Поделиться через


Отслеживание данных при охоте на угрозы в Microsoft Sentinel

Охота на закладки в Microsoft Sentinel помогает сохранять запросы и результаты запросов, которые вы считаете соответствующими. Вы также можете записывать контекстные наблюдения и ссылаться на свои выводы, добавляя примечания и теги. Данные, добавленные в закладки, видны вам и вашим коллегам, упрощая совместную работу. Дополнительные сведения см. в разделе "Закладки".

Внимание

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Добавление закладки

Создайте закладку для сохранения запросов, результатов, наблюдений и результатов.

  1. Для Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите "Охота".
    Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Threat Management>Hunting.

  2. На вкладке "Охота" выберите охоту.

  3. Выберите один из запросов охоты.

  4. В сведениях о запросе для охоты выберите "Выполнить запрос".

  5. Выберите Просмотр результатов запроса. Например:

    Снимок экрана: просмотр результатов запроса из охоты Microsoft Sentinel.

    При выполнении этого действия результаты запроса отображаются на панели Журналы.

  6. В списке результатов запроса в журнале есть флажки, с помощью которых можно выбрать одну или несколько строк с интересующими вас сведениями.

  7. Выберите Добавить закладку:

    Снимок экрана: добавление закладки охоты на запрос.

  8. На панели Добавить закладку (справа) можно обновить имя закладки, а также добавить теги и примечания для идентификации выбранных элементов.

  9. Закладки можно при необходимости сопоставить с методами mitRE ATT&CK или вложенными методами. Сопоставления MITRE ATT&CK наследуются от сопоставленных значений в поисковых запросах, но их также можно создать вручную. Выберите тактику MITRE ATT&CK, связанную с требуемой техникой, в раскрывающемся меню в разделе "Тактика и методы" области "Добавить закладку". Меню разворачивается, чтобы отобразить все методы MITRE ATT&CK, и вы можете выбрать несколько методов и вложенных методов в этом меню.

    Снимок экрана: сопоставление тактики и методов mitre Attack с закладками.

  10. Теперь развернутый набор сущностей можно извлечь из результатов запроса закладки для дальнейшего изучения. В разделе сопоставления сущностей используйте раскрывающийся список для выбора типов сущностей и идентификаторов. Затем сопоставьте столбец в результатах запроса, содержащий соответствующий идентификатор. Например:

    Снимок экрана: сопоставление типов сущностей для охоты на закладки.

    Чтобы просмотреть закладку в графе исследования, необходимо сопоставить хотя бы одну сущность. Сопоставления сущностей с созданными типами сущностей учетной записи, узла, IP-адреса и URL-адреса поддерживаются, сохраняя обратную совместимость.

  11. Нажмите кнопку "Сохранить", чтобы зафиксировать изменения и добавить закладку. Все данные, помещенные в закладки, передаются другим аналитикам, и это первый шаг к совместному проведению исследований.

Результаты запроса журнала поддерживают закладки каждый раз, когда эта панель открывается из Microsoft Sentinel. Например, вы выбираете общие>журналы на панели навигации, выберите ссылки на события в графе расследований или выберите идентификатор оповещения из полных сведений об инциденте. Если панель Журналы открыта в другом расположении (например, непосредственно в Azure Monitor), создать закладки невозможно.

Просмотр и обновление закладок

Найдите и обновите закладку на вкладке закладки.

  1. Для Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите "Охота".
    Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Threat Management>Hunting.

  2. Перейдите на вкладку Закладки, чтобы посмотреть список закладок.

  3. Поиск или фильтрация для поиска определенной закладки или закладок.

  4. Выберите отдельные закладки, чтобы просмотреть сведения о закладках в правой области.

  5. Внесите изменения по мере необходимости. Изменения сохраняются автоматически.

Просмотр закладок на графе исследования

Визуализировать данные закладок, запуская процесс исследования, в котором можно просматривать, исследовать и визуально обмениваться результатами с помощью интерактивной диаграммы диаграммы сущностей и временной шкалы.

  1. На вкладке "Закладки" выберите закладку или закладки, которые вы хотите исследовать.

  2. В разделе сведений о закладке должна быть сопоставлена хотя бы одна сущность.

  3. Выберите Исследовать, чтобы просмотреть закладку на графе исследования.

Инструкции по использованию графа исследования см. в статье Глубокий анализ с помощью графа исследования.

Добавление закладок для нового или существующего инцидента

Добавьте закладки в инцидент на вкладке "Закладки" на странице "Охота ".

  1. На вкладке "Закладки" выберите закладку или закладки, которые нужно добавить в инцидент.

  2. Выберите Действия инцидента на панели команд:

    Снимок экрана: добавление закладок в инцидент.

  3. Выберите Создать новый инцидент или Добавить в существующий инцидент (в зависимости от ситуации). Затем:

    • Для нового инцидента: при необходимости обновите сведения об инциденте, затем выберите Создать.
    • Чтобы добавить закладку к существующему инциденту, выберите один инцидент, затем выберите Добавить.
  4. Чтобы просмотреть закладку в инциденте,

    1. Перейдите в инциденты управления>угрозами Microsoft Sentinel.>
    2. Выберите инцидент с закладкой и просмотрите полные сведения.
    3. На странице инцидента в левой области выберите закладки.

Просмотр данных в закладками в журналах

Просмотр закладочных запросов, результатов или их журнала.

  1. На вкладке "Охота>на закладки" выберите закладку.

  2. В области сведений выберите следующие ссылки:

    • Просмотр исходного запроса для просмотра исходного запроса на панели Журналы.

    • Выберите Просмотр журналов закладок, чтобы просмотреть все метаданные закладки, включая сведения о том, кто выполнил обновление, обновленные значения и время обновления.

  3. На вкладке "Закладки охоты" выберите "Журналы закладок", чтобы просмотреть необработанные>данные закладки для всех закладок.

    Снимок экрана: команда журналов закладок.

В этом представлении отображаются все закладки со связанными метаданными. Запросы язык запросов Kusto (KQL) можно использовать для фильтрации до последней версии конкретной закладки, которую вы ищете.

Между созданием закладки и отображением закладки на вкладке "Закладки" может быть значительная задержка (измеряемая в минутах ).

Удаление закладки

При удалении закладки закладка удаляется из списка на вкладке "Закладка ". Таблица HuntingBookmark для рабочей области Log Analytics продолжает содержать предыдущие записи закладок, но последняя запись изменяет значение SoftDelete на true, что упрощает фильтрацию старых закладок. При удалении закладки не удаляются сущности из интерфейса исследования, связанные с другими закладками или оповещениями.

Чтобы удалить закладку, выполните следующие действия.

  1. На вкладке "Охота>на закладки" выберите закладку или закладки, которые вы хотите удалить.

  2. Щелкните правой кнопкой мыши и выберите параметр удаления выбранных закладок.

Из этой статьи вы узнали, как запустить исследование для поиска угроз в Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях: