossa voit tarkastella, tutkia ja visuaalisesti välittää havaintojasi käyttämällä vuorovaikutteista entiteettikaaviokaaviota ja aikajanaa.

  1. Valitse Kirjanmerkit-välilehdeltä kirjanmerkki tai kirjanmerkit, joita haluat tutkia.

  2. Varmista kirjanmerkin tiedoissa, että vähintään yksi entiteetti on yhdistetty.

  3. Valitse Tutki , jos haluat tarkastella tutkimuskaavion kirjanmerkkiä.

Katso ohjeet tutkimuskaavion käyttämisestä artikkelista Tutkimuskaavion käyttäminen syväsukellukseen.

Kirjanmerkkien lisääminen uuteen tai olemassa olevaan tapahtumaan (vain Azure-portaali)

Lisää kirjanmerkkejä tapaukseen Metsästys-sivun Kirjanmerkit-välilehdessä.

  1. Valitse Kirjanmerkit-välilehdeltä kirjanmerkki tai kirjanmerkit, jotka haluat lisätä tapahtumaan.

  2. Valitse tapaustoiminnot komentopalkista:

    Näyttökuva kirjanmerkkien lisäämisestä tapahtumaan.

  3. Valitse joko Luo uusi tapaus tai Lisää olemassa olevaan tapahtumaan tarpeen mukaan. Sitten:

    • Uusi tapaus: Päivitä halutessasi tapahtuman tiedot ja valitse sitten Luo.
    • Kirjanmerkin lisääminen olemassa olevaan tapahtumaan: Valitse yksi tapaus ja valitse sitten Lisää.

  4. Jos haluat tarkastella tapahtuman kirjanmerkkiä,

    1. Siirry kohtaan Microsoft Sentinel>Uhkiahallintatapaukset>.
    2. Valitse tapaus kirjanmerkilläsi ja Näytä täydelliset tiedot.
    3. Valitse tapaussivun vasemmassa ruudussa Kirjanmerkit.

Näytä kirjanmerkityt tiedot lokeissa

Tarkastele kirjanmerkeillä merkittyjä kyselyitä, tuloksia tai niiden historiaa.

  1. ValitseMetsästyskirjanmerkit-välilehdeltä> kirjanmerkki.

  2. Valitse tiedot-ruudusta seuraavat linkit:

    • Näytä lähdekysely , jos haluat tarkastella lähdekyselyä Lokit-ruudussa .

    • Näytä kirjanmerkkilokit , niin näet kaikki kirjanmerkkien metatiedot, mukaan lukien päivityksen tehneen henkilön, päivitetyt arvot ja päivityksen ajankohdan.

  3. ValitseMetsästyskirjanmerkit-välilehden> komentopalkista Kirjanmerkkilokit, niin näet kaikkien kirjanmerkkien raakamerkin tiedot.

    Näyttökuva kirjanmerkkilokit-komennosta.

Tässä näkymässä näkyvät kaikki kirjanmerkit ja niihin liittyvät metatiedot. Kusto Query Language (KQL) -kyselyiden avulla voit suodattaa näkyviin haluamasi kirjanmerkin uusimman version.

Kirjanmerkin luontiajan ja Kirjanmerkit-välilehden välillä voi olla merkittävä viive (minuutteina mitattuna).

Kirjanmerkin poistaminen

Kirjanmerkin poistaminen poistaa kirjanmerkin Kirjanmerkki-välilehden luettelosta. Log Analytics -työtilasi HuntingBookmark-taulukko sisältää edelleen aiempia kirjanmerkkimerkintöjä, mutta uusin merkintä muuttaa SoftDelete-arvon arvoksi tosi, jolloin vanhat kirjanmerkit on helppo suodattaa pois. Kirjanmerkin poistaminen ei poista tutkimuskokemuksesta entiteettejä, jotka liittyvät muihin kirjanmerkkeihin tai hälytyksiin.

Voit poistaa kirjanmerkin suorittamalla seuraavat vaiheet.

  1. ValitseMetsästyskirjanmerkit-välilehdeltä> kirjanmerkki tai kirjanmerkit, jotka haluat poistaa.

  2. Napsauta hiiren kakkospainiketta ja valitse sitten valittujen kirjanmerkkien poistovaihtoehto.

Aiheeseen liittyvä sisältö

Tässä artikkelissa olet oppinut suorittamaan metsästystutkinnan Microsoft Sentinel kirjanmerkkien avulla. Lisätietoja Microsoft Sentinel on seuraavissa artikkeleissa:

  • Last updated on