Sdílet prostřednictvím

Proaktivní proaktivní proaktivní vyhledávání hrozeb v Microsoft Sentinelu

  • Platí pro: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Proaktivní proaktivní vyhledávání hrozeb je proces, kdy analytici zabezpečení hledají nedetekované hrozby a škodlivé chování. Vytvořením hypotézy, vyhledáváním dat a ověřením této hypotézy určí, co se má chovat. Akce můžou zahrnovat vytváření nových detekcí, nové analýzy hrozeb nebo otáčení nového incidentu.

Pomocí kompletního prostředí proaktivního vyhledávání v Microsoft Sentinelu můžete:

  • Proaktivní vyhledávání na základě konkrétních technik MITRE, potenciálně škodlivých aktivit, nedávných hrozeb nebo vlastní hypotézy.
  • Pomocí dotazů proaktivního vyhledávání vygenerovaných pomocí nástroje security-researcher nebo vlastních dotazů proaktivního vyhledávání můžete zkoumat škodlivé chování.
  • Provádějte vyhledávání pomocí několika trvalých karet dotazu, které umožňují uchovávat kontext v průběhu času.
  • Shromážděte důkazy, prozkoumejte zdroje UEBA a přiřaďte své závěry pomocí záložek pro vyhledávání.
  • Spolupracujte a zdokumentujte svá zjištění pomocí komentářů.
  • Zareagovat na výsledky vytvořením nových analytických pravidel, nových incidentů, nových indikátorů hrozeb a spouštění playbooků.
  • Sledujte nové, aktivní a uzavřené lovy na jednom místě.
  • Zobrazení metrik na základě ověřených hypotéz a hmatatelných výsledků

Důležité

Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu, včetně pro zákazníky bez licence Microsoft Defender XDR nebo E5.

Od července 2026 budou všichni zákazníci používající Microsoft Sentinel na webu Azure Portal přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender. Od července 2025 se mnoho nových zákazníků automaticky onboarduje a přesměruje na portál Defender.

Pokud na webu Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender , abyste zajistili hladký přechod a plně využili sjednoceného prostředí operací zabezpečení, které nabízí Microsoft Defender. Další informace najdete v tématu Je čas přesunout: Vyřazování webu Azure Portal od Microsoft Sentinelu pro zajištění vyššího zabezpečení.

Požadavky

Abyste mohli funkci proaktivního vyhledávání použít, musíte mít přiřazenou předdefinované role Microsoft Sentinelu nebo vlastní roli Azure RBAC. Tady jsou vaše možnosti:

Další informace najdete v tématu Role a oprávnění na platformě Microsoft Sentinel.

Definování hypotézy

Definování hypotézy je otevřený, flexibilní proces a může obsahovat jakýkoliv nápad, který chcete ověřit. Mezi běžné hypotézy patří:

  • Podezřelé chování – Prozkoumejte potenciálně škodlivou aktivitu, která je viditelná ve vašem prostředí, a zjistěte, jestli k útoku dochází.
  • Nová kampaň hrozeb – hledejte typy škodlivých aktivit na základě nově zjištěných aktérů hrozeb, technik nebo ohrožení zabezpečení. Může to být něco, o čem jste slyšeli v článku o bezpečnostních novinkách.
  • Mezery detekce – Zvýšení pokrytí detekce pomocí mapy MITRE ATT&CK k identifikaci mezer

Microsoft Sentinel nabízí flexibilitu při nulovém počtu dotazů proaktivního vyhledávání, abyste prozkoumali vaši hypotézu. Když vytváříte proaktivní vyhledávání, zahajte ho s předem vybranými dotazy proaktivního vyhledávání nebo přidávat dotazy během průběhu. Tady jsou doporučení pro předem vybrané dotazy na základě nejběžnějších hypotéz.

Hypotéza – podezřelé chování

  1. Pro Microsoft Sentinel v Azure portal, v části Správa hrozeb, vyberte Hunting.
    Pro Microsoft Sentinel v portálu Defender vyberte Microsoft Sentinel>, správa hrozeb> a Proaktivní vyhledávání.

  2. Vyberte kartu Dotazy . Pokud chcete identifikovat potenciálně škodlivé chování, spusťte všechny dotazy.

  3. Vyberte Spustit všechny dotazy>, a počkejte, až se dotazy provedou. Tento proces může chvíli trvat.

  4. Vyberte Přidat filtr>Výsledky> zrušte zaškrtnutí políček hodnot "!", "NENÍ_K_DISPOZICI", "-", a "0" >PoužítSnímek obrazovky zobrazuje filtr popsaný v kroku 3.

  5. Tyto výsledky můžete seřadit podle sloupce Delta výsledků a podívat se, co se naposledy změnilo. Tyto výsledky poskytují počáteční pokyny k lovu.

Hypotéza – nová kampaň hrozeb

Centrum obsahu nabízí kampaň hrozeb a řešení založená na doméně pro vyhledávání konkrétních útoků. V následujících krocích nainstalujete jeden z těchto typů řešení.

  1. Přejděte do centra obsahu.

  2. Nainstalujte kampaň hrozeb nebo řešení založené na doméně, jako je detekce ohrožení zabezpečení Log4J nebo Apache Tomcat.

    Snímek obrazovky znázorňující centrum obsahu v zobrazení mřížky s vybranými řešeními Log4J a Apache

  3. Po instalaci řešení přejděte v Microsoft Sentinelu do části Proaktivní vyhledávání.

  4. Vyberte kartu Dotazy .

  5. Vyhledejte podle názvu řešení nebo filtrování podle názvu zdroje řešení.

  6. Vyberte dotaz a spusťte dotaz.

Hypotéza – detekce mezer

Mapa MITRE ATT&CK pomáhá identifikovat konkrétní mezery v pokrytí detekce. Jako výchozí bod pro vývoj nové logiky detekce použijte předdefinované dotazy proaktivního vyhledávání pro konkrétní techniky MITRE ATT&CK.

  1. Přejděte na stránku MITRE ATT&CK (Preview).

  2. Zrušte výběr položek v rozevírací nabídce Aktivní.

  3. V simulovaném filtru vyberte dotazy proaktivního vyhledávání, abyste viděli, které techniky mají přidružené dotazy proaktivního vyhledávání.

    Snímek obrazovky ukazuje stránku MITRE ATT&CK s vybranou možností pro simulované dotazy hledání.

  4. Vyberte kartu s požadovanou technikou.

  5. Vyberte odkaz Zobrazit vedle dotazů proaktivního vyhledávání v dolní části podokna podrobností. Tento odkaz vás přenese na filtrované zobrazení karty Dotazy na stránce Proaktivní vyhledávání na základě techniky, kterou jste vybrali.

    Snímek obrazovky ukazuje zobrazení karty MITRE ATT&CK s odkazem na zobrazení vyhledávacích dotazů

  6. Vyberte všechny dotazy pro tuto techniku.

Vytvoření lovu

Existují dva hlavní způsoby, jak vytvořit lov.

  1. Pokud jste začali s hypotézou, při které jste vybrali dotazy, vyberte rozevírací nabídku Akce lovu>Vytvořit nový lov. Všechny vybrané dotazy se naklonují pro tento nový lov.

    Snímek obrazovky zobrazuje vybrané dotazy a vybranou možnost vytvořit novou nabídku pro vyhledávání.

  2. Pokud jste se ještě nerozhodli o dotazech, vyberte kartu>Proaktivní vyhledávání (Preview) a vytvořte prázdný lov.

    Snímek obrazovky s nabídkou pro vytvoření prázdného vyhledávání bez předem vybraných dotazů

  3. Vyplňte název lovu a volitelná pole. Popis je dobrým místem pro slovní slovíci vaší hypotézy. Rozevírací nabídka Hypotéza je místo, kde nastavíte stav pracovní hypotézy.

  4. Vyberte Vytvořit a začněte.

    Tento snímek obrazovky znázorňuje stránku pro vytvoření lovu s názvem lovu, popisem, vlastníkem, stavem a stavem hypotézy.

Zobrazení podrobností o lovu

  1. Výběrem karty Hunts (Preview) zobrazíte nový vyhledávací úkol.

  2. Výběrem odkazu pro vyhledávání podle názvu zobrazíte podrobnosti a provedete akce.

    Snímek obrazovky znázorňující nový lov na kartě Proaktivní vyhledávání

  3. Zobrazte podokno podrobností s názvem vyhledávání, popisem, obsahem, časem poslední aktualizace a časem vytvoření.

  4. Všimněte si panelů dotazů, záložek a entit.

    Snímek obrazovky s podrobnostmi o lovu

Karta Dotazy

Karta Dotazy obsahuje dotazy proaktivního vyhledávání specifické pro tento lov. Tyto dotazy jsou klony originálů nezávisle na všech ostatních v pracovním prostoru. Aktualizujte je nebo odstraňte, aniž by to mělo vliv na celkovou sadu dotazů nebo dotazů proaktivního vyhledávání v jiných vyhledáváních.

Přidání dotazu do vyhledávání

  1. Vybrat Akce dotazu>přidat dotazy k vyhledávání
  2. Vyberte dotazy, které chcete přidat. Snímek obrazovky s nabídkou akcí dotazu na stránce karty Dotazy

Spouštění dotazů

  1. Vyberte Spustit všechny dotazy nebo zvolte konkrétní dotazy a vyberte Spustit vybrané dotazy.
  2. Výběrem možnosti Storno můžete kdykoli zrušit provádění dotazů.

Správa dotazů

  1. Klikněte pravým tlačítkem myši na dotaz a v místní nabídce vyberte jednu z následujících možností:

    • Běh
    • Upravit
    • Klon
    • Vymazat
    • Vytvoření analytického pravidla

    Snímek obrazovky ukazuje možnosti místní nabídky po kliknutí pravým tlačítkem myši na kartě Dotazy v rámci hledání.

    Tyto možnosti se chovají stejně jako existující tabulka dotazů na stránce Proaktivního vyhledávání , s výjimkou akcí, které se vztahují pouze v rámci tohoto vyhledávání. Když se rozhodnete vytvořit analytické pravidlo, název, popis a dotaz KQL se při vytváření nového pravidla předem vyloučí. Vytvoří se odkaz pro zobrazení nového analytického pravidla nalezeného v části Související analytická pravidla.

    Snímek obrazovky zobrazující podrobnosti lovu se souvisejícím analytickým pravidlem.

Zobrazení výsledků

Tato funkce umožňuje zobrazit výsledky dotazů proaktivního vyhledávání ve vyhledávacím prostředí Log Analytics. Tady můžete analyzovat výsledky, upřesnit dotazy a vytvořit záložky pro zaznamenávání informací a další zkoumání výsledků jednotlivých řádků.

  1. Vyberte tlačítko Zobrazit výsledky .
  2. Pokud přejdete na jinou část portálu Microsoft Sentinel, vraťte se na stránku pro vyhledávání v protokolu LA ze stránky proaktivního vyhledávání, zůstanou všechny karty dotazů LA.
  3. Tyto karty dotazů LA se ztratí, pokud kartu prohlížeče zavřete. Pokud chcete dlouhodobé dotazy zachovat, musíte dotaz uložit, vytvořit nový dotaz proaktivního vyhledávání nebo ho zkopírovat do komentáře pro pozdější použití v rámci vyhledávání.

Přidání záložky

Když najdete zajímavé výsledky nebo důležité řádky dat, přidejte tyto výsledky do vyhledávání vytvořením záložky. Další informace najdete v tématu Použití záložek proaktivního vyhledávání pro šetření dat.

  1. Vyberte požadovaný řádek nebo řádky.

  2. Nad tabulkou výsledků vyberte Přidat záložku. Snímek obrazovky znázorňující přidání podokna záložek s vyplněnými volitelnými poli

  3. Pojmenujte záložku.

  4. Nastavte sloupec času události.

  5. Mapovat identifikátory entit

  6. Nastavte taktiku a techniky MITRE.

  7. Přidejte značky a přidejte poznámky.

    Záložky zachovávají konkrétní výsledky řádků, dotaz KQL a časový rozsah, které vygenerovaly výsledek.

