Gegevens bijhouden tijdens het opsporen met Microsoft Sentinel

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Door bladwijzers op te sporen in Microsoft Sentinel kunt u de query's en queryresultaten behouden die u relevant acht. U kunt ook uw contextuele waarnemingen vastleggen en verwijzen naar uw bevindingen door notities en tags toe te voegen. Bladwijzergegevens zijn zichtbaar voor u en uw teamleden, zodat u eenvoudig kunt samenwerken. Zie Bladwijzers voor meer informatie.

Opmerking

Bladwijzers kunnen alleen worden gemaakt in de Azure Portal. Hoewel u geen bladwijzers kunt toevoegen in de Microsoft Defender-portal, kunt u bladwijzers zien die al zijn gemaakt.

Belangrijk

Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.

Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.

Een bladwijzer toevoegen (alleen Azure Portal)

Maak een bladwijzer om de query's, resultaten, uw waarnemingen en bevindingen te behouden.

  1. Selecteer onder Bedreigingsbeheerde optie Opsporing.

  2. Selecteer op het tabblad Query's een of meer van de opsporingsquery's.

  3. Selecteer in de bovenste opdrachtbalk Geselecteerde query's uitvoeren.

  4. Selecteer Queryresultaten weergeven. Bijvoorbeeld:

    Schermopname van het weergeven van queryresultaten van Microsoft Sentinel opsporing.

    Met deze actie opent u de queryresultaten in het deelvenster Logboeken .

  5. Gebruik in de lijst met logboekqueryresultaten de selectievakjes om een of meer rijen te selecteren die de informatie bevatten die u interessant vindt.

  6. Selecteer bladwijzer toevoegen in Azure Portal:

    Schermopname van het toevoegen van een opsporingsbladwijzer aan een query.

  7. Werk aan de rechterkant in het deelvenster Bladwijzer toevoegen desgewenst de naam van de bladwijzer bij, voeg tags en notities toe om te bepalen wat er interessant was aan het item.

  8. Bladwijzers kunnen optioneel worden toegewezen aan MITRE ATT&CK-technieken of subtechnieken. MITRE ATT&CK-toewijzingen worden overgenomen van toegewezen waarden in opsporingsquery's, maar u kunt ze ook handmatig maken. Selecteer de MITRE ATT&CK-tactiek die is gekoppeld aan de gewenste techniek in de vervolgkeuzelijst in de sectie Tactieken & Technieken van het deelvenster Bladwijzer toevoegen . Het menu wordt uitgevouwen om alle MITRE ATT-&CK-technieken weer te geven en u kunt meerdere technieken en subtechnieken selecteren in dit menu.

    Schermopname van het toewijzen van Mitre Attack-tactieken en -technieken aan bladwijzers.

  9. Nu kan een uitgebreide set entiteiten worden geëxtraheerd uit queryresultaten met bladwijzers voor verder onderzoek. Gebruik in de sectie Entiteitstoewijzing de vervolgkeuzelijsten om entiteitstypen en -id's te selecteren. Wijs vervolgens de kolom toe in de queryresultaten met de bijbehorende id. Bijvoorbeeld:

    Schermopname van het toewijzen van entiteitstypen voor het opsporen van bladwijzers.

    Als u de bladwijzer in de onderzoeksgrafiek wilt weergeven, moet u ten minste één entiteit toewijzen. Entiteitstoewijzingen aan account-, host-, IP- en URL-entiteitstypen die u hebt gemaakt, worden ondersteund, waardoor de compatibiliteit met eerdere versies behouden blijft.

  10. Selecteer Maken om uw wijzigingen door te voeren en de bladwijzer toe te voegen. Alle gegevens met bladwijzers worden gedeeld met andere analisten en zijn een eerste stap in de richting van een gezamenlijke onderzoekservaring.

De logboekqueryresultaten ondersteunen bladwijzers wanneer dit deelvenster wordt geopend vanuit Microsoft Sentinel. Als u bijvoorbeeld Algemene>logboeken selecteert in de navigatiebalk, selecteert u gebeurteniskoppelingen in de onderzoeksgrafiek of selecteert u een waarschuwings-id uit de volledige details van een incident. U kunt geen bladwijzers maken wanneer het deelvenster Logboeken wordt geopend vanaf een andere locatie, zoals rechtstreeks vanuit Azure Monitor.

Bladwijzers weergeven en bijwerken

Een bladwijzer zoeken en bijwerken op het tabblad Bladwijzer.

  1. Voor Microsoft Sentinel in de Azure Portal selecteert u Onder Bedreigingsbeheerde optie Opsporing.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Beheer>opsporen.

  2. Selecteer het tabblad Bladwijzers om de lijst met bladwijzers weer te geven.

  3. Zoek of filter om een specifieke bladwijzer of bladwijzers te vinden.

  4. Selecteer afzonderlijke bladwijzers om de bladwijzerdetails in het rechterdeelvenster weer te geven.

  5. Breng indien nodig uw wijzigingen aan. Uw wijzigingen worden automatisch opgeslagen.

Opmerking

U kunt maximaal 1000 bladwijzers weergeven op het tabblad Bladwijzer. U kunt de rest van uw gegevens met bladwijzers bekijken in uw logboeken. Meer informatie

Bladwijzers verkennen in de onderzoeksgrafiek

Visualiseer uw gegevens met bladwijzers door de onderzoekservaring te starten waarin u uw bevindingen kunt bekijken, onderzoeken en visueel kunt communiceren met behulp van een interactief entiteitsgrafiekdiagram en een tijdlijn.

  1. Selecteer op het tabblad Bladwijzers de bladwijzers die u wilt onderzoeken.

  2. Zorg ervoor dat in de bladwijzerdetails ten minste één entiteit is toegewezen.

  3. Selecteer Onderzoeken om de bladwijzer weer te geven in de onderzoeksgrafiek.

Zie De onderzoeksgrafiek gebruiken om dieper in te gaan op instructies voor het gebruik van de onderzoeksgrafiek.

Bladwijzers toevoegen aan een nieuw of bestaand incident (alleen Azure Portal)

Voeg bladwijzers toe aan een incident via het tabblad Bladwijzers op de pagina Opsporing .

  1. Selecteer op het tabblad Bladwijzers de bladwijzers die u aan een incident wilt toevoegen.

  2. Selecteer Incidentacties op de opdrachtbalk:

    Schermopname van het toevoegen van bladwijzers aan een incident.

  3. Selecteer Nieuw incident maken of Toevoegen aan bestaand incident, indien van toepassing. Voer vervolgens de volgende handelingen uit:

    • Voor een nieuw incident: werk eventueel de details voor het incident bij en selecteer vervolgens Maken.
    • Voor het toevoegen van een bladwijzer aan een bestaand incident: selecteer één incident en selecteer vervolgens Toevoegen.

  4. Als u de bladwijzer in het incident wilt weergeven,

    1. Ga naar Microsoft Sentinel>Eenbeheerincidenten>.
    2. Selecteer het incident met uw bladwijzer en Volledige details weergeven.
    3. Selecteer op de pagina met incidenten in het linkerdeelvenster de bladwijzers.

Gegevens met bladwijzers weergeven in logboeken

Query's met bladwijzers, resultaten of hun geschiedenis weergeven.

  1. Selecteer op het tabbladOpsporingsbladwijzers> de bladwijzer.

  2. Selecteer in het detailvenster de volgende koppelingen:

    • Bekijk de bronquery om de bronquery weer te geven in het deelvenster Logboeken .

    • Bekijk bladwijzerlogboeken om alle metagegevens van de bladwijzer weer te geven, waaronder wie de update heeft uitgevoerd, de bijgewerkte waarden en het tijdstip waarop de update heeft plaatsgevonden.

  3. Selecteer in de opdrachtbalk op het tabbladBladwijzers> opsporen de optie Bladwijzerlogboeken om de onbewerkte bladwijzergegevens voor alle bladwijzers weer te geven.

    Schermopname van de opdracht bladwijzerlogboeken.

In deze weergave worden al uw bladwijzers met gekoppelde metagegevens weergegeven. U kunt KQL-query's (Kusto-querytaal) gebruiken om te filteren op de nieuwste versie van de specifieke bladwijzer die u zoekt.

Er kan een aanzienlijke vertraging (gemeten in minuten) zijn tussen het moment dat u een bladwijzer maakt en wanneer deze wordt weergegeven op het tabblad Bladwijzers .

Een bladwijzer verwijderen

Als u de bladwijzer verwijdert, wordt de bladwijzer verwijderd uit de lijst op het tabblad Bladwijzer . De tabel HuntingBookmark voor uw Log Analytics-werkruimte bevat nog steeds eerdere bladwijzervermeldingen, maar de meest recente vermelding wijzigt de waarde SoftDelete in true, waardoor u eenvoudig oude bladwijzers kunt filteren. Als u een bladwijzer verwijdert, worden er geen entiteiten uit de onderzoekservaring verwijderd die zijn gekoppeld aan andere bladwijzers of waarschuwingen.

Voer de volgende stappen uit om een bladwijzer te verwijderen.

  1. Selecteer op het tabbladOpsporingsbladwijzers> de bladwijzers die u wilt verwijderen.

  2. Klik met de rechtermuisknop en selecteer de optie om de geselecteerde bladwijzers te verwijderen.

Verwante onderwerpen

In dit artikel hebt u geleerd hoe u een opsporingsonderzoek uitvoert met behulp van bladwijzers in Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:

  • Last updated on