Hold oversikt over data under jakt med Microsoft Sentinel

  • Gjelder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Hvis du jakter på bokmerker i Microsoft Sentinel, kan du bevare spørringene og spørringsresultatene som du anser som relevante. Du kan også registrere kontekstuelle observasjoner og referere til resultatene dine ved å legge til notater og koder. Bokmerkede data er synlige for deg og teammedlemmene for enkelt samarbeid. Hvis du vil ha mer informasjon, kan du se Bokmerker.

Obs!

Bokmerker kan bare opprettes i Azure Portal. Selv om du ikke kan legge til bokmerker i Microsoft Defender-portalen, kan du se bokmerker som allerede er opprettet.

Viktig

Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen.

Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender.

Legge til et bokmerke (bare Azure Portal)

Opprett et bokmerke for å bevare spørringer, resultater, observasjoner og funn.

  1. Velg Jakt under Trusselhåndtering.

  2. Velg én eller flere av jaktspørringene fra Spørringer-fanen .

  3. Velg Kjør valgte spørringer fra den øverste kommandolinjen.

  4. Velg Vis spørringsresultater. Eksempel:

    Skjermbilde av visning av spørringsresultater fra Microsoft Sentinel jakt.

    Denne handlingen åpner spørringsresultatene i Logger-ruten .

  5. Bruk avmerkingsboksene i listen over loggspørringsresultater til å velge én eller flere rader som inneholder informasjonen du finner interessant.

  6. Velg Legg til bokmerke i Azure Portal:

    Skjermbilde av hvordan du legger til jaktbokmerke i spørringen.

  7. Til høyre i ruten Legg til bokmerke kan du eventuelt oppdatere bokmerkenavnet, legge til merker og notater for å hjelpe deg med å identifisere hva som var interessant med elementet.

  8. Bokmerker kan eventuelt tilordnes MITRE ATT&CK-teknikker eller underteknikker. MITRE ATT&CK-tilordninger arves fra tilordnede verdier i jaktspørringer, men du kan også opprette dem manuelt. Velg MITRE ATT-&CK-taktikk som er knyttet til den ønskede teknikken fra rullegardinmenyen i delen Tactics & Techniques i Legg til bokmerke-ruten . Menyen utvides for å vise alle MITRE ATT-&CK-teknikkene, og du kan velge flere teknikker og delteknikker i denne menyen.

    Skjermbilde av hvordan du tilordner Mitre Attack-taktikker og -teknikker til bokmerker.

  9. Nå kan et utvidet sett med enheter trekkes ut fra bokmerkede spørringsresultater for videre undersøkelser. Bruk rullegardinlistene til å velge enhetstyper og identifikatorer i enhetstilordningsdelen. Deretter tilordner du kolonnen i spørringsresultatene som inneholder den tilsvarende identifikatoren. Eksempel:

    Skjermbilde for å tilordne enhetstyper for jakt på bokmerker.

    Hvis du vil vise bokmerket i undersøkelsesgrafen, må du tilordne minst én enhet. Enhetstilordninger til konto-, verts-, IP- og URL-enhetstyper du opprettet, støttes, noe som bevarer bakoverkompatibilitet.

  10. Velg Opprett for å utføre endringene og legge til bokmerket. Alle bokmerkede data deles med andre analytikere, og er et første skritt mot en samarbeidsundersøkelsesopplevelse.

Loggspørringsresultatene støtter bokmerker når denne ruten åpnes fra Microsoft Sentinel. Hvis du for eksempel velger Generelle>logger fra navigasjonsfeltet, velger du hendelseskoblinger i undersøkelsesgrafen eller velger en varsel-ID fra alle detaljene for en hendelse. Du kan ikke opprette bokmerker når Logger-ruten åpnes fra en annen plassering, for eksempel direkte fra Azure Monitor.

Vise og oppdatere bokmerker

Finne og oppdatere et bokmerke fra bokmerkefanen.

  1. For Microsoft Sentinel i Azure Portal velger du Jakt under Trusselhåndtering.
    Hvis du vil ha Microsoft Sentinel i Defender-portalen, velger du Microsoft Sentinel>Behandlingsjakt>.

  2. Velg Bokmerker-fanen for å vise listen over bokmerker.

  3. Søk eller filtrer for å finne et bestemt bokmerke eller bokmerker.

  4. Velg individuelle bokmerker for å vise bokmerkedetaljene i ruten til høyre.

  5. Gjør endringene etter behov. Endringene lagres automatisk.

Obs!

Du kan bare vise opptil 1000 bokmerker i bokmerkefanen. Du kan vise resten av bokmerkede data i loggene. Finn ut mer

Utforske bokmerker i undersøkelsesgrafen

Visualiser bokmerkede data ved å starte undersøkelsesopplevelsen der du kan vise, undersøke og kommunisere resultatene visuelt ved hjelp av et interaktivt diagram for enhetsgraf og tidslinje.

  1. Velg bokmerket eller bokmerkene du vil undersøke, på Bokmerker-fanen .

  2. Kontroller at minst én enhet er tilordnet i bokmerkedetaljene.

  3. Velg Undersøk for å vise bokmerket i undersøkelsesgrafen.

Hvis du vil ha instruksjoner for hvordan du bruker undersøkelsesgrafen, kan du se Bruke undersøkelsesgrafen til å fordype deg i det.

Legge til bokmerker i en ny eller eksisterende hendelse (bare Azure Portal)

Legg til bokmerker i en hendelse fra bokmerkefanen på Jakt-siden .

  1. Velg bokmerket eller bokmerkene du vil legge til i en hendelse, på Bokmerker-fanen .

  2. Velg hendelseshandlinger fra kommandolinjen:

    Skjermbilde av hvordan du legger til bokmerker i hendelsen.

  3. Velg enten Opprett ny hendelse eller Legg til i eksisterende hendelse, etter behov. Deretter:

    • For en ny hendelse: Oppdater eventuelt detaljene for hendelsen, og velg deretter Opprett.
    • For å legge til et bokmerke i en eksisterende hendelse: Velg én hendelse, og velg deretter Legg til.

  4. Hvis du vil vise bokmerket i hendelsen,

    1. Gå til Microsoft Sentinel>Test management>Incidents.
    2. Velg hendelsen med bokmerket og Vis alle detaljer.
    3. Velg bokmerkene i ruten til venstre på hendelsessiden.

Vise bokmerkede data i logger

Vis bokmerkede spørringer, resultater eller loggen deres.

  1. Velg bokmerket påjaktbokmerker-fanen>.

  2. Velg følgende koblinger fra detaljruten:

    • Vis kildespørring for å vise kildespørringen i Logger-ruten .

    • Vis bokmerkelogger for å se alle bokmerkemetadataene, som inkluderer hvem som gjorde oppdateringen, de oppdaterte verdiene og tidspunktet da oppdateringen oppstod.

  3. Velg Bokmerkelogger fra kommandolinjen på fanenJaktbokmerker> for å vise de rå bokmerkedataene for alle bokmerker.

    Skjermbilde av kommandoen bokmerkelogger.

Denne visningen viser alle bokmerkene dine med tilknyttede metadata. Du kan bruke KQL-spørringer (Kusto Query Language) til å filtrere ned til den nyeste versjonen av det bestemte bokmerket du leter etter.

Det kan være en betydelig forsinkelse (målt i minutter) mellom tidspunktet du oppretter et bokmerke og når det vises på Bokmerker-fanen .

Slette et bokmerke

Hvis du sletter bokmerket, fjernes bokmerket fra listen på Bokmerke-fanen . HuntingBookmark-tabellen for Log Analytics-arbeidsområdet inneholder fortsatt tidligere bokmerkeoppføringer, men den siste oppføringen endrer SoftDelete-verdien til sann, noe som gjør det enkelt å filtrere ut gamle bokmerker. Hvis du sletter et bokmerke, fjernes ikke enheter fra undersøkelsesopplevelsen som er knyttet til andre bokmerker eller varsler.

Hvis du vil slette et bokmerke, følger du fremgangsmåten nedenfor.

  1. Velg bokmerket eller bokmerkene du vil slette, på fanen Jaktbokmerker>.

  2. Høyreklikk, og velg alternativet for å slette de valgte bokmerkene.

Beslektet innhold

I denne artikkelen lærte du hvordan du kjører en jaktundersøkelse ved hjelp av bokmerker i Microsoft Sentinel. Hvis du vil ha mer informasjon om Microsoft Sentinel, kan du se følgende artikler:

  • Last updated on