你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用Microsoft Sentinel在搜寻期间跟踪数据

  • 适用于: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Sentinel中的搜寻书签有助于保留你认为相关的查询和查询结果。 还可以通过添加注释和标记来记录上下文观察结果并引用发现结果。 你和你的团队成员可以看到带书签的数据,以便于协作。 有关详细信息,请参阅 书签

注意

只能在Azure 门户中创建书签。 虽然无法在Microsoft Defender门户中添加书签,但可以看到已创建的书签。

重要

2027 年 3 月 31 日之后,Azure 门户将不再支持Microsoft Sentinel,并且仅在Microsoft Defender门户中可用。 在Azure 门户中使用Microsoft Sentinel的所有客户都将重定向到 Defender 门户,并且仅在 Defender 门户中使用Microsoft Sentinel

如果仍在Azure 门户中使用Microsoft Sentinel,建议开始规划到 Defender 门户的转换,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全操作体验

仅添加书签 (Azure 门户)

创建书签以保留查询、结果、观察结果和发现结果。

  1. “威胁管理”下,选择“ 搜寻”。

  2. 从“ 查询 ”选项卡中,选择一个或多个搜寻查询。

  3. 在顶部命令栏中,选择“ 运行所选查询”。

  4. 选择“ 查看查询结果”。 例如:

    查看Microsoft Sentinel搜寻中的查询结果的屏幕截图。

    此操作将在“ 日志 ”窗格中打开查询结果。

  5. 从日志查询结果列表中,使用复选框选择包含你感兴趣的信息的一行或多行。

  6. 在“Azure 门户”中,选择“添加书签”:

    将搜寻书签添加到查询的屏幕截图。

  7. 在右侧的“ 添加书签 ”窗格中,(可选)更新书签名称、添加标记和备注,以帮助你识别项目感兴趣的内容。

  8. 书签可以选择映射到 MITRE ATT&CK 技术或子技术。 MITRE ATT&CK 映射继承自搜寻查询中的映射值,但你也可以手动创建它们。 从“添加书签”窗格的“策略 & 技术”部分中的下拉菜单中选择与所需技术关联的 MITRE ATT &CK 策略。 菜单会展开以显示所有 MITRE ATT&CK 技术,你可以在此菜单中选择多种技术和子技术。

    如何将 Mitre 攻击策略和技术映射到书签的屏幕截图。

  9. 现在,可以从带书签的查询结果中提取一组扩展的实体,以便进一步调查。 在 “实体映射 ”部分中,使用下拉列表选择 实体类型和标识符。 然后,在包含相应标识符的查询结果中映射列。 例如:

    用于映射用于搜寻书签的实体类型的屏幕截图。

    若要查看调查图中的书签,必须映射至少一个实体。 支持到创建的帐户、主机、IP 和 URL 实体类型的实体映射,从而保持向后兼容性。

  10. 选择“ 创建 ”以提交更改并添加书签。 所有已加入书签的数据都与其他分析师共享,是实现协作调查体验的第一步。

每当从Microsoft Sentinel打开此窗格时,日志查询结果都支持书签。 例如,如果从导航栏中选择“ 常规>日志 ”,请在调查图中选择事件链接,或从事件的完整详细信息中选择警报 ID。 当“日志”窗格从另一个位置(例如直接从 Azure 监视器)打开时,无法创建书签。

查看和更新书签

从“书签”选项卡查找并更新书签。

  1. 对于Azure 门户中的Microsoft Sentinel,请在“威胁管理”下选择“搜寻”。
    对于 Defender 门户中的Microsoft Sentinel,请选择“Microsoft Sentinel>”“>管理搜寻”。

  2. 选择“ 书签 ”选项卡以查看书签列表。

  3. 搜索或筛选以查找特定书签。

  4. 选择单个书签,在右侧窗格中查看书签详细信息。

  5. 根据需要进行更改。 将自动保存所做的更改。

注意

在书签选项卡中最多只能查看 1,000 个书签。可以在日志中查看带书签的其余数据。 了解更多

浏览调查图中的书签

通过启动调查体验来可视化已加入书签的数据,你可以在其中使用交互式实体图关系图和时间线查看、调查和直观地传达发现结果。

  1. 从“ 书签 ”选项卡中,选择要调查的书签。

  2. 在书签详细信息中,确保至少映射了一个实体。

  3. 选择“ 调查 ”以查看调查图中的书签。

有关使用调查图的说明,请参阅 使用调查图进行深入探讨

仅向新的或现有事件添加书签 (Azure 门户)

从“ 搜寻 ”页上的“书签”选项卡向事件添加书签。

  1. 从“ 书签 ”选项卡中,选择要添加到事件的书签。

  2. 从命令栏中选择“ 事件操作 ”:

    向事件添加书签的屏幕截图。

  3. 根据需要,选择“创建新事件”或“添加到现有事件”。 则:

    • 对于新事件:(可选)更新事件的详细信息,然后选择“ 创建”。
    • 若要向现有事件添加书签:选择一个事件,然后选择“ 添加”。

  4. 若要查看事件中的书签,

    1. 转到“Microsoft Sentinel>”“威胁管理>事件”。
    2. 使用书签选择事件并 查看完整详细信息
    3. 在事件页上的左窗格中,选择 “书签”。

在日志中查看已加入书签的数据

查看带书签的查询、结果或其历史记录。

  1. 从“ 搜寻>书签 ”选项卡中,选择书签。

  2. 从详细信息窗格中,选择以下链接:

    • 查看源查询 ,在“ 日志 ”窗格中查看源查询。

    • 查看书签日志 可查看所有书签元数据,其中包括进行更新的人员、更新的值以及更新发生时间。

  3. 在“ 搜寻>书签 ”选项卡上的命令栏中,选择“ 书签日志 ”,查看所有书签的原始书签数据。

    书签日志命令的屏幕截图。

此视图显示具有关联元数据的所有书签。 可以使用 Kusto 查询语言 (KQL) 查询来筛选到要查找的特定书签的最新版本。

创建书签的时间和 在“书签 ”选项卡中显示书签的时间之间,) 可能会有一个显著的延迟 (以分钟为单位。

删除书签

删除书签会从“书签”选项卡中的列表中删除 书签 。Log Analytics 工作区的 HuntingBookmark 表继续包含以前的书签条目,但最新条目将 SoftDelete 值更改为 true,以便轻松筛选出旧书签。 删除书签不会从调查体验中删除与其他书签或警报关联的任何实体。

若要删除书签,请完成以下步骤。

  1. 从“ 搜寻>书签 ”选项卡中,选择要删除的一个或多个书签。

  2. 右键单击,然后选择用于删除所选书签的选项。

相关内容

本文介绍了如何使用 Microsoft Sentinel 中的书签运行搜寻调查。 若要详细了解Microsoft Sentinel,请参阅以下文章:

  • Last updated on