Partilhar via

Acompanhe os dados durante a caça com o Microsoft Sentinel

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Procurar marcadores no Microsoft Sentinel ajuda a preservar as consultas e os resultados da consulta que considera relevantes. Também pode registar as suas observações contextuais e referir as suas descobertas ao adicionar notas e etiquetas. Os dados com marcadores são visíveis para si e para os seus colegas de equipa para uma colaboração fácil. Para obter mais informações, consulte Favoritos.

Observação

Os marcadores só podem ser criados no portal do Azure. Embora não seja possível adicionar marcadores no portal do Microsoft Defender, você pode ver os favoritos que já foram criados.

Importante

O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.

A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.

Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.

Adicionar um marcador (apenas portal do Azure)

Crie um marcador para preservar as consultas, os resultados, as observações e as descobertas.

  1. Em Gerenciamento de ameaças, selecione Caça.

  2. Na guia Consultas , selecione uma ou mais das consultas de caça.

  3. Na barra de comandos superior, selecione Executar consultas selecionadas.

  4. Selecione Exibir resultados da consulta. Por exemplo:

    Captura de ecrã mostrando os resultados da consulta de análise do Microsoft Sentinel.

    Esta ação abre os resultados da consulta no painel Logs .

  5. Na lista de resultados da consulta de log, use as caixas de seleção para selecionar uma ou mais linhas que contenham as informações que você achar interessantes.

  6. No portal do Azure, selecione Adicionar marcador:

    Captura de ecrã a mostrar a adição de um marcador de caça à consulta.

  7. À direita, no painel Adicionar marcador , opcionalmente, atualize o nome do marcador, adicione tags e anotações para ajudá-lo a identificar o que era interessante sobre o item.

  8. Os marcadores podem ser opcionalmente mapeados para técnicas ou subtécnicas MITRE ATT&CK. Os mapeamentos MITRE ATT&CK são herdados de valores mapeados em consultas de caça, mas você também pode criá-los manualmente. Selecione a tática MITRE ATT&CK associada à técnica desejada no menu suspenso na seção Táticas & Técnicas do painel Adicionar marcador . O menu se expande para mostrar todas as técnicas MITRE ATT&CK, e você pode selecionar várias técnicas e subtécnicas neste menu.

    Captura de tela de como mapear táticas e técnicas de ataque Mitre para favoritos.

  9. Agora, um conjunto expandido de entidades pode ser extraído dos resultados da consulta marcada para investigação adicional. Na seção Mapeamento de entidade , use as listas suspensas para selecionar tipos de entidade e identificadores. Em seguida, mapeie a coluna nos resultados da consulta que contém o identificador correspondente. Por exemplo:

    Captura de ecrã para mapear tipos de entidades ao gerir marcadores.

    Para visualizar o marcador no gráfico de investigação, você deve mapear pelo menos uma entidade. Há suporte para mapeamentos de entidade para tipos de entidade de conta, host, IP e URL que você criou, preservando a compatibilidade com versões anteriores.

  10. Selecione Criar para confirmar as alterações e adicionar o marcador. Todos os dados marcados são compartilhados com outros analistas e são um primeiro passo para uma experiência de investigação colaborativa.

Os resultados da consulta de log suportam marcadores sempre que este painel é aberto a partir do Microsoft Sentinel. Por exemplo, se o utilizador selecionar Geral>Logs na barra de navegação, selecionar links de eventos no gráfico de investigações ou selecionar ID de alerta a partir dos detalhes completos de um incidente. Não é possível criar marcadores quando o painel Logs é aberto de outro local, como diretamente do Azure Monitor.

Ver e atualizar marcadores

Encontre e atualize um marcador a partir do separador de marcadores.

  1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Caça.
    Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Threat management>Hunting.

  2. Selecione a guia Favoritos para exibir a lista de favoritos.

  3. Pesquise ou filtre para encontrar um marcador ou marcadores específicos.

  4. Selecione marcadores individuais para visualizar os detalhes do marcador no painel direito.

  5. Faça as alterações necessárias. As suas alterações serão guardadas automaticamente.

Observação

Só pode ver até 1.000 marcadores no separador de marcadores. Pode ver o resto dos seus dados marcados nos seus registos. Mais informações

Explorando marcadores no gráfico de investigação

Visualize seus dados marcados iniciando a experiência de investigação na qual você pode visualizar, investigar e comunicar visualmente suas descobertas usando um diagrama interativo de gráfico de entidade e linha do tempo.

  1. Na guia Favoritos , selecione o marcador ou favoritos que deseja investigar.

  2. Nos detalhes do marcador, certifique-se de que pelo menos uma entidade esteja mapeada.

  3. Selecione Investigar para visualizar o marcador no gráfico de investigação.

Para obter instruções sobre como usar o gráfico de investigação, consulte Usar o gráfico de investigação para aprofundar o estudo.

Adicionar marcadores a um incidente novo ou existente (apenas portal do Azure)

Adicione marcadores a um incidente a partir do separador Marcadores na página Caça.

  1. Na guia Marcadores, selecione o marcador ou os marcadores que pretende adicionar a um incidente.

  2. Selecione Ações de incidente na barra de comandos:

    Captura de ecrã a mostrar a adição de marcadores a incidentes.

  3. Selecione Criar novo incidente ou Adicionar a incidente existente, conforme apropriado. Em seguida:

    • Para um novo incidente: Opcionalmente, atualize os detalhes do incidente e selecione Criar.
    • Para adicionar um marcador a um incidente existente: selecione um incidente e, em seguida, selecione Adicionar.

  4. Para visualizar o marcador dentro do incidente,

    1. Vá para Microsoft Sentinel>, Gestão de Ameaças>, Incidentes.
    2. Selecione o incidente com o seu marcador e veja todos os detalhes.
    3. Na página do incidente, no painel esquerdo, selecione os Favoritos.

Ver dados marcados em registos

Veja consultas marcadas, resultados ou seu histórico.

  1. Na guia Caça>Marcadores, selecione o marcador.

  2. No painel de detalhes, selecione os seguintes links:

    • Exiba a consulta de origem para exibir a consulta de origem no painel Logs .

    • Exiba os logs de favoritos para ver todos os metadados de favoritos, que incluem quem fez a atualização, os valores atualizados e a hora em que a atualização ocorreu.

  3. Na barra de comandos na guia Caça>Favoritos, selecione Registros de Favoritos para exibir os dados brutos de todos os favoritos.

    Captura de ecrã do comando de registos de marcadores.

Esta vista mostra todos os seus marcadores com metadados associados. Você pode usar consultas Kusto Query Language (KQL) para filtrar até a versão mais recente do marcador específico que você está procurando.

Pode haver um atraso significativo (medido em minutos) entre o momento em que você cria um marcador e quando ele é exibido na guia Favoritos .

Eliminar um marcador

A eliminação do marcador remove o marcador da lista no separador Marcador . A tabela HuntingBookmark para seu espaço de trabalho do Log Analytics continua a conter entradas de favoritos anteriores, mas a entrada mais recente altera o valor SoftDelete para true, facilitando a filtragem de favoritos antigos. A exclusão de um marcador não remove nenhuma entidade da experiência de investigação associada a outros marcadores ou alertas.

Para excluir um marcador, conclua as etapas a seguir.

  1. Na guia Caça>Favoritos, selecione o marcador ou marcadores que deseja eliminar.

  2. Clique com o botão direito do mouse e selecione a opção para excluir os favoritos selecionados.

Conteúdos relacionados

Neste artigo, você aprendeu como executar uma investigação de caça usando marcadores no Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

  • Last updated on