Proaktivní proaktivní proaktivní vyhledávání hrozeb v Microsoft Sentinel

  • Platí pro: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Proaktivní vyhledávání hrozeb je proces, kdy analytici zabezpečení hledají nezjištěné hrozby a škodlivé chování. Vytvořením hypotézy, prohledáváním dat a ověřením této hypotézy určí, s čím se mají zareagovat. Mezi akce může patřit vytvoření nových detekcí, nová analýza hrozeb nebo spuštění nového incidentu.

Pomocí kompletního prostředí proaktivního vyhledávání v rámci Microsoft Sentinel můžete:

  • Proaktivně proaktivní vyhledávání na základě konkrétních technik MITRE, potenciálně škodlivých aktivit, nedávných hrozeb nebo vlastní hypotézy.
  • K prozkoumání škodlivého chování použijte dotazy proaktivního vyhledávání vygenerované službou Security Researcher nebo vlastní dotazy proaktivního vyhledávání.
  • Provádějte vyhledávání pomocí několika karet trvalých dotazů, které umožňují zachovat kontext v průběhu času.
  • Shromážděte důkazy, prozkoumejte zdroje UEBA a přidejte do poznámek svá zjištění pomocí záložek pro vyhledávání.
  • Spolupracujte a zdokumentujte svá zjištění pomocí komentářů.
  • S výsledky můžete pracovat vytvořením nových analytických pravidel, nových incidentů, nových indikátorů hrozeb a spouštění playbooků.
  • Sledujte nové, aktivní a uzavřené lovy na jednom místě.
  • Zobrazení metrik na základě ověřených hypotéz a hmatatelných výsledků

Důležité

Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.

Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.

Požadavky

Abyste mohli používat funkci vyhledávání, musíte mít přiřazenou předdefinované Microsoft Sentinel role nebo vlastní Azure roli RBAC. Tady jsou vaše možnosti:

Další informace najdete v tématu Role a oprávnění na platformě Microsoft Sentinel.

Definování hypotézy

Definování hypotézy je otevřený a flexibilní proces, který může zahrnovat jakýkoliv nápad, který chcete ověřit. Mezi běžné hypotézy patří:

  • Podezřelé chování – Prozkoumejte potenciálně škodlivou aktivitu, která je viditelná ve vašem prostředí, a zjistěte, jestli k útoku dochází.
  • Nová kampaň s hrozbami – Hledejte typy škodlivých aktivit na základě nově zjištěných hrozeb, technik nebo ohrožení zabezpečení. To může být něco, o čem jste slyšeli v článku o bezpečnostních novinkách.
  • Detekce mezer – zvyšte pokrytí detekce pomocí mapy MITRE ATT&CK k identifikaci mezer.

Microsoft Sentinel vám dává flexibilitu, když se při zkoumání hypotézy chytáte ve správné sadě dotazů proaktivního vyhledávání. Když vytváříte proaktivní vyhledávání, zahajte ho pomocí předem vybraných dotazů proaktivního vyhledávání nebo přidávat dotazy v průběhu. Tady jsou doporučení pro předem vybrané dotazy založené na nejběžnějších hypotézách.

Hypotéza – podezřelé chování

  1. Pro Microsoft Sentinel v Azure Portal vyberte v části Správa hrozebmožnost Proaktivní vyhledávání.
    Pro Microsoft Sentinel na portálu Defender vyberte Microsoft Sentinel>Aktivní vyhledávání správy> hrozeb.

  2. Vyberte kartu Dotazy . Pokud chcete identifikovat potenciálně škodlivé chování, spusťte všechny dotazy.

  3. Vyberte Spustit všechny dotazy> a počkejte, až se dotazy spustí. Tento proces může chvíli trvat.

  4. Vyberte Přidat filtr>Výsledky> zrušte zaškrtnutí políček "!", "N/A", "-" a "0" >Použítsnímek obrazovky zobrazuje filtr popsaný v kroku 3.

  5. Seřaďte tyto výsledky podle sloupce Delta výsledků , abyste viděli, co se naposledy změnilo. Tyto výsledky poskytují počáteční pokyny k lovu.

Hypotéza – nová hrozba kampaň

Centrum obsahu nabízí hrozbové kampaně a řešení založená na doméně pro vyhledávání konkrétních útoků. V následujících krocích nainstalujete jeden z těchto typů řešení.

  1. Přejděte do centra obsahu.

  2. Nainstalujte kampaň s hrozbami nebo řešení založené na doméně, jako je Log4J Vulnerability Detection nebo Apache Tomcat.

    Snímek obrazovky znázorňující centrum obsahu v zobrazení mřížky s vybranými řešeními Log4J a Apache

  3. Po instalaci řešení přejděte v Microsoft Sentinel na Proaktivní vyhledávání.

  4. Vyberte kartu Dotazy .

  5. Vyhledejte podle názvu řešení nebo filtrování podle názvu zdroje řešení.

  6. Vyberte dotaz a spusťte dotaz.

Hypotéza – detekce mezer

Mapa MITRE ATT&CK vám pomůže identifikovat konkrétní mezery v pokrytí detekce. Jako výchozí bod pro vývoj nové logiky detekce použijte předdefinované dotazy proaktivního vyhledávání pro konkrétní techniky MITRE ATT&CK.

  1. Přejděte na stránku MITRE ATT&CK (Preview).

  2. Zrušte výběr položek v rozevírací nabídce Aktivní.

  3. Výběrem možnosti Dotazy proaktivního vyhledávání ve filtru Simulované zobrazíte, které techniky mají přidružené dotazy proaktivního vyhledávání.

    Snímek obrazovky ukazuje stránku MITRE ATT&CK s vybranou možností pro simulované dotazy proaktivního vyhledávání.

  4. Vyberte kartu s požadovanou technikou.

  5. Vyberte odkaz Zobrazit vedle položky Dotazy proaktivního vyhledávání v dolní části podokna podrobností. Tímto odkazem přejdete na filtrované zobrazení karty Dotazy na stránce Proaktivní vyhledávání na základě techniky, kterou jste vybrali.

    Snímek obrazovky znázorňující zobrazení karty MITRE ATT&CK s odkazem na zobrazení proaktivní dotazy

  6. Vyberte všechny dotazy pro danou techniku.

Vytvoření vyhledávání

Existují dva primární způsoby, jak vytvořit proaktivní vyhledávání.

  1. Pokud jste začali s hypotézou, ve které jste vybrali dotazy, vyberte rozevírací nabídku >Akce vyhledáváníVytvořit nový lov. Všechny vybrané dotazy se pro tento nový proaktivní naklonují.

    Snímek obrazovky s vybranými dotazy a vybranou možností nabídky Vytvořit nový lov

  2. Pokud jste se ještě nerozhodli o dotazech, vyberte kartu >Hledání (Preview)New Hunt (Nový lov) a vytvořte prázdný lov.

    Snímek obrazovky s nabídkou pro vytvoření prázdného vyhledávání bez předem vybraných dotazů

  3. Vyplňte název lovu a volitelná pole. Popis je vhodným místem pro slovní vyjádření hypotézy. Stav pracovní hypotézy nastavíte v rozevírací nabídce Hypotéza .

  4. Začněte tím, že vyberete Vytvořit .

    Snímek obrazovky znázorňující stránku pro vytvoření lovu s názvem, popisem, vlastníkem, stavem a stavem hypotézy

Zobrazení podrobností o lovu

  1. Vyberte kartu Lovy (Preview) a zobrazte nový lov.

  2. Výběrem odkazu pro vyhledávání podle názvu zobrazte podrobnosti a proveďte akce.

    Snímek obrazovky znázorňující nový lov na kartě Proaktivní vyhledávání

  3. Zobrazte podokno podrobností s názvem vyhledávání, popisem, obsahem, časem poslední aktualizace a časem vytvoření.

  4. Všimněte si karet dotazů, záložek a entit.

    Snímek obrazovky s podrobnostmi o lovu

Karta Dotazy

Karta Dotazy obsahuje proaktivní dotazy specifické pro tento proaktivní vyhledávání. Tyto dotazy jsou klony originálů, které jsou nezávislé na všech ostatních v pracovním prostoru. Aktualizujte je nebo odstraňte, aniž by to ovlivnilo celkovou sadu dotazů nebo dotazů proaktivního vyhledávání v jiných proaktivních dotazech.

Přidání dotazu do vyhledávání

  1. Vyberte Akce> dotazůa přidejte dotazy k proaktivnímu vyhledávání.
  2. Vyberte dotazy, které chcete přidat. Snímek obrazovky znázorňující nabídku akcí dotazu na stránce karty Dotazy

Spouštění dotazů

  1. Vyberte Spustit všechny dotazy nebo zvolte konkrétní dotazy a vyberte Spustit vybrané dotazy.
  2. Pokud chcete kdykoli zrušit provádění dotazů, vyberte Zrušit .

Správa dotazů

  1. Klikněte pravým tlačítkem na dotaz a v místní nabídce vyberte jednu z následujících možností:

    • Spustit
    • Úpravy
    • Klon
    • Vymazání
    • Vytvoření analytického pravidla

    Snímek obrazovky znázorňující možnosti místní nabídky po kliknutí pravým tlačítkem myši na kartě Dotazy vyhledávání

    Tyto možnosti se chovají stejně jako existující tabulka dotazů na stránce Proaktivní vyhledávání s tím rozdílem, že akce platí pouze v rámci tohoto vyhledávání. Když se rozhodnete vytvořit analytické pravidlo, název, popis a dotaz KQL se při vytváření nového pravidla předloží. Vytvoří se odkaz pro zobrazení nového analytického pravidla v části Související analytická pravidla.

    Snímek obrazovky zobrazující podrobnosti o lovu se souvisejícím analytickým pravidlem

Zobrazit výsledky

Tato funkce umožňuje zobrazit výsledky dotazů proaktivního vyhledávání v Log Analytics. Tady můžete analyzovat výsledky, upřesňovat dotazy a vytvářet záložky pro záznam informací a dále zkoumat výsledky jednotlivých řádků.

  1. Vyberte tlačítko Zobrazit výsledky .
  2. Pokud přejdete na jinou část portálu Microsoft Sentinel a pak ze stránky vyhledávání v protokolu LA přejděte zpátky do prostředí pro vyhledávání, všechny karty dotazů LA zůstanou.
  3. Tyto karty dotazů LA se ztratí, pokud zavřete kartu prohlížeče. Pokud chcete dotazy uchovávat dlouhodobě, musíte dotaz uložit, vytvořit nový dotaz proaktivního vyhledávání nebo ho zkopírovat do komentáře pro pozdější použití v rámci vyhledávání.

Přidání záložky

Když najdete zajímavé výsledky nebo důležité řádky dat, přidejte je do vyhledávání vytvořením záložky. Další informace najdete v tématu Použití záložek proaktivního vyhledávání pro zkoumání dat.

  1. Vyberte požadovaný řádek nebo řádky.

  2. Nad tabulkou výsledků vyberte Přidat záložku. Snímek obrazovky znázorňující podokno přidat záložku s volitelnými vyplněnými poli

  3. Pojmenujte záložku.

  4. Nastavte sloupec čas události.

  5. Identifikátory entit mapování.

  6. Nastavte taktiku a techniky MITRE.

  7. Přidejte značky a poznámky.

    Záložky zachovají výsledky konkrétního řádku, dotaz KQL a časový rozsah, který výsledek vygeneroval.

  8. Vyberte Vytvořit a přidejte záložku do proaktivního vyhledávání.

Zobrazení záložek

  1. Přejděte na kartu záložek vyhledávání a zobrazte si záložky.

    Snímek obrazovky znázorňující záložku se všemi podrobnostmi a otevřenou nabídkou akcí pro vyhledávání

  2. Vyberte požadovanou záložku a proveďte následující akce:

    • Výběrem odkazů na entity zobrazíte odpovídající stránku entity UEBA.
    • Zobrazení nezpracovaných výsledků, značek a poznámek
    • Vyberte Zobrazit zdrojový dotaz a zobrazte zdrojový dotaz v Log Analytics.
    • Vyberte Zobrazit protokoly záložek a zobrazte obsah záložek v tabulce proaktivního vyhledávání záložek v Log Analytics.
    • Výběrem tlačítka Prozkoumat zobrazte záložku a související entity v grafu šetření.
    • Výběrem tlačítka Upravit aktualizujte značky, taktiky a techniky MITRE a poznámky.

Interakce s entitami

  1. Přejděte na kartu Entity vašeho lovu a zobrazte, vyhledejte a vyfiltrujte entity obsažené v proaktivním vyhledávání. Tento seznam se generuje ze seznamu entit v záložkách. Karta Entity automaticky překládá duplicitní položky.

  2. Vyberte názvy entit a přejděte na odpovídající stránku entity UEBA.

  3. Klikněte pravým tlačítkem na entitu a proveďte akce odpovídající typům entit, jako je přidání IP adresy do TI nebo spuštění playbooku specifického typu entity.

    Snímek obrazovky zobrazující místní nabídku pro entity

Přidat komentáře

Komentáře jsou vynikajícím místem pro spolupráci s kolegy, uchovávání poznámek a dokumentaci zjištění.

  1. Vyberte

  2. Do textového pole zadejte a naformátujte komentář.

  3. Přidejte výsledek dotazu jako odkaz pro spolupracovníky, aby rychle porozuměli kontextu.

  4. Pokud chcete použít komentáře, vyberte tlačítko Komentář .

    Snímek obrazovky zobrazující pole pro úpravy komentáře s dotazem LA jako odkazem

Vytváření incidentů

Pro vytvoření incidentu při proaktivním vyhledávání existují dvě možnosti.

Možnost 1: Používejte záložky.

  1. Vyberte záložku nebo záložky.

  2. Vyberte tlačítko Akce incidentů.

  3. Vyberte Vytvořit nový incident nebo Přidat k existujícímu incidentu.

    Snímek obrazovky s nabídkou akcí incidentů v okně záložek

    • V části Vytvořit nový incident postupujte podle pokynů. Karta záložky je předem vyplněna vybranými záložkami.
    • V části Přidat do existujícího incidentu vyberte incident a vyberte tlačítko Přijmout .

Možnost 2: Použijte akce vyhledávání.

  1. Vyberte nabídku >Akce pro vyhledávání Vytvořit incident a postupujte podle pokynů.

    Snímek obrazovky s nabídkou akcí pro vyhledávání v okně záložek

  2. Během kroku Přidat záložky pomocí akce Přidat záložku vyberte záložky z proaktivního vyhledávání, které chcete přidat do incidentu. Jste omezeni na záložky, které nejsou přiřazené k incidentu.

  3. Po vytvoření bude incident propojený v seznamu Souvisejících incidentů pro daný lov.

Stav aktualizace

  1. Pokud jste zachytili dostatek důkazů k ověření nebo zneplatnění hypotézy, aktualizujte stav hypotézy.

    Snímek obrazovky znázorňující výběr nabídky stavu hypotézy

  2. Po dokončení všech akcí přidružených k proaktivnímu vyhledávání, jako je vytváření analytických pravidel, incidentů nebo přidání indikátorů ohrožení (IOC) do TI, ukončete lov.

    Snímek obrazovky znázorňující výběr nabídky Proaktivní stav

Tyto aktualizace stavu jsou viditelné na hlavní stránce Proaktivního vyhledávání a používají se ke sledování metrik.

Sledování metrik

Sledujte hmatatelné výsledky aktivity proaktivního vyhledávání pomocí panelu metrik na kartě Lovy . Metriky ukazují počet ověřených hypotéz, nově vytvořených incidentů a nově vytvořených analytických pravidel. Pomocí těchto výsledků můžete nastavit cíle nebo oslavit milníky programu proaktivního vyhledávání.

Snímek obrazovky znázorňující metriky proaktivního vyhledávání

Další kroky

V tomto článku jste zjistili, jak spustit proaktivní šetření pomocí funkce vyhledávání v Microsoft Sentinel.

Další informace najdete tady:

  • Last updated on