  8. Vyberte Vytvořit a přidejte záložku do lovu.

Zobrazení záložek

  1. Přejděte na kartu záložky pro vyhledávání a zobrazte si záložky.

    Snímek obrazovky zobrazující záložku se všemi podrobnostmi a otevřenou nabídkou akcí pro lovy

  2. Vyberte požadovanou záložku a proveďte následující akce:

    • Výběrem odkazů na entitu zobrazíte odpovídající stránku entity UEBA.
    • Umožňuje zobrazit nezpracované výsledky, značky a poznámky.
    • Výběrem možnosti Zobrazit zdrojový dotaz zobrazíte zdrojový dotaz v Log Analytics.
    • Vyberte Zobrazit protokoly záložek a podívejte se na obsah záložek v prohledávací tabulce záložek Log Analytics.
    • Výběrem tlačítka Prozkoumat zobrazíte záložku a související entity v grafu šetření.
    • Výběrem tlačítka Upravit aktualizujte značky, taktiku a techniky MITRE a poznámky.

Interakce s entitami

  1. Přejděte na kartu Entity vyhledávání a zobrazte, vyhledejte a vyfiltrujte entity obsažené v vyhledávání. Tento seznam se generuje ze seznamu entit v záložkách. Karta Entity automaticky překládá duplicitní položky.

  2. Výběrem názvů entit přejděte na odpovídající stránku entity UEBA.

  3. Klikněte pravým tlačítkem myši na entitu a proveďte akce odpovídající typům entit, jako je přidání IP adresy do TI nebo spuštění playbooku specifického pro konkrétní typ entity.

    Snímek obrazovky zobrazující místní nabídku pro entity.

Přidávání komentářů

Komentáře jsou skvělým místem pro spolupráci s kolegy, zachování poznámek a zjištění dokumentů.

  1. Vyberte

  2. Do textového pole napište a naformátujte komentář.

  3. Přidejte výsledek dotazu jako odkaz pro spolupracovníky, aby mohli rychle pochopit kontext.

  4. Pokud chcete použít komentáře, vyberte tlačítko Komentář .

    Snímek obrazovky zobrazující pole pro úpravy komentáře s dotazem LA jako odkazem

Vytváření incidentů

Vytváření incidentů při proaktivním vyhledávání má dvě možnosti.

Možnost 1: Použijte záložky.

  1. Vyberte záložku nebo záložky.

  2. Vyberte tlačítko Akce incidentu.

  3. Vyberte Vytvořit nový incident nebo Přidat do existujícího incidentu.

    Snímek obrazovky nabízející akce pro incident v okně záložek

    • V případě vytvoření nového incidentu postupujte podle pokynů. Karta záložky je předem vyplněná vybranými záložkami.
    • Pokud chcete přidat k existujícímu incidentu, vyberte incident a vyberte tlačítko Přijmout .

Možnost 2: Použijte akce vyhledávání.

  1. Vyberte nabídku Akce>Vytvořit incident a postupujte podle pokynů.

    Snímek obrazovky s nabídkou akcí pro lov v okně záložek.

  2. Během kroku Přidat záložky použijte akci Přidat záložku a vyberte záložky z lovu, které chcete přidat k incidentu. Jste omezeni na záložky, které nejsou přiřazeny k incidentu.

  3. Jakmile se incident vytvoří, bude zařazen do seznamu souvisejících incidentů pro tento lov.

Aktualizovat stav

  1. Když jste zachytili dostatek důkazů k ověření nebo zneplatnění hypotézy, aktualizujte stav hypotézy.

    Snímek obrazovky znázorňující výběr nabídky stavu hypotézy

  2. Pokud jsou všechny akce přidružené k proaktivnímu vyhledávání dokončené, například vytváření analytických pravidel, incidentů nebo přidání indikátorů ohrožení (IOCS) do TI, zavřete lov.

    Snímek obrazovky ukazuje výběr nabídky stavu lovu.

Tyto aktualizace stavu jsou viditelné na hlavní stránce proaktivního vyhledávání a slouží ke sledování metrik.

Sledování metrik

Sledujte hmatatelné výsledky z lovných aktivit pomocí pruhu metrik na kartě Lovy. Metriky zobrazují počet ověřených hypotéz, vytvořených nových incidentů a nových analytických pravidel. Pomocí těchto výsledků můžete nastavit cíle nebo oslavit milníky programu proaktivního vyhledávání.

Snímek obrazovky ukazuje metriky lovu.

Další kroky

V tomto článku jste zjistili, jak spustit proaktivní šetření pomocí funkce proaktivní vyhledávání v Microsoft Sentinelu.

Další informace naleznete v tématu:

  • Last updated on