Håll reda på data under jakt med Microsoft Sentinel

  • Artikel
  • 7 minuter för att läsa

Anteckning

Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.

Anteckning

Information om funktionstillgänglighet i US Government-moln finns i Microsoft Sentinel-tabeller i Cloud feature availability for US Government customers (Funktionstillgänglighet för amerikanska myndigheter).

Hotjakt kräver vanligtvis granskning av flera loggdata som letar efter tecken på skadligt beteende. Under den här processen hittar utredare händelser som de vill komma ihåg, gå tillbaka till och analysera som en del av att validera potentiella hypoteser och förstå hela berättelsen om en kompromettering.

Jaktbokmärken i Microsoft Sentinel hjälper dig att göra detta genom att bevara de frågor som du körde i Microsoft Sentinel – Loggar, tillsammans med de frågeresultat som du anser vara relevanta. Du kan också registrera dina kontextbaserade observationer och lägga till referenser till dina upptäckter genom att lägga till kommentarer och taggar. Genom att visa bokmärkta data blir det enklare för dig och andra teammedlemmar att samarbeta.

Nu kan du identifiera och åtgärda brister i MITRE ATT&CK-tekniktäckningen för alla jaktfrågor genom att mappa dina anpassade jaktfrågor till MITRE ATT&CK-tekniker.

Viktigt

Mappningen av MITRE ATT&CK-tekniker för bokmärken är för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Microsoft Azure-förhandsversioner för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som ännu inte har släppts i allmän tillgänglighet.

Du kan också undersöka fler typer av entiteter när du jagar med bokmärken genom att mappa den fullständiga uppsättningen entitetstyper och identifierare som stöds av Microsoft Sentinel Analytics i dina anpassade frågor. På så sätt kan du använda bokmärken för att utforska de entiteter som returneras i jaktfrågeresultat med hjälp av entitetssidorna, incidenter och undersökningsdiagrammet. Om ett bokmärke samlar in resultat från en jaktfråga ärver det automatiskt frågans MITRE ATT&CK-teknik och entitetsmappningar.

Viktigt

Mappningen av en utökad uppsättning entitetstyper och identifierare till bokmärken finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Microsoft Azure-förhandsversioner för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som ännu inte har släppts i allmän tillgänglighet.

Om du snabbt hittar något som behöver åtgärdas när du jagar i loggarna kan du enkelt skapa ett bokmärke och antingen höja upp det till en incident eller lägga till det i en befintlig incident. Mer information om incidenter finns i Undersöka incidenter med Microsoft Sentinel.

Om du har hittat något som är värt bokmärken, men som inte är omedelbart brådskande, kan du skapa ett bokmärke och sedan gå tillbaka till dina bokmärkta data när som helst på fliken Bokmärken i fönstret Jakt. Du kan använda filtrerings- och sökalternativ för att snabbt hitta specifika data för din aktuella undersökning.

Du kan visualisera dina bokmärkta data genom att välja Undersök i bokmärkesinformationen. Detta startar undersökningsupplevelsen där du kan visa, undersöka och visuellt förmedla dina resultat med hjälp av ett interaktivt entitetsdiagram och tidslinje.

Du kan också visa dina bokmärkta data direkt i tabellen HuntingBookmark på Log Analytics-arbetsytan. Exempel:

Skärmbild av visning av tabellen med jaktbokmärken.

Genom att visa bokmärken från tabellen kan du filtrera, sammanfatta och koppla bokmärken till andra datakällor, vilket gör det enkelt att leta efter bevis.

Lägga till ett bokmärke

  1. I den Azure Portal du till Microsoft Sentinel Threat Management Hunting för att > > köra frågor om misstänkt och avvikande beteende.

  2. Välj en av jaktfrågorna och välj Kör fråga i jaktfrågeinformationen till höger.

  3. Välj Visa frågeresultat. Exempel:

    Skärmbild av att visa frågeresultat från Microsoft Sentinel-jakt.

    Den här åtgärden öppnar frågeresultatet i fönstret Loggar.

  4. I resultatlistan för loggfrågor använder du kryssrutorna för att välja en eller flera rader som innehåller den information som du tycker är intressant.

  5. Välj Lägg till bokmärke:

    Skärmbild av att lägga till ett bokmärke för jakt för att fråga.

  6. I fönstret Lägg till bokmärke till höger kan du välja att uppdatera bokmärkets namn, lägga till taggar och anteckningar för att identifiera vad som var intressant med objektet.

  7. (Förhandsversion) Bokmärken kan också mappas till MITRE ATT&CK-tekniker eller undertekniker. MITRE ATT&CK-mappningar ärvs från mappade värden i jaktfrågor, men du kan också skapa dem manuellt. Välj mitre ATT&CK-metoden som är associerad med önskad teknik från den nedrullningsna menyn i avsnittet Tactics & Techniques (Preview) (Taktiker & Tekniker (förhandsversion) i fönstret Lägg till bokmärke. Menyn expanderas för att visa alla MITRE ATT&CK-tekniker och du kan välja flera tekniker och undertekniker på den här menyn.

    Skärmbild av hur du mappar Mitre Attack-taktiker och metoder till bokmärken.

  8. (Förhandsversion) Nu kan en utökad uppsättning entiteter extraheras från bokmärkta frågeresultat för vidare undersökning. I avsnittet Entitetsmappning (förhandsversion) använder du listrutan för att välja entitetstyper och identifierare. Mappa sedan kolumnen i frågeresultatet som innehåller motsvarande identifierare. Exempel:

    Skärmbild som mappar entitetstyper för jaktbokmärken.

    Om du vill visa bokmärket i undersökningsdiagrammet måste du mappa minst en entitet. Entitetsmappningar till konto-, värd-, IP- och URL-entitetstyper som skapats före den här förhandsversionen stöds fortfarande, vilket bevarar bakåtkompatibiliteten.

  9. Klicka på Spara för att genomföra ändringarna och lägga till bokmärket. Alla bokmärkta data delas med andra analytiker och är ett första steg mot en samarbetsinriktad undersökningsupplevelse.

Anteckning

Loggfrågans resultat stöder bokmärken när det här fönstret öppnas från Microsoft Sentinel. Du kan till exempel välja Allmänna loggar i navigeringsfältet, välja händelselänkar i undersökningsdiagrammet eller välja ett aviserings-ID från fullständig information om en > incident (för närvarande i förhandsversion). Du kan inte skapa bokmärken när fönstret Loggar öppnas från andra platser, till exempel direkt från Azure Monitor.

Visa och uppdatera bokmärken

  1. I den Azure Portal du till Microsoft Sentinel > Threat management > Hunting.

  2. Välj fliken Bokmärken för att visa listan över bokmärken.

  3. Om du vill hitta ett specifikt bokmärke kan du använda sökrutan eller filteralternativen.

  4. Välj enskilda bokmärken och visa bokmärkesinformationen i det högra informationsfönstret.

  5. Gör dina ändringar efter behov, som sparas automatiskt.

Utforska bokmärken i undersökningsdiagrammet

  1. I Azure Portal du till fliken Jaktbokmärken i Microsoft Sentinel Threat management och väljer det bokmärke eller > > > de bokmärken som du vill undersöka.

  2. I bokmärkesinformationen ser du till att minst en entitet mappas.

  3. Välj Undersök för att visa bokmärket i undersökningsdiagrammet.

Anvisningar för hur du använder undersökningsdiagrammet finns i Använda undersökningsdiagrammet för att göra en djupdykning.

Lägga till bokmärken i en ny eller befintlig incident

  1. I Azure Portal du till fliken Jaktbokmärken i Microsoft Sentinel Threat management och väljer det bokmärke eller de bokmärken som du vill > > > lägga till i en incident.

  2. Välj Incidentåtgärder i kommandofältet:

    Skärmbild av att lägga till bokmärken i incidenten.

  3. Välj antingen Create new incident (Skapa ny incident) eller Add to existing incident (Lägg till i befintlig incident) efter behov. Sedan:

    • För en ny incident: Om du vill kan du uppdatera informationen för incidenten och sedan välja Skapa.
    • För att lägga till ett bokmärke i en befintlig incident: Välj en incident och välj sedan Lägg till.

Så här visar du bokmärket i incidenten: Gå till Microsoft Sentinel Threat management Incidents (Incidenter för hothantering i Microsoft Sentinel) > > och välj incidenten med ditt bokmärke. Välj Visa fullständig information och välj sedan fliken Bokmärken.

Tips

Som ett alternativ till alternativet Incidentåtgärder i kommandofältet kan du använda snabbmenyn (...) för ett eller flera bokmärken för att välja alternativ för Skapa ny incident, Lägg till i befintlig incident och Ta bort från incident.

Visa bokmärkta data i loggar

Om du vill visa bokmärken för frågor, resultat eller deras historik väljer du bokmärket på fliken Jaktbokmärken och använder länkarna i > informationsfönstret:

  • Visa källfrågan för att visa källfrågan i fönstret Loggar.

  • Visa bokmärkesloggar om du vill se alla bokmärkesmetadata, inklusive vem som gjorde uppdateringen, de uppdaterade värdena och tiden då uppdateringen gjordes.

Du kan också visa rådata för bokmärken för alla bokmärken genom att välja Bokmärkesloggar i kommandofältet på fliken > Jaktbokmärken:

Skärmbild av kommandot för bokmärkesloggar.

Den här vyn visar alla dina bokmärken med associerade metadata. Du kan använda KQL-frågor (Kusto Query Language) för att filtrera ned till den senaste versionen av det specifika bokmärke som du letar efter.

Anteckning

Det kan finnas en betydande fördröjning (mätt i minuter) mellan den tidpunkt då du skapar ett bokmärke och när det visas på fliken Bokmärken.

Ta bort ett bokmärke

  1. I Azure Portal du till fliken Jaktbokmärken i Microsoft Sentinel Threat management och väljer det bokmärke eller > > > de bokmärken som du vill ta bort.

  2. Högerklicka på dina val och välj alternativet för att ta bort antalet bokmärken som du har valt.

Om du tar bort bokmärket tas bokmärket bort från listan på fliken Bokmärke. Tabellen HuntingBookmark för Log Analytics-arbetsytan fortsätter att innehålla tidigare bokmärkesposter, men den senaste posten ändrar SoftDelete-värdet till true, vilket gör det enkelt att filtrera bort gamla bokmärken. Om du tar bort ett bokmärke tas inga entiteter bort från undersökningsupplevelsen som är associerade med andra bokmärken eller aviseringar.

Nästa steg

I den här artikeln har du lärt dig hur du kör en jaktundersökning med hjälp av bokmärken i Microsoft Sentinel. Mer information om Microsoft Sentinel finns i följande artiklar: