Proaktivní proaktivní proaktivní vyhledávání hrozeb v Microsoft Sentinelu

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Proaktivní proaktivní vyhledávání hrozeb je proces, kdy analytici zabezpečení hledají nedetekované hrozby a škodlivé chování. Vytvořením hypotézy, vyhledáváním dat a ověřením této hypotézy určí, co se má chovat. Akce můžou zahrnovat vytváření nových detekcí, nové analýzy hrozeb nebo otáčení nového incidentu.

Pomocí kompletního prostředí proaktivního vyhledávání v Microsoft Sentinelu můžete:

  • Proaktivní vyhledávání na základě konkrétních technik MITRE, potenciálně škodlivých aktivit, nedávných hrozeb nebo vlastní hypotézy.
  • Pomocí dotazů proaktivního vyhledávání vygenerovaných pomocí nástroje security-researcher nebo vlastních dotazů proaktivního vyhledávání můžete zkoumat škodlivé chování.
  • Provádějte vyhledávání pomocí několika trvalých karet dotazu, které umožňují uchovávat kontext v průběhu času.
  • Shromážděte důkazy, prozkoumejte zdroje UEBA a přiřaďte své závěry pomocí záložek pro vyhledávání.
  • Spolupracujte a zdokumentujte svá zjištění pomocí komentářů.
  • Zareagovat na výsledky vytvořením nových analytických pravidel, nových incidentů, nových indikátorů hrozeb a spouštění playbooků.
  • Sledujte nové, aktivní a uzavřené lovy na jednom místě.
  • Zobrazení metrik na základě ověřených hypotéz a hmatatelných výsledků

Důležité

Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Požadavky

Abyste mohli funkci proaktivního vyhledávání použít, musíte mít přiřazenou předdefinované role Microsoft Sentinelu nebo vlastní roli Azure RBAC. Tady jsou vaše možnosti:

Definování hypotézy

Definování hypotézy je otevřený, flexibilní proces a může obsahovat jakýkoliv nápad, který chcete ověřit. Mezi běžné hypotézy patří:

  • Podezřelé chování – Prozkoumejte potenciálně škodlivou aktivitu, která je viditelná ve vašem prostředí, a zjistěte, jestli k útoku dochází.
  • Nová kampaň hrozeb – hledejte typy škodlivých aktivit na základě nově zjištěných aktérů hrozeb, technik nebo ohrožení zabezpečení. Může to být něco, o čem jste slyšeli v článku o bezpečnostních novinkách.
  • Mezery detekce – Zvýšení pokrytí detekce pomocí mapy MITRE ATT&CK k identifikaci mezer

Microsoft Sentinel nabízí flexibilitu při nulovém počtu dotazů proaktivního vyhledávání, abyste prozkoumali vaši hypotézu. Když vytváříte proaktivní vyhledávání, zahajte ho s předem vybranými dotazy proaktivního vyhledávání nebo přidávat dotazy během průběhu. Tady jsou doporučení pro předem vybrané dotazy na základě nejběžnějších hypotéz.

Hypotéza – podezřelé chování

  1. Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Proaktivní vyhledávání.
    Pro Microsoft Sentinel na portálu Defender vyberte Proaktivní vyhledávání pro správu>hrozeb Microsoft Sentinelu>.

  2. Vyberte kartu Dotazy. Pokud chcete identifikovat potenciálně škodlivé chování, spusťte všechny dotazy.

  3. Vyberte Spustit všechny dotazy> čekající na spuštění dotazů. Tento proces může chvíli trvat.

  4. Výběr možnosti Přidat výsledky filtru>> zrušte zaškrtnutí políček "!", "NENÍ_K_DISPOZICI", "-" a "0" hodnot >Použít.Snímek obrazovky ukazuje filtr popsaný v kroku 3.

  5. Tyto výsledky můžete seřadit podle sloupce Delta výsledků a podívat se, co se naposledy změnilo. Tyto výsledky poskytují počáteční pokyny k lovu.

Hypotéza – nová kampaň hrozeb

Centrum obsahu nabízí kampaň hrozeb a řešení založená na doméně pro vyhledávání konkrétních útoků. V následujících krocích nainstalujete jeden z těchto typů řešení.

  1. Přejděte do centra obsahu.

  2. Nainstalujte kampaň hrozeb nebo řešení založené na doméně, jako je detekce ohrožení zabezpečení Log4J nebo Apache Tomcat.

    Snímek obrazovky znázorňující centrum obsahu v zobrazení mřížky s vybranými řešeními Log4J a Apache

  3. Po instalaci řešení přejděte v Microsoft Sentinelu do části Proaktivní vyhledávání.

  4. Vyberte kartu Dotazy.

  5. Vyhledejte podle názvu řešení nebo filtrování podle názvu zdroje řešení.

  6. Vyberte dotaz a spusťte dotaz.

Hypotéza – detekce mezer

Mapa MITRE ATT&CK pomáhá identifikovat konkrétní mezery v pokrytí detekce. Jako výchozí bod pro vývoj nové logiky detekce použijte předdefinované dotazy proaktivního vyhledávání pro konkrétní techniky MITRE ATT&CK.

  1. Přejděte na stránku MITRE ATT&CK (Preview).

  2. Zrušte výběr položek v rozevírací nabídce Aktivní.

  3. V simulovaném filtru vyberte dotazy proaktivního vyhledávání, abyste viděli, které techniky mají přidružené dotazy proaktivního vyhledávání.

    Snímek obrazovky ukazuje stránku MITRE ATT&CK s vybranou možností pro simulované dotazy proaktivního vyhledávání.

  4. Vyberte kartu s požadovanou technikou.

  5. Vyberte odkaz Zobrazit vedle dotazů proaktivního vyhledávání v dolní části podokna podrobností. Tento odkaz vás přenese na filtrované zobrazení karty Dotazy na stránce Proaktivní vyhledávání na základě techniky, kterou jste vybrali.

    Snímek obrazovky znázorňující zobrazení karty MITRE ATT&CK s odkazem na zobrazení dotazů proaktivního vyhledávání

  6. Vyberte všechny dotazy pro tuto techniku.

Vytvoření lovu

Existují dva hlavní způsoby, jak vytvořit lov.

  1. Pokud jste začali s hypotézou, kde jste vybrali dotazy, vyberte rozevírací nabídku >Proaktivní akce Vytvořit nový lov. Všechny vybrané dotazy se naklonují pro tento nový lov.

    Snímek obrazovky zobrazuje vybrané dotazy a vybranou možnost vytvořit novou nabídku pro vyhledávání.

  2. Pokud jste se ještě nerozhodli o dotazech, vyberte kartu > Proaktivní vyhledávání (Preview) a vytvořte prázdný lov.

    Snímek obrazovky s nabídkou pro vytvoření prázdného vyhledávání bez předem vybraných dotazů

  3. Vyplňte název lovu a volitelná pole. Popis je dobrým místem pro slovní slovíci vaší hypotézy. Rozevírací nabídka Hypotéza je místo, kde nastavíte stav pracovní hypotézy.

  4. Začněte výběrem možnosti Vytvořit .

    Snímek obrazovky znázorňující stránku pro vytvoření vyhledávání s názvem, popisem, vlastníkem, stavem a stavem hypotézy

Zobrazení podrobností o lovu

  1. Výběrem karty Proaktivní vyhledávání (Preview) zobrazíte nový lov.

  2. Výběrem odkazu pro vyhledávání podle názvu zobrazíte podrobnosti a provedete akce.

    Snímek obrazovky znázorňující nový lov na kartě Proaktivní vyhledávání

  3. Zobrazte podokno podrobností s názvem vyhledávání, popisem, obsahem, časem poslední aktualizace a časem vytvoření.

  4. Všimněte si karet dotazů, záložek a entit.

    Snímek obrazovky s podrobnostmi o vyhledávání

Karta Dotazy

Karta Dotazy obsahuje dotazy proaktivního vyhledávání specifické pro tento lov. Tyto dotazy jsou klony originálů nezávisle na všech ostatních v pracovním prostoru. Aktualizujte je nebo odstraňte, aniž by to mělo vliv na celkovou sadu dotazů nebo dotazů proaktivního vyhledávání v jiných vyhledáváních.

Přidání dotazu do vyhledávání

  1. Výběr možnosti Akce>dotazu – přidání dotazů pro vyhledávání
  2. Vyberte dotazy, které chcete přidat. Snímek obrazovky s nabídkou akcí dotazu na stránce karty Dotazy

Spouštění dotazů

  1. Vyberte Spustit všechny dotazy nebo zvolte konkrétní dotazy a vyberte Spustit vybrané dotazy.
  2. Výběrem možnosti Storno můžete kdykoli zrušit provádění dotazů.

Správa dotazů

  1. Klikněte pravým tlačítkem myši na dotaz a v místní nabídce vyberte jednu z následujících možností:

    • Spustit
    • Úpravy
    • Klonování
    • Odstranění
    • Vytvoření analytického pravidla

    Snímek obrazovky s možnostmi místní nabídky po kliknutí pravým tlačítkem myši na kartě Dotazy pro vyhledávání

    Tyto možnosti se chovají stejně jako existující tabulka dotazů na stránce Proaktivního vyhledávání , s výjimkou akcí, které se vztahují pouze v rámci tohoto vyhledávání. Když se rozhodnete vytvořit analytické pravidlo, název, popis a dotaz KQL se při vytváření nového pravidla předem vyloučí. Vytvoří se odkaz pro zobrazení nového analytického pravidla nalezeného v části Související analytická pravidla.

    Snímek obrazovky zobrazující podrobnosti pro vyhledávání se souvisejícím analytickým pravidlem

Zobrazení výsledků

Tato funkce umožňuje zobrazit výsledky dotazů proaktivního vyhledávání ve vyhledávacím prostředí Log Analytics. Tady můžete analyzovat výsledky, upřesnit dotazy a vytvořit záložky pro zaznamenávání informací a další zkoumání výsledků jednotlivých řádků.

  1. Vyberte tlačítko Zobrazit výsledky.
  2. Pokud přejdete na jinou část portálu Microsoft Sentinel, vraťte se na stránku pro vyhledávání v protokolu LA ze stránky proaktivního vyhledávání, zůstanou všechny karty dotazů LA.
  3. Tyto karty dotazů LA se ztratí, pokud kartu prohlížeče zavřete. Pokud chcete dlouhodobé dotazy zachovat, musíte dotaz uložit, vytvořit nový dotaz proaktivního vyhledávání nebo ho zkopírovat do komentáře pro pozdější použití v rámci vyhledávání.

Přidání záložky

Když najdete zajímavé výsledky nebo důležité řádky dat, přidejte tyto výsledky do vyhledávání vytvořením záložky. Další informace najdete v tématu Použití záložek proaktivního vyhledávání pro šetření dat.

  1. Vyberte požadovaný řádek nebo řádky.

  2. Nad tabulkou výsledků vyberte Přidat záložku. Snímek obrazovky znázorňující přidání podokna záložek s vyplněnými volitelnými poli

  3. Pojmenujte záložku.

  4. Nastavte sloupec času události.

  5. Mapovat identifikátory entit

  6. Nastavte taktiku a techniky MITRE.

  7. Přidejte značky a přidejte poznámky.

    Záložky zachovávají konkrétní výsledky řádků, dotaz KQL a časový rozsah, které vygenerovaly výsledek.

  8. Vyberte Vytvořit a přidejte záložku do lovu.

Zobrazení záložek

  1. Přejděte na kartu záložky pro vyhledávání a zobrazte si záložky.

    Snímek obrazovky zobrazující záložku se všemi podrobnostmi a otevřenou nabídkou akcí pro vyhledávání

  2. Vyberte požadovanou záložku a proveďte následující akce:

    • Výběrem odkazů na entitu zobrazíte odpovídající stránku entity UEBA.
    • Umožňuje zobrazit nezpracované výsledky, značky a poznámky.
    • Výběrem možnosti Zobrazit zdrojový dotaz zobrazíte zdrojový dotaz v Log Analytics.
    • Pokud chcete zobrazit obsah záložek v tabulce záložek proaktivního vyhledávání log Analytics, vyberte Zobrazit protokoly záložek.
    • Výběrem tlačítka Prozkoumat zobrazíte záložku a související entity v grafu šetření.
    • Výběrem tlačítka Upravit aktualizujte značky, taktiku a techniky MITRE a poznámky.

Interakce s entitami

  1. Přejděte na kartu Entity vyhledávání a zobrazte, vyhledejte a vyfiltrujte entity obsažené v vyhledávání. Tento seznam se generuje ze seznamu entit v záložkách. Karta Entity automaticky překládá duplicitní položky.

  2. Výběrem názvů entit přejděte na odpovídající stránku entity UEBA.

  3. Klikněte pravým tlačítkem myši na entitu a proveďte akce odpovídající typům entit, jako je přidání IP adresy do TI nebo spuštění playbooku specifického pro konkrétní typ entity.

    Snímek obrazovky s místní nabídkou entit

Přidávání komentářů

Komentáře jsou skvělým místem pro spolupráci s kolegy, zachování poznámek a zjištění dokumentů.

  1. Vyberte

  2. Do textového pole napište a naformátujte komentář.

  3. Přidejte výsledek dotazu jako odkaz pro spolupracovníky, aby mohli rychle pochopit kontext.

  4. Pokud chcete použít komentáře, vyberte tlačítko Komentář.

    Snímek obrazovky zobrazující pole pro úpravy komentáře s dotazem LA jako odkazem

Vytváření incidentů

Vytváření incidentů při proaktivním vyhledávání má dvě možnosti.

Možnost 1: Použijte záložky.

  1. Vyberte záložku nebo záložky.

  2. