Udržujte si přehled o datech během přilovu k Azure SentinelKeep track of data during hunting with Azure Sentinel

Lovecké hrozby obvykle vyžadují kontrolu Mountains dat protokolu a hledání důkazů o škodlivém chování.Threat hunting typically requires reviewing mountains of log data looking for evidence of malicious behavior. Během tohoto procesu prověřování vyhledá události, které chtějí pamatovat, znovu navštívit a analyzovat, jako součást ověřování potenciální hypotézy a porozumění celému příběhu ohrožení.During this process, investigators find events that they want to remember, revisit, and analyze as part of validating potential hypotheses and understanding the full story of a compromise.

Rozkládání záložek v Azure Sentinel vám to uděláte tak, že zachováte dotazy, které jste spustili v protokolech Azure Sentinel, společně s výsledky dotazu, které považujete za relevantní.Hunting bookmarks in Azure Sentinel help you do this, by preserving the queries you ran in Azure Sentinel - Logs, along with the query results that you deem relevant. Můžete také zaznamenat kontextová pozorování a odkazovat na své závěry přidáním poznámek a značek.You can also record your contextual observations and reference your findings by adding notes and tags. Data s záložkami jsou viditelná pro vás a vaše ostatními týmu pro jednoduchou spolupráci.Bookmarked data is visible to you and your teammates for easy collaboration.

Data v záložkách můžete kdykoli znovu navštívit na kartě záložky v podokně pro lov .You can revisit your bookmarked data at any time on the Bookmarks tab of the Hunting pane. Pomocí možností filtrování a hledání můžete rychle najít konkrétní data pro vaše aktuální šetření.You can use filtering and search options to quickly find specific data for your current investigation. Případně můžete data z vaší záložky zobrazit přímo v tabulce HuntingBookmark v pracovním prostoru Log Analytics.Alternatively, you can view your bookmarked data directly in the HuntingBookmark table in your Log Analytics workspace. Například:For example:

Zobrazit tabulku HuntingBookmarkview HuntingBookmark table

Zobrazením záložek z tabulky můžete filtrovat, shrnout a spojovat data v záložkách s ostatními zdroji dat, což usnadňuje hledání corroborating legitimace.Viewing bookmarks from the table enables you to filter, summarize, and join bookmarked data with other data sources, making it easy to look for corroborating evidence.

Pokud zjistíte, že je v současnosti ve verzi Preview něco, co naléhavě musí být vyřešené při lovu do protokolů, můžete vytvořit záložku a povýšit ji na incident nebo přidat záložku k existujícímu incidentu.Currently in preview, if you find something that urgently needs to be addressed while hunting in your logs, in a couple of clicks, you can create a bookmark and promote it to an incident, or add the bookmark to an existing incident. Další informace o incidentech najdete v tématu kurz: prozkoumání incidentů pomocí služby Azure Sentinel.For more information about incidents, see Tutorial: Investigate incidents with Azure Sentinel.

Také ve verzi Preview můžete vizualizovat data v záložkách kliknutím na tlačítko prozkoumat v podrobnostech záložky.Also in preview, you can visualize your bookmarked data, by clicking Investigate from the bookmark details. Tím se spustí šetření, ve kterém si můžete prohlédnout, prozkoumat a vizuálně komunikovat vaše závěry pomocí interaktivního diagramu entit a Timeline grafu.This launches the investigation experience in which you can view, investigate, and visually communicate your findings using an interactive entity-graph diagram and timeline.

Přidání záložkyAdd a bookmark

  1. V Azure Portal přejděte do části Sentinel > Threat Management > lovu a spusťte dotazy pro podezřelé a neobvyklé chování.In the Azure portal, navigate to Sentinel > Threat management > Hunting to run queries for suspicious and anomalous behavior.

  2. Vyberte jeden z loveckých dotazů a na pravé straně v části Podrobnosti o loveckém dotazu vyberte Spustit dotaz.Select one of the hunting queries and on the right, in the hunting query details, select Run Query.

  3. Vyberte Zobrazit výsledky dotazu.Select View query results. Například:For example:

    zobrazení výsledků dotazu z hlediska pro lov Azure Sentinelview query results from Azure Sentinel hunting

    Tato akce otevře výsledky dotazu v podokně protokoly .This action opens the query results in the Logs pane.

  4. V seznamu výsledků dotazu protokolu pomocí zaškrtávacích políček vyberte jeden nebo více řádků, které obsahují informace, které najdete zajímavě.From the log query results list, use the checkboxes to select one or more rows that contain the information you find interesting.

  5. Vyberte Přidat záložku:Select Add bookmark:

    Přidat do dotazu záložku pro lovAdd hunting bookmark to query

  6. Napravo můžete v podokně Přidat záložek volitelně aktualizovat název záložky, přidat značky a poznámky, které vám pomůžou zjistit, co bylo pro danou položku zajímavé.On the right, in the Add bookmark pane, optionally, update the bookmark name, add tags, and notes to help you identify what was interesting about the item.

  7. V části informace o dotazu můžete pomocí rozevíracích seznamů extrahovat informace z výsledků dotazu pro typ entity účet, hostitele a IP adresy .In the Query Information section, use the drop-down boxes to extract information from the query results for the Account, Host, and IP address entity types. Tato akce mapuje vybraný typ entity na konkrétní sloupec z výsledku dotazu.This action maps the selected entity type to a specific column from the query result. Například:For example:

    Mapování typů entit pro lovecké záložkyMap entity types for hunting bookmark

    Chcete-li zobrazit záložku v grafu šetření (aktuálně ve verzi Preview), je nutné namapovat alespoň jeden typ entity, který je buď účet, hostitel, nebo IP adresa.To view the bookmark in the investigation graph (currently in preview), you must map at least one entity type that is either Account, Host, or IP address.

  8. Klikněte na Uložit a potvrďte provedené změny a přidejte záložku.Click Save to commit your changes and add the bookmark. Všechna data s záložkami se sdílejí s ostatními zkoušejícími a jedná se o první krok k prostředí šetření zaměřenému na spolupráci.All bookmarked data is shared with other investigators, and is a first step toward a collaborative investigation experience.

Poznámka

Výsledky dotazu protokolu podporují záložky vždy, když je toto podokno otevřeno z Azure Sentinel.The log query results support bookmarks whenever this pane is opened from Azure Sentinel. Můžete například vybrat Obecné > protokoly z navigačního panelu, vybrat odkazy na události v grafu vyšetřování nebo vybrat ID výstrahy z úplných podrobností incidentu (aktuálně ve verzi Preview).For example, you select General > Logs from the navigation bar, select event links in the investigations graph, or select an alert ID from the full details of an incident (currently in preview). Záložky nelze vytvořit, pokud je podokno protokoly otevřeno z jiných umístění, například přímo z Azure monitor.You can't create bookmarks when the Logs pane is opened from other locations, such as directly from Azure Monitor.

Zobrazení a aktualizace záložekView and update bookmarks

  1. V Azure Portal přejděte do části Sentinel > Threat Management > lov.In the Azure portal, navigate to Sentinel > Threat management > Hunting.

  2. Vyberte kartu záložky a zobrazte tak seznam záložek.Select the Bookmarks tab to view the list of bookmarks.

  3. Pokud vám pomůžete najít konkrétní záložku, použijte vyhledávací pole nebo možnosti filtrování.To help you find a specific bookmark, use the search box or filter options.

  4. Vyberte jednotlivé záložky a zobrazte podrobnosti o záložce v podokně podrobností na pravé straně.Select individual bookmarks and view the bookmark details in the right-hand details pane.

  5. Proveďte změny podle potřeby, které se automaticky uloží.Make your changes as needed, which are automatically saved.

Zkoumání záložek v grafu šetřeníExploring bookmarks in the investigation graph

Důležité

Zkoumání záložek v grafu šetření a samotného grafu šetření jsou momentálně ve verzi Public Preview.Exploring bookmarks in the investigation graph and the investigation graph itself are currently in public preview. Tyto funkce se poskytují bez smlouvy o úrovni služeb a nedoporučují se pro produkční úlohy.These features are provided without a service level agreement, and not recommended for production workloads. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

  1. V Azure Portal přejděte na kartu Sentinel > Threat Management– > karta lovecké > záložky a vyberte záložku nebo záložky, které chcete prozkoumat.In the Azure portal, navigate to Sentinel > Threat management > Hunting > Bookmarks tab, and select the bookmark or bookmarks you want to investigate.

  2. V podrobnostech záložky se ujistěte, že je namapovaná aspoň jedna entita.In the bookmark details, ensure that at least one entity is mapped. Například u entit se zobrazí položky pro IP adresu, počítač nebo účet.For example, for ENTITIES, you see entries for IP, Machine, or Account.

  3. Kliknutím na prozkoumat Zobrazte záložku v grafu šetření.Click Investigate to view the bookmark in the investigation graph.

Pokyny k používání grafu šetření najdete v tématu použití grafu šetření k hloubkové podrobně.For instructions to use the investigation graph, see Use the investigation graph to deep dive.

Přidat záložky do nového nebo existujícího incidentuAdd bookmarks to a new or existing incident

Důležité

Přidávání záložek do nového nebo existujícího incidentu je aktuálně ve verzi Public Preview.Adding bookmarks to a new or existing incident is currently in public preview. Tato funkce se poskytuje bez smlouvy o úrovni služeb a nedoporučuje se pro produkční úlohy.This feature is provided without a service level agreement, and it's not recommended for production workloads. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

  1. V Azure Portal přejděte na kartu Sentinel > Threat Management– > karta lovecké > záložky a vyberte záložku nebo záložky, které chcete přidat k incidentu.In the Azure portal, navigate to Sentinel > Threat management > Hunting > Bookmarks tab, and select the bookmark or bookmarks you want to add to an incident.

  2. Na panelu příkazů vyberte Akce incidentu (Preview) :Select Incident actions (Preview) from the command bar:

    Přidat záložky k incidentuAdd bookmarks to incident

  3. V případě potřeby vyberte možnost vytvořit nový incident nebo Přidat k existujícímu incidentu.Select either Create new incident or Add to existing incident, as required. Pak:Then:

    • Pro nový incident: volitelně aktualizujte podrobnosti incidentu a potom vyberte vytvořit.For a new incident: Optionally update the details for the incident, and then select Create.
    • Přidání záložky do existujícího incidentu: vyberte jeden incident a pak vyberte Přidat.For adding a bookmark to an existing incident: Select one incident, and then select Add.

Zobrazení záložky v rámci incidentu: přejděte na incidenty se správou hrozeb s ověřovacími > hrozbami > Incidents a vyberte incident s vaší záložkou.To view the bookmark within the incident: Navigate to Sentinel > Threat management > Incidents and select the incident with your bookmark. Vyberte Zobrazit úplné podrobnosti a potom vyberte kartu záložky .Select View full details, and then select the Bookmarks tab.

Tip

Jako alternativu k možnosti Akce incidentu (Preview) na panelu příkazů můžete použít kontextovou nabídku (...) pro jednu nebo více záložek a vybrat možnosti pro Vytvoření nového incidentu, přidání do existujícího incidentu a Odebrat z incidentu.As an alternative to the Incident actions (Preview) option on the command bar, you can use the context menu (...) for one or more bookmarks to select options to Create new incident, Add to existing incident, and Remove from incident.

Zobrazit data v záložkách v protokolechView bookmarked data in logs

Pokud chcete zobrazit záložky, výsledky nebo jejich historii, vyberte záložku na kartě lovecké > záložky a použijte odkazy v podokně podrobností:To view bookmarked queries, results, or their history, select the bookmark from the Hunting > Bookmarks tab, and use the links provided in the details pane:

  • Zobrazit zdrojový dotaz pro zobrazení zdrojového dotazu v podokně protokoly .View source query to view the source query in the Logs pane.

  • Zobrazením protokolů záložky zobrazíte všechna metadata záložky, včetně toho, kdo provedl aktualizaci, aktualizované hodnoty a čas, kdy k aktualizaci došlo.View bookmark logs to see all bookmark metadata, which includes who made the update, the updated values, and the time the update occurred.

Nezpracované data záložky pro všechny záložky můžete zobrazit také tak, že na panelu příkazů na kartě lovecké záložky vyberete možnost protokoly záložek > Bookmarks :You can also view the raw bookmark data for all bookmarks by selecting Bookmark Logs from the command bar on the Hunting > Bookmarks tab:

Protokoly záložekBookmark Logs

V tomto zobrazení se zobrazují všechny záložky s přidruženými metadaty.This view shows all your bookmarks with associated metadata. Pomocí dotazů jazyka KQL ( klíč Query Language ) můžete filtrovat dolů na nejnovější verzi konkrétní záložky, kterou hledáte.You can use Keyword Query Language (KQL) queries to filter down to the latest version of the specific bookmark you are looking for.

Poznámka

Mezi časem vytvoření záložky a jejím zobrazením na kartě záložky může být významná prodleva (měřeno v minutách).There can be a significant delay (measured in minutes) between the time you create a bookmark and when it is displayed in the Bookmarks tab.

Odstranění záložkyDelete a bookmark

  1. V Azure Portal přejděte na kartu Sentinel > Threat Management– > karta lovecké > záložky a vyberte záložku nebo záložky, které chcete odstranit.In the Azure portal, navigate to Sentinel > Threat management > Hunting > Bookmarks tab, and select the bookmark or bookmarks you want to delete.

  2. Klikněte pravým tlačítkem na své výběry a vyberte možnost odstranění záložky nebo záložek.Right-click your selections, and select the option to delete the bookmark or bookmarks. Pokud jste například vybrali jenom jednu záložku, odstraňte záložku , a pokud jste vybrali dvě záložky, odstraňte 2 záložky .For example, Delete bookmark if you selected just one bookmark, and Delete 2 bookmarks if you selected two bookmarks.

Odstranění záložky odebere záložku ze seznamu na kartě Záložka . Tabulka HuntingBookmark pro váš pracovní prostor Log Analytics bude dál obsahovat položky předchozí záložky, ale nejnovější položka změní hodnotu SoftDelete na true, což usnadňuje filtrování starých záložek.Deleting the bookmark removes the bookmark from the list in the Bookmark tab. The HuntingBookmark table for your Log Analytics workspace will continue to contain previous bookmark entries, but the latest entry will change the SoftDelete value to true, making it easy to filter out old bookmarks. Odstraněním záložky se neodstraní žádné entity z prostředí pro šetření, které jsou přidruženy k jiným záložkám nebo výstrahám.Deleting a bookmark does not remove any entities from the investigation experience that are associated with other bookmarks or alerts.

Další krokyNext steps

V tomto článku jste zjistili, jak spustit lovecké šetření pomocí záložek ve službě Azure Sentinel.In this article, you learned how to run a hunting investigation using bookmarks in Azure Sentinel. Další informace o Sentinel Azure najdete v následujících článcích:To learn more about Azure Sentinel, see the following articles: