Håll reda på data under jakt med Microsoft Sentinel

  • Gäller för: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Genom att jaga bokmärken i Microsoft Sentinel kan du bevara de frågor och frågeresultat som du anser vara relevanta. Du kan också registrera dina sammanhangsbaserade observationer och referera till dina resultat genom att lägga till anteckningar och taggar. Bokmärkta data är synliga för dig och dina teammedlemmar för enkelt samarbete. Mer information finns i Bokmärken.

Obs!

Bokmärken kan bara skapas i Azure Portal. Du kan inte lägga till bokmärken i Microsoft Defender portalen, men du kan se bokmärken som redan har skapats.

Viktigt

Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen.

Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender.

Lägg till ett bokmärke (endast Azure Portal)

Skapa ett bokmärke för att bevara frågor, resultat, dina observationer och resultat.

  1. Under Hothantering väljer du Jakt.

  2. På fliken Frågor väljer du en eller flera av jaktfrågorna.

  3. I det översta kommandofältet väljer du Kör valda frågor.

  4. Välj Visa frågeresultat. Till exempel:

    Skärmbild av att visa frågeresultat från Microsoft Sentinel jakt.

    Den här åtgärden öppnar frågeresultatet i fönstret Loggar .

  5. I resultatlistan för loggfrågor använder du kryssrutorna för att markera en eller flera rader som innehåller den information som du tycker är intressant.

  6. I Azure Portal väljer du Lägg till bokmärke:

    Skärmbild av att lägga till jaktbokmärke i frågan.

  7. Till höger i fönstret Lägg till bokmärke kan du uppdatera bokmärkesnamnet, lägga till taggar och anteckningar som hjälper dig att identifiera vad som var intressant med objektet.

  8. Bokmärken kan mappas till MITRE ATT&CK-tekniker eller undertekniker. MITRE ATT&CK-mappningar ärvs från mappade värden i jaktfrågor, men du kan också skapa dem manuellt. Välj den MITRE ATT-&CK-taktik som är associerad med önskad teknik från den nedrullningsbara menyn i avsnittet Taktiker & tekniker i fönstret Lägg till bokmärke . Menyn expanderas för att visa alla MITRE ATT-&CK-tekniker, och du kan välja flera tekniker och undertekniker på den här menyn.

    Skärmbild av hur du mappar Mitre Attack-taktiker och -tekniker till bokmärken.

  9. Nu kan en utökad uppsättning entiteter extraheras från bokmärkta frågeresultat för ytterligare undersökning. I avsnittet Entitetsmappning använder du listrutorna för att välja entitetstyper och identifierare. Mappa sedan kolumnen i frågeresultatet som innehåller motsvarande identifierare. Till exempel:

    Skärmbild för att mappa entitetstyper för jakt på bokmärken.

    Om du vill visa bokmärket i undersökningsdiagrammet måste du mappa minst en entitet. Entitetsmappningar till konto-, värd-, IP- och URL-entitetstyper som du skapade stöds, vilket bevarar bakåtkompatibiliteten.

  10. Välj Skapa för att checka in ändringarna och lägga till bokmärket. Alla bokmärkta data delas med andra analytiker och är ett första steg mot en samarbetsundersökning.

Loggfrågeresultatet stöder bokmärken när det här fönstret öppnas från Microsoft Sentinel. Om du till exempel väljer Allmänna>loggar i navigeringsfältet väljer du händelselänkar i undersökningsdiagrammet eller väljer ett aviserings-ID från den fullständiga informationen om en incident. Du kan inte skapa bokmärken när fönstret Loggar öppnas från en annan plats, till exempel direkt från Azure Monitor.

Visa och uppdatera bokmärken

Hitta och uppdatera ett bokmärke från bokmärkesfliken.

  1. För Microsoft Sentinel i Azure Portal väljer du Jakt under Hothantering.
    För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel>Threat managementHunting (Jakt på hantering>).

  2. Välj fliken Bokmärken för att visa listan över bokmärken.

  3. Sök eller filtrera för att hitta ett specifikt bokmärke eller bokmärken.

  4. Välj enskilda bokmärken för att visa bokmärkesinformationen i den högra rutan.

  5. Gör dina ändringar efter behov. Ändringarna sparas automatiskt.

Obs!

Du kan bara visa upp till 1 000 bokmärken på bokmärkesfliken. Du kan visa resten av dina bokmärkta data i loggarna. Läs mer

Utforska bokmärken i undersökningsdiagrammet

Visualisera dina bokmärkta data genom att starta undersökningsupplevelsen där du kan visa, undersöka och visuellt kommunicera dina resultat med hjälp av ett interaktivt entitetsdiagram och tidslinje.

  1. På fliken Bokmärken väljer du det bokmärke eller bokmärken som du vill undersöka.

  2. Kontrollera att minst en entitet är mappad i bokmärkesinformationen.

  3. Välj Undersök för att visa bokmärket i undersökningsdiagrammet.

Anvisningar om hur du använder undersökningsdiagrammet finns i Använda undersökningsdiagrammet för att fördjupa dig.

Lägga till bokmärken i en ny eller befintlig incident (endast Azure Portal)

Lägg till bokmärken i en incident från bokmärkesfliken på sidan Jakt .

  1. På fliken Bokmärken väljer du det bokmärke eller bokmärken som du vill lägga till i en incident.

  2. Välj Incidentåtgärder i kommandofältet:

    Skärmbild av att lägga till bokmärken i incidenten.

  3. Välj antingen Skapa ny incident eller Lägg till i befintlig incident efter behov. Sedan:

    • För en ny incident: Om du vill kan du uppdatera informationen för incidenten och sedan välja Skapa.
    • För att lägga till ett bokmärke till en befintlig incident: Välj en incident och välj sedan Lägg till.

  4. Om du vill visa bokmärket i incidenten,

    1. Gå till Microsoft Sentinel>Därhanteringsincidenter>.
    2. Välj incidenten med ditt bokmärke och Visa fullständig information.
    3. Välj Bokmärken i den vänstra rutan på incidentsidan.

Visa bokmärkta data i loggar

Visa bokmärkta frågor, resultat eller deras historik.

  1. På flikenJaktbokmärken> väljer du bokmärket.

  2. Välj följande länkar i informationsfönstret:

    • Visa källfråga för att visa källfrågan i fönstret Loggar .

    • Visa bokmärkesloggar för att se alla bokmärkesmetadata, inklusive vem som gjorde uppdateringen, de uppdaterade värdena och tidpunkten då uppdateringen inträffade.

  3. I kommandofältet på fliken Jaktbokmärken> väljer du Bokmärkesloggar för att visa rådata för alla bokmärken.

    Skärmbild av kommandot bokmärkesloggar.

Den här vyn visar alla dina bokmärken med associerade metadata. Du kan använda Kusto-frågespråk frågor (KQL) för att filtrera ned till den senaste versionen av det specifika bokmärket som du letar efter.

Det kan uppstå en betydande fördröjning (mätt i minuter) mellan den tid då du skapar ett bokmärke och när det visas på fliken Bokmärken .

Ta bort ett bokmärke

Om du tar bort bokmärket tas bokmärket bort från listan på fliken Bokmärke . Tabellen HuntingBookmark för Log Analytics-arbetsytan fortsätter att innehålla tidigare bokmärkesposter, men den senaste posten ändrar Värdet SoftDelete till true, vilket gör det enkelt att filtrera bort gamla bokmärken. Om du tar bort ett bokmärke tas inga entiteter bort från undersökningsupplevelsen som är associerade med andra bokmärken eller aviseringar.

Utför följande steg för att ta bort ett bokmärke.

  1. På flikenJaktbokmärken> väljer du det bokmärke eller bokmärken som du vill ta bort.

  2. Högerklicka och välj alternativet för att ta bort de markerade bokmärkena.

Relaterat innehåll

I den här artikeln har du lärt dig hur du kör en jaktundersökning med hjälp av bokmärken i Microsoft Sentinel. Mer information om Microsoft Sentinel finns i följande artiklar:

  • Last updated on