Vyhledávání hrozeb pomocí Služby Microsoft Sentinel

Jako bezpečnostní analytici a vyšetřovatelé chcete být proaktivní při hledání bezpečnostních hrozeb, ale vaše různé systémy a bezpečnostní zařízení generují hory dat, které můžou být obtížné analyzovat a filtrovat do smysluplných událostí. Microsoft Sentinel nabízí výkonné nástroje pro vyhledávání proaktivního vyhledávání a dotazování pro vyhledávání bezpečnostních hrozeb ve zdrojích dat vaší organizace. Aby analytici zabezpečení proaktivně hledali nové anomálie, které vaše aplikace zabezpečení nezjistily, nebo dokonce podle plánovaných analytických pravidel, vás předdefinované dotazy Microsoft Sentinelu proaktivně proaktivní vyhledávání provedou tím, že položíte správné otázky, abyste našli problémy s daty, která už máte ve vaší síti.

Například jeden předdefinovaný dotaz poskytuje data o nejobvyklejších procesech spuštěných ve vaší infrastruktuře. Nechcete, aby se vám při každém spuštění zobrazila výstraha – mohly by být zcela nevinné , ale můžete se podívat na dotaz příležitostně, abyste zjistili, jestli je něco neobvyklého.

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Použití předdefinovaných dotazů

Řídicí panel proaktivního vyhledávání poskytuje předdefinované příklady dotazů, které vám pomůžou začít a seznámit se s tabulkami a dotazovacím jazykem. Dotazy se spouštějí na data uložená v tabulkách protokolů, například pro vytváření procesů, události DNS nebo jiné typy událostí.

Integrované dotazy proaktivního vyhledávání neustále vyvíjejí bezpečnostní pracovníci Microsoftu, a to jak přidávání nových dotazů, tak vyladění stávajících dotazů, které vám poskytnou vstupní bod pro vyhledávání nových detekcí a zjištění, kde začít proaktivní vyhledávání pro začátek nových útoků.

Pomocí dotazů před, během a po ohrožení zabezpečení proveďte následující akce:

  • Před výskytem incidentu: Čekání na detekci nestačí. Proveďte proaktivní akci spuštěním dotazů proaktivního vyhledávání hrozeb souvisejících s daty, která ingestujete do svého pracovního prostoru, aspoň jednou týdně.

    Výsledky proaktivního proaktivního proaktivního vyhledávání poskytují včasné přehledy o událostech, které můžou potvrdit, že je kompromis v procesu, nebo budou alespoň zobrazovat slabší oblasti ve vašem prostředí, které jsou ohrožené a vyžadují pozornost.

  • Během ohrožení zabezpečení: Pomocí živého streamu můžete spouštět konkrétní dotaz neustále a prezentovat výsledky, které přicházejí. Živý stream použijte v případě, že potřebujete aktivně monitorovat události uživatelů, například pokud potřebujete ověřit, jestli se stále koná konkrétní kompromis, abyste pomohli určit další akci aktéra hrozby a na konci šetření ověřit, že ohrožení skutečně skončilo.

  • Po ohrožení zabezpečení: Po ohrožení zabezpečení nebo incidentu nezapomeňte zlepšit pokrytí a přehled, abyste zabránili podobným incidentům v budoucnu.

    • Upravte stávající dotazy nebo vytvořte nové, aby vám pomohly s včasným zjišťováním na základě přehledů, které jste získali z ohrožení zabezpečení nebo incidentu.

    • Pokud jste zjistili nebo vytvořili dotaz proaktivního vyhledávání, který poskytuje vysoce hodnotné přehledy o možných útocích, vytvořte na základě tohoto dotazu vlastní pravidla detekce a zobrazte tyto přehledy jako výstrahy pro vaše reakce na incidenty zabezpečení.

      Zobrazte výsledky dotazu a vyberte Nové pravidlo>upozornění Vytvořit upozornění Služby Microsoft Sentinel. Pomocí průvodce analytickým pravidlem vytvořte nové pravidlo založené na dotazu. Další informace najdete v tématu Vytvoření vlastních analytických pravidel pro detekci hrozeb.

Můžete také vytvářet dotazy proaktivního vyhledávání a živého streamu nad daty uloženými v Azure Data Exploreru. Další informace najdete v podrobnostech o vytváření dotazů napříč prostředky v dokumentaci ke službě Azure Monitor.

K vyhledání dalších dotazů a zdrojů dat použijte komunitní zdroje, jako je úložiště GitHub pro Microsoft Sentinel.

Použití řídicího panelu proaktivního vyhledávání

Řídicí panel proaktivního vyhledávání umožňuje spouštět všechny dotazy nebo vybranou podmnožinu v jediném výběru. Na portálu Microsoft Sentinel vyberte Proaktivní vyhledávání.

V zobrazené tabulce jsou uvedeny všechny dotazy napsané týmem analytiků zabezpečení Microsoftu a všechny další dotazy, které jste vytvořili nebo upravili. Každý dotaz poskytuje popis toho, co proaktivní a na jakém typu dat běží. Tyto dotazy jsou seskupené podle taktiky MITRE ATT&CK. Ikony na pravé straně kategorizují typ hrozby, jako je počáteční přístup, trvalost a exfiltrace. Techniky MITRE ATT&CK se zobrazují ve sloupci Techniky a popisují konkrétní chování identifikované dotazem proaktivního vyhledávání.

Microsoft Sentinel starts hunting

Pomocí řídicího panelu proaktivního vyhledávání zjistěte, kde začít proaktivní vyhledávání, a to tak, že se podíváte na počet výsledků, špičky nebo změnu počtu výsledků za 24hodinovou dobu. Řazení a filtrování podle oblíbených položek, zdroje dat, taktiky nebo techniky MITRE ATT&CK, výsledků, rozdílu výsledků nebo rozdílu výsledků Zobrazte si dotazy, které stále potřebují připojené zdroje dat, a získejte doporučení, jak tyto dotazy povolit.

Následující tabulka popisuje podrobné akce dostupné na řídicím panelu proaktivního vyhledávání:

Akce Popis
Podívejte se, jak se dotazy vztahují na vaše prostředí. Vyberte tlačítko Spustit všechny dotazy nebo vyberte podmnožinu dotazů pomocí zaškrtávacích políček vlevo od každého řádku a vyberte tlačítko Spustit vybrané dotazy.

Spouštění dotazů může trvat od několika sekund po mnoho minut v závislosti na tom, kolik dotazů je vybraných, časového rozsahu a množství dotazovaných dat.
Zobrazení dotazů, které vrátily výsledky Po spuštění dotazů si prohlédněte dotazy, které vrátily výsledky pomocí filtru Výsledky :
– Seřaďte, abyste viděli, které dotazy měly nejvýraznější nebo nejmenší výsledky.
– Zobrazte dotazy, které nejsou ve vašem prostředí vůbec aktivní, tak, že ve filtru Výsledků vyberete N/A.
– Najeďte myší na ikonu informací (i) vedle N/A, abyste zjistili, které zdroje dat jsou potřeba k tomu, aby byl tento dotaz aktivní.
Identifikace špiček v datech Identifikujte špičky v datech řazením nebo filtrováním v procentech rozdílových výsledků nebo rozdílových výsledků.

Tím se porovná výsledky posledních 24 hodin s výsledky předchozích 24–48 hodin a zvýrazní všechny velké rozdíly nebo relativní rozdíly ve objemu.
Zobrazení dotazů mapovaných na taktiku MITRE ATT&CK Panel taktiky MITRE ATT&CK v horní části tabulky uvádí, kolik dotazů se mapuje na každou taktiku MITRE ATT&CK. Pruh taktiky se dynamicky aktualizuje na základě aktuální sady použitých filtrů.

To vám umožní zjistit, které taktiky MITRE ATT&CK se zobrazují při filtrování podle daného počtu výsledků, vysokého rozdílu výsledků, výsledků N/A nebo jakékoli jiné sady filtrů.
Zobrazení dotazů mapovaných na techniky MITRE ATT&CK Dotazy lze také mapovat na techniky MITRE ATT&CK. Pomocí filtru Techniky můžete filtrovat nebo řadit podle technik MITRE ATT&CK. Otevřením dotazu budete moct vybrat techniku, abyste viděli popis metody MITRE ATT&CK.
Uložení dotazu do oblíbených položek Dotazy uložené do oblíbených položek se automaticky spouštějí při každém přístupu na stránku proaktivního vyhledávání . Můžete vytvořit vlastní dotaz proaktivního vyhledávání nebo klonovat a přizpůsobit existující šablonu dotazu proaktivního vyhledávání.
Spouštění dotazů Výběrem možnosti Spustit dotaz na stránce podrobností proaktivního dotazu spustíte dotaz přímo ze stránky proaktivního vyhledávání. Početsch Zkontrolujte seznam dotazů proaktivního vyhledávání a jejich shody.
Kontrola podkladového dotazu Proveďte rychlou kontrolu podkladového dotazu v podokně podrobností dotazu. Výsledky můžete zobrazit kliknutím na odkaz Zobrazit výsledky dotazu (pod oknem dotazu) nebo tlačítkem Zobrazit výsledky (v dolní části podokna). Dotaz se otevře v okně Protokoly (Log Analytics) a pod dotazem můžete zkontrolovat shody dotazu.

Vytvoření vlastního proaktivního dotazu

Vytvořte nebo upravte dotaz a uložte ho jako vlastní dotaz nebo ho sdílejte s uživateli, kteří jsou ve stejném tenantovi.

Save query

Vytvoření nového dotazu:

  1. Vyberte Nový dotaz.

  2. Vyplňte všechna prázdná pole a vyberte Vytvořit.

    1. Vytváření mapování entit výběrem typů entit, identifikátorů a sloupců

      Screenshot for mapping entity types in hunting queries.

    2. Namapujte techniky MITRE ATT&CK na dotazy proaktivního vyhledávání výběrem taktiky, techniky a dílčí techniky (pokud je to možné).

      New query

Klonování a úprava existujícího dotazu:

  1. V tabulce vyberte dotaz proaktivního vyhledávání, který chcete upravit.

  2. Na řádku dotazu, který chcete upravit, vyberte tři tečky (...) a vyberte Klonovat dotaz.

    Clone query

  3. Upravte dotaz a vyberte Vytvořit.

Úprava existujícího vlastního dotazu:

  1. V tabulce vyberte dotaz proaktivního vyhledávání, který chcete upravit. Všimněte si, že lze upravovat pouze dotazy z vlastního zdroje obsahu. V daném zdroji musí být upravovány další zdroje obsahu.

  2. Na řádku dotazu, který chcete upravit, vyberte tři tečky (...) a vyberte Upravit dotaz.

  3. Upravte pole Vlastní dotaz s aktualizovaným dotazem. Mapování a techniky entit můžete také upravit, jak je vysvětleno v části Vytvoření nového dotazu v této dokumentaci.

Ukázkový dotaz

Typický dotaz začíná názvem tabulky nebo analyzátoru následovaným řadou operátorů oddělených znakem svislé roury (|).

V předchozím příkladu začněte názvem tabulky SecurityEvent a podle potřeby přidejte svislé prvky.

  1. Definujte časový filtr pro kontrolu pouze záznamů z předchozích sedmi dnů.

  2. Přidejte do dotazu filtr, který zobrazí pouze ID události 4688.

  3. Přidejte do dotazu na příkazovém řádku filtr, který bude obsahovat pouze instance cscript.exe.

  4. Project only the columns you're interested in exploring and limit the results to 1000 and select Run query.

  5. Vyberte zelený trojúhelník a spusťte dotaz. Dotaz můžete otestovat a spustit, abyste hledali neobvyklé chování.

Doporučujeme, aby váš dotaz používal analyzátor ADVANCED Security Information Model (ASIM) a ne integrovanou tabulku. Tím zajistíte, že dotaz bude podporovat jakýkoli aktuální nebo budoucí relevantní zdroj dat místo jednoho zdroje dat.

Vytváření záložek

Během procesu proaktivního vyhledávání a vyšetřování můžete narazit na výsledky dotazu, které můžou vypadat neobvykle nebo podezřele. Označte si tyto položky záložkou, abyste se k nim v budoucnu mohli vrátit, například při vytváření nebo rozšiřování incidentu pro účely vyšetřování. Události, jako jsou potenciální původní příčiny, indikátory ohrožení nebo jiné klíčové události, by měly být vyvolány jako záložka. Pokud je klíčová událost, kterou jste si přidali do záložek, dostatečně závažná, aby bylo možné provést šetření, eskalujte ji k incidentu.

  • Vevýsledcíchch Tím se vytvoří záznam pro každý označený řádek – záložka – obsahující výsledky řádků a dotaz, který vytvořil výsledky. Do každé záložky můžete přidat vlastní značky a poznámky.

    • Stejně jako u pravidel plánované analýzy můžete rozšířit záložky o mapování entit, abyste extrahovali více typů entit a identifikátorů a mapování MITRE ATT&CK pro přidružení konkrétních taktik a technik.
    • Záložky ve výchozím nastavení použijí stejnou entitu a mapování technik MITRE ATT&CK jako dotaz proaktivního vyhledávání, který vytvořil záložkované výsledky.
  • Kliknutím na kartu Záložky na hlavní stránce proaktivního vyhledávání zobrazte všechna zjištění v záložkách. Přidejte značky do záložek, abyste je mohli klasifikovat pro filtrování. Pokud například prošetřujete kampaň útoku, můžete pro kampaň vytvořit značku, použít ji u všech relevantních záložek a pak filtrovat všechny záložky na základě kampaně.

  • Prozkoumejte jedno hledání v záložkách tak, že vyberete záložku a potom v podokně podrobností kliknete na Prozkoumat . Otevře se prostředí pro šetření. Můžete také přímo vybrat uvedenou entitu a zobrazit tak odpovídající stránku entity.

    Incident můžete také vytvořit z jedné nebo více záložek nebo přidat jednu nebo více záložek do existujícího incidentu. Zaškrtněte políčko vlevo od všech záložek, které chcete použít, a pak vyberte Akce>incidentu Vytvořit nový incident nebo Přidat do existujícího incidentu. Proveďte třídění a prošetřování incidentu stejně jako u všech ostatních.

Další informace naleznete v tématu Použití záložek v proaktivním vyhledávání.

Použití poznámkových bloků k šetření

Když se proaktivní vyhledávání a vyšetřování stávají složitějšími, využijte poznámkové bloky Microsoft Sentinelu k vylepšení vaší aktivity pomocí strojového učení, vizualizací a analýzy dat.

Poznámkové bloky poskytují druh virtuálního sandboxu s vlastním jádrem, kde můžete provést úplné šetření. Poznámkový blok může obsahovat nezpracovaná data, kód, který na nich spouštíte, výsledky a jejich vizualizace. Uložte poznámkové bloky, abyste ho mohli sdílet s ostatními, abyste je mohli znovu použít ve vaší organizaci.

Poznámkové bloky můžou být užitečné, když se váš proaktivní vyhledávání nebo šetření stává příliš velkým, aby bylo možné snadno zapamatovat, zobrazit podrobnosti nebo když potřebujete ukládat dotazy a výsledky. Microsoft Sentinel poskytuje poznámkové bloky Jupyter, opensourcové prostředí pro interaktivní vývoj a manipulaci s daty integrované přímo na stránce Poznámkové bloky Microsoft Sentinelu.

Další informace naleznete v tématu:

Následující tabulka popisuje některé metody použití poznámkových bloků Jupyter, které pomáhají vašim procesům v Microsoft Sentinelu:

metoda Popis
Trvalost, opakovatelnost a navracení dat Pokud pracujete s mnoha dotazy a sadami výsledků, pravděpodobně budete mít nějaké mrtvé konce. Budete se muset rozhodnout, které dotazy a výsledky se mají zachovat, a jak shromáždit užitečné výsledky v jedné sestavě.

Poznámkové bloky Jupyter můžete použít k ukládání dotazů a dat na cestách, opětovné spuštění dotazů s různými hodnotami nebo daty pomocí proměnných nebo uložení dotazů pro opětovné spuštění při budoucích šetřeních.
Skriptování a programování Pomocí poznámkových bloků Jupyter můžete do dotazů přidat programování, včetně:

- Deklarativní jazyky, jako jsou dotazovací jazyk Kusto (KQL) nebo SQL, zakódují logiku do jednoho, případně složitého příkazu.
- Procedurální programovací jazyky pro spuštění logiky v řadě kroků.

Rozdělení logiky na kroky vám může pomoct zobrazit a ladit přechodné výsledky, přidat funkce, které nemusí být dostupné v dotazovacím jazyce, a znovu použít částečné výsledky v pozdějších krocích zpracování.
Odkazy na externí data I když tabulky Microsoft Sentinelu obsahují většinu telemetrických dat a dat událostí, můžou poznámkové bloky Jupyter Propojit s libovolnými daty, která jsou přístupná přes vaši síť nebo ze souboru. Použití poznámkových bloků Jupyter umožňuje zahrnout data, jako jsou:

– Data v externích službách, které nevlastníte, jako jsou data o geografické poloze nebo zdroje analýzy hrozeb
– Citlivá data, která jsou uložená jenom v rámci vaší organizace, jako jsou databáze lidských zdrojů nebo seznamy vysoce hodnotných prostředků
– Data, která jste ještě nemigrovali do cloudu.
Specializované nástroje pro zpracování dat, strojové učení a vizualizace Jupyter Notebooks poskytuje další vizualizace, knihovny strojového učení a funkce zpracování a transformace dat.

Použijte například poznámkové bloky Jupyter s následujícími možnostmi Pythonu :
- pandas pro zpracování, vyčištění a přípravu dat
- Matplotlib, HoloViews a Plotly pro vizualizaci
- NumPy a SciPy pro pokročilé číselné a vědecké zpracování
- scikit-learn pro strojové učení
- TensorFlow, PyTorch a Keras pro hluboké učení

Tip: Jupyter Notebooks podporuje více jazykových jader. Pomocí magics můžete kombinovat jazyky ve stejném poznámkovém bloku tím, že povolíte spouštění jednotlivých buněk pomocí jiného jazyka. Můžete například načíst data pomocí buňky skriptu PowerShellu, zpracovat data v Pythonu a pomocí JavaScriptu vykreslit vizualizaci.

Nástroje zabezpečení MSTIC, Jupyter a Python

Microsoft Threat Intelligence Center (MSTIC) je tým analytiků zabezpečení a techniků Microsoftu, kteří pro několik platforem Microsoftu vytvořili detekci zabezpečení a pracují na identifikaci a vyšetřování hrozeb.

MSTIC vytvořil MSTICPy, knihovnu pro vyšetřování zabezpečení informací a proaktivní vyhledávání v poznámkových blocích Jupyter Notebook. MSTICPy poskytuje opakovaně použitelné funkce, které mají za cíl urychlit vytváření poznámkových bloků a usnadnit uživatelům čtení poznámkových bloků v Microsoft Sentinelu.

Například MSTICPy může:

  • Dotazování dat protokolu z více zdrojů
  • Obohacení dat o analýzu hrozeb, geografické polohy a data prostředků Azure.
  • Extrahujte indikátory aktivity (IoA) z protokolů a rozbalte zakódovaná data.
  • Provádět sofistikované analýzy, jako je detekce neobvyklých relací a rozklad časových řad.
  • Vizualizujte data pomocí interaktivních časových os, procesových stromů a multidimenzionálních grafů Morfing.

MSTICPy obsahuje také některé časově úsporné nástroje poznámkového bloku, jako jsou widgety, které nastavují časové hranice dotazu, výběr a zobrazení položek ze seznamů a konfigurace prostředí poznámkového bloku.

Další informace naleznete v tématu:

Užitečné operátory a funkce

Dotazy proaktivního vyhledávání jsou integrované v dotazovací jazyk Kusto (KQL), výkonný dotazovací jazyk s jazykem IntelliSense, který poskytuje výkon a flexibilitu potřebnou k proaktivnímu vyhledávání na další úrovni.

Je to stejný jazyk používaný dotazy v analytických pravidlech a jinde ve službě Microsoft Sentinel. Další informace naleznete v tématu Referenční dokumentace jazyka dotazů.

V dotazech proaktivního vyhledávání v Microsoft Sentinelu jsou užitečné zejména následující operátory:

  • where - Filtrování tabulky na podmnožinu řádků, které splňují predikát.

  • summarize – Vytvoří tabulku, která agreguje obsah vstupní tabulky.

  • join – sloučí řádky dvou tabulek a vytvoří novou tabulku odpovídajícími hodnotami zadaných sloupců z každé tabulky.

  • count – vrátí počet záznamů ve vstupní sadě záznamů.

  • top - Vrátí první N záznamy seřazené podle zadaných sloupců.

  • limit – vrátí až zadaný počet řádků.

  • project – Vyberte sloupce, které chcete zahrnout, přejmenovat nebo odstranit, a vložit nové počítané sloupce.

  • extend – vytvořte počítané sloupce a připojte je k sadě výsledků.

  • makeset – Vrácení dynamického pole (JSON) sady jedinečných hodnot, které výraz přebírá ve skupině

  • find – Najděte řádky, které odpovídají predikátu v sadě tabulek.

  • adx() – Tato funkce provádí dotazy mezi prostředky zdrojů dat Azure Data Exploreru z prostředí proaktivního vyhledávání služby Microsoft Sentinel a Log Analytics. Další informace najdete v tématu Dotazování Azure Data Exploreru mezi prostředky pomocí služby Azure Monitor.

Další kroky

V tomto článku jste se dozvěděli, jak spustit proaktivní šetření s Microsoft Sentinelem.

Další informace naleznete v tématu:

Naučte se z příkladu použití vlastních analytických pravidel při monitorování lupy pomocí vlastního konektoru.