使用 Microsoft Sentinel 在搜寻过程中跟踪数据

威胁搜寻通常要检查大量的日志数据,查找恶意行为的证据。 在此过程中,调查者可能会发现某些事件,为了验证存在可能性的假想和了解整个攻击情况,需要记住、重新访问和分析这些事件。

Microsoft Sentinel 中的搜寻书签可以保留你在“Microsoft Sentinel - 日志”中运行的查询,以及你认为相关的查询结果,从而帮助搜寻威胁。 还可以通过添加注释和标记来记录在上下文中的观察结果和引用发现结果。 你和你的团队成员可以看到带有书签的数据,这样可便于轻松协作。

现在,可以通过将自定义搜寻查询映射到 MITRE ATT&CK 技术,跨所有搜寻查询,在 MITRE ATT&CK 技术范围内确定和处理差距。

还可以在使用书签进行搜寻时调查更多类型的实体,方法是在自定义查询中映射 Microsoft Sentinel Analytics 支持的一组完整的实体类型和标识符。 这样你可以使用书签通过实体页事件调查图浏览搜寻查询结果中返回的实体。 如果书签捕获搜寻查询中的结果,则会自动继承查询的 MITRE ATT&CK 技术和实体映射。

如果你发现在日志中搜寻时迫切需要解决某个问题,可以轻松创建一个书签,然后将其提升为事件或将其添加到现有事件。 有关事件的详细信息,请参阅使用 Microsoft Sentinel 调查事件

如果发现有一些值得添加书签的内容,但并不紧急,可以在“搜寻”窗格的“书签”选项卡上,随时创建书签,然后再重新访问添加书签的数据 。 可以使用筛选和搜索选项快速查找要用于当前调查的特定数据。

还可以通过选择书签详细信息中的“调查”,将带有书签的数据可视化。 这将启动调查体验,你可以使用交互式实体图形关系图和时间线来查看、调查和直观地传达你的发现。

也可以直接在 Log Analytics 工作区中的 HuntingBookmark 表中查看带有书签的数据。 例如:

Screenshot of viewing hunting bookmarks table.

通过从表中查看书签,可以筛选、汇总和联接带有书签的数据及其他数据源,从而可以轻松查找证据。

添加书签

  1. 在 Azure 门户中,导航到“Microsoft Sentinel”>“威胁管理”>“搜寻”,以运行对可疑和异常行为的查询 。

  2. 选择其中一个搜寻查询,在搜寻查询详细信息的右侧,选择“运行查询”。

  3. 选择“查看查询结果”。 例如:

    Screenshot of viewing query results from Microsoft Sentinel hunting.

    此操作将打开“日志”窗格中的查询结果。

  4. 从日志查询结果列表中,使用复选框来选择包含了感兴趣信息的一个或多个行。

  5. 选择“添加书签”:

    Screenshot of adding hunting bookmark to query.

  6. 在右侧的“添加书签”窗格中,可以选择更新书签名称、添加标记和注释,以帮助确定对该项感兴趣的内容。

  7. 书签可选择性地映射到 MITRE ATT&CK 技术或子技术。 MITRE ATT&CK 映射从搜寻查询中的映射值继承,但你也可以手动创建它们。 从“添加书签”窗格的“策略和技术”部分中的下拉菜单中,选择与所需技术关联的 MITRE ATT&CK 策略。 该菜单将展开以显示所有 MITRE ATT&CK 技术,你可以在此菜单中选择多种技术和子技术。

    Screenshot of how to map Mitre Attack tactics and techniques to bookmarks.

  8. 现在,可以从带书签的查询结果中提取一组已展开的实体,以便进一步调查。 在“实体映射”部分,使用下拉列表选择实体类型和标识符。 然后映射包含相应标识符的查询结果中的列。 例如:

    Screenshot to map entity types for hunting bookmarks.

    若要在调查图中查看书签,必须映射至少一个实体。 仍支持映射到以前创建的帐户、主机、IP 和 URL 实体类型的实体映射,保留后向兼容性。

  9. 单击“保存”以提交更改并添加书签。 所有带有书签的数据都与其他分析师共享,这是协作调查体验的第一步。

注意

每次从 Microsoft Sentinel 打开此窗格时,日志查询结果都支持书签。 例如,从导航栏中选择“常规”>“日志”,然后在调查图中选择事件链接,或从事件的完整详细信息中选择一个警报 ID。 当“日志”窗格已从其他位置打开(例如,直接从 Azure Monitor 打开)时,不能创建书签。

查看和更新书签

  1. 在 Azure 门户中,导航到“Microsoft Sentinel”>“威胁管理”>“搜寻” 。

  2. 选择“书签”选项卡以查看书签列表。

  3. 若要帮助查找特定书签,请使用搜索框或筛选器选项。

  4. 选择各个书签,并在右侧的详细信息窗格中查看书签详细信息。

  5. 根据需要进行更改,所有更改将自动保存。

在调查图中浏览书签

  1. 在 Azure 门户中,导航到“Microsoft Sentinel”>“威胁管理”>“搜寻”>“书签”选项卡,然后选择要调查的一个或多个书签 。

  2. 在书签详细信息中,确保至少映射一个实体。

  3. 选择“调查”可在调查图中查看书签。

有关使用调查图的说明,请参阅使用调查图深入探讨

在日志中查看带有书签的数据

若要查看带有书签的查询、结果或其历史记录,请从“搜寻”>“书签”选项卡中选择该书签,并使用详细信息窗格中提供的链接:

  • 选择“查看源查询”,在“日志”窗格中查看源查询。

  • 选择“查看书签日志”,查看所有书签元数据,其中包括执行更新的人员、更新的值以及更新发生的时间。

还可以从命令栏的“搜寻”>“书签”选项卡上选择“书签日志”,以查看所有书签的原始书签数据:

Screenshot of bookmark logs command.

此视图显示了具有关联元数据的所有书签。 可以使用Kusto 查询语言 (KQL) 查询,筛选到要查找的特定书签的最新版本。

注意

从创建书签到“书签”选项卡中显示书签的这段时间内,存在一个明显的延迟(以分钟计)。

删除书签

  1. 在 Azure 门户中,导航到“Microsoft Sentinel”>“威胁管理”>“搜寻”>“书签”选项卡,然后选择要删除的一个或多个书签 。

  2. 右键单击所选内容,然后选择用于删除所选书签数量的选项。

删除书签会将书签从“书签”选项卡的列表中删除。Log Analytics 工作区所对应的“HuntingBookmark”表将继续包含之前的书签条目,但最新条目会将“SoftDelete”值更改为 true,这样即可轻松筛选出旧书签。 删除书签后,调查体验中与其他书签或警报相关联的任何实体并不会删除。

后续步骤

本文介绍了如何在 Microsoft Sentinel 中使用书签来运行搜寻调查。 若要详细了解 Microsoft Sentinel,请参阅以下文章: