Udostępnij przez

Śledzenie danych podczas wyszukiwania zagrożeń za pomocą usługi Microsoft Sentinel

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Zakładki wyszukiwania zagrożeń w usłudze Microsoft Sentinel ułatwiają zachowanie zapytań i wyników zapytań, które uznajesz za istotne. Możesz również rejestrować uwagi kontekstowe i odwoływać się do wyników, dodając notatki i tagi. Dane oznaczone zakładką są widoczne dla Ciebie i członków zespołu w celu ułatwienia współpracy. Aby uzyskać więcej informacji, zobacz Zakładki.

Uwaga / Notatka

Zakładki można tworzyć tylko w witrynie Azure Portal. Chociaż nie możesz dodawać zakładek w portalu usługi Microsoft Defender, możesz zobaczyć zakładki, które zostały już utworzone.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.

Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.

Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).

Dodaj zakładkę (tylko portal Azure)

Utwórz zakładkę, aby zachować zapytania, wyniki, obserwacje i wyniki.

  1. W obszarze Zarządzanie zagrożeniami wybierz pozycję Wyszukiwanie zagrożeń.

  2. Na karcie Zapytania wybierz co najmniej jedno zapytanie myśliwskie.

  3. Na górnym pasku poleceń wybierz pozycję Uruchom wybrane zapytania.

  4. Wybierz pozycję Wyświetl wyniki zapytania. Na przykład:

    Zrzut ekranu przedstawiający wyświetlanie wyników zapytania z wyszukiwania zagrożeń w usłudze Microsoft Sentinel.

    Ta akcja powoduje otwarcie wyników zapytania w okienku Dzienniki .

  5. Z listy wyników zapytania dziennika użyj pól wyboru, aby wybrać co najmniej jeden wiersz zawierający interesujące informacje.

  6. W witrynie Azure Portal wybierz pozycję Dodaj zakładkę:

    Zrzut ekranu przedstawiający dodawanie zakładki śledzenia zagrożeń do zapytania.

  7. Po prawej stronie w okienku Dodawanie zakładki opcjonalnie zaktualizuj nazwę zakładki, dodaj tagi i notatki, aby ułatwić określenie interesujących informacji o elemencie.

  8. Zakładki można opcjonalnie mapować na techniki MITRE ATT&CK lub techniki podrzędne. Mapowania MITRE ATT&CK są dziedziczone z mapowanych wartości w zapytaniach wyszukiwania zagrożeń, ale można je również utworzyć ręcznie. Wybierz taktykę MITRE ATT&CK skojarzoną z żądaną techniką z menu rozwijanego w sekcji Taktyka i techniki okienka Dodaj zakładkę. Menu rozwija się, aby wyświetlić wszystkie techniki MITRE ATT&CK, a w tym menu można wybrać wiele technik i technik podrzędnych.

    Zrzut ekranu przedstawiający sposób mapowania taktyki i technik ataku Mitre na zakładki.

  9. Teraz można wyodrębnić rozszerzony zestaw jednostek z wyników zapytań z zakładkami w celu dalszego zbadania. W sekcji Mapowanie jednostek użyj list rozwijanych, aby wybrać typy jednostek i identyfikatory. Następnie zamapuj kolumnę w wynikach zapytania zawierającego odpowiedni identyfikator. Na przykład:

    Zrzut ekranu mapujący typy jednostek do zakładek łowieckich.

    Aby wyświetlić zakładkę na wykresie badania, musisz zamapować co najmniej jedną jednostkę. Mapowania jednostek na utworzone typy jednostek konta, hosta, adresu IP i adresu URL są obsługiwane, co zapewnia zgodność z poprzednimi wersjami.

  10. Wybierz pozycję Utwórz , aby zatwierdzić zmiany i dodać zakładkę. Wszystkie dane z zakładkami są udostępniane innym analitykom i jest pierwszym krokiem w kierunku wspólnego badania.

Wyniki zapytania dziennika obsługują zakładki za każdym razem, gdy to okienko jest otwierane z usługi Microsoft Sentinel. Jeśli na przykład wybierzesz pozycję Dzienniki ogólne> na pasku nawigacyjnym, następnie wybierz linki zdarzeń na wykresie analitycznym lub wybierz identyfikator alertu z pełnych szczegółów incydentu. Nie można tworzyć zakładek, gdy okienko Dzienniki jest otwierane z innej lokalizacji, na przykład bezpośrednio z usługi Azure Monitor.

Wyświetlanie i aktualizowanie zakładek

Znajdź i zaktualizuj zakładkę na karcie zakładki.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Wyszukiwanie zagrożeń.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Microsoft Sentinel>Zarządzanie zagrożeniami>Wyszukiwanie.

  2. Wybierz kartę Zakładki , aby wyświetlić listę zakładek.

  3. Wyszukaj lub filtruj, aby znaleźć określoną zakładkę lub zakładki.

  4. Wybierz poszczególne zakładki, aby wyświetlić szczegóły zakładki w okienku po prawej stronie.

  5. Wprowadź zmiany zgodnie z potrzebami. Zmiany są zapisywane automatycznie.

Uwaga / Notatka

Na karcie zakładki można wyświetlać maksymalnie 1000 zakładek. Pozostałe dane z zakładkami można wyświetlić w dziennikach. Dowiedz się więcej

Eksplorowanie zakładek na wykresie badania

Wizualizuj dane z zakładkami, uruchamiając środowisko badania, w którym można wyświetlać, badać i wizualnie komunikować się z wynikami przy użyciu interaktywnego diagramu i osi czasu wykresu jednostek.

  1. Na karcie Zakładki wybierz zakładkę lub zakładki, które chcesz zbadać.

  2. W szczegółach zakładki upewnij się, że co najmniej jedna jednostka jest mapowana.

  3. Wybierz pozycję Zbadaj , aby wyświetlić zakładkę na wykresie badania.

Aby uzyskać wskazówki dotyczące użycia grafu dochodzeniowego, zobacz Używanie grafu dochodzeniowego do dogłębnej analizy.

Dodaj zakładki do nowego lub istniejącego zdarzenia (tylko Azure Portal)

Dodaj zakładki do incydentu z karty "Zakładki" na stronie Hunting.

  1. Na karcie Zakładki wybierz zakładkę lub zakładki, które chcesz dodać do zdarzenia.

  2. Wybierz pozycję Akcje incydentu na pasku poleceń:

    Zrzut ekranu przedstawiający dodawanie zakładek do zdarzenia.

  3. Wybierz pozycję Utwórz nowe zdarzenie lub Dodaj do istniejącego zdarzenia odpowiednio. Następnie:

    • W przypadku nowego zdarzenia: opcjonalnie zaktualizuj szczegóły zdarzenia, a następnie wybierz pozycję Utwórz.
    • Aby dodać zakładkę do istniejącego zdarzenia: wybierz jedno zdarzenie, a następnie wybierz pozycję Dodaj.

  4. Aby wyświetlić zakładkę w ramach zdarzenia,

    1. Przejdź do Microsoft Sentinel, zarządzanie zagrożeniami, Incydenty.
    2. Wybierz zdarzenie oznakowane zakładką i Wyświetl pełne szczegóły.
    3. Na stronie incydentu w okienku po lewej stronie wybierz Zakładki.

Wyświetlanie danych z zakładkami w dziennikach

Wyświetlanie zapytań, wyników lub historii zakładek.

  1. Na karcie Hunting>Zakładki wybierz zakładkę.

  2. W okienku szczegółów wybierz następujące linki:

    • Wyświetl zapytanie źródłowe , aby wyświetlić zapytanie źródłowe w okienku Dzienniki .

    • Wyświetl dzienniki zakładek , aby wyświetlić wszystkie metadane zakładki, w tym osoby, które dokonały aktualizacji, zaktualizowane wartości i czas wystąpienia aktualizacji.

  3. Na pasku poleceń na karcieZakładki> wybierz pozycję Dzienniki zakładek, aby wyświetlić nieprzetworzone dane zakładek dla wszystkich zakładek.

    Zrzut ekranu przedstawiający polecenie dzienników zakładek.

Ten widok przedstawia wszystkie zakładki ze skojarzonymi metadanymi. Zapytania języka KQL (Kusto Query Language) umożliwiają filtrowanie do najnowszej wersji określonej zakładki, której szukasz.

Może wystąpić znaczne opóźnienie (mierzone w minutach) między utworzeniem zakładki a wyświetleniem jej na karcie Zakładki .

Usuwanie zakładki

Usunięcie zakładki powoduje usunięcie zakładki z listy na karcie Zakładka . Tabela HuntingBookmark dla obszaru roboczego usługi Log Analytics nadal zawiera poprzednie wpisy zakładki, ale najnowszy wpis zmienia wartość SoftDelete na true, co ułatwia filtrowanie starych zakładek. Usunięcie zakładki nie powoduje usunięcia żadnych jednostek ze środowiska badania, które są skojarzone z innymi zakładkami lub alertami.

Aby usunąć zakładkę, wykonaj następujące kroki.

  1. Na karcie Polowanie>Zakładki wybierz zakładkę lub zakładki, które chcesz usunąć.

  2. Kliknij prawym przyciskiem myszy i wybierz opcję usunięcia wybranych zakładek.

Powiązana zawartość

W tym artykule przedstawiono sposób uruchamiania badania wyszukiwania zagrożeń przy użyciu zakładek w usłudze Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:

  • Last updated on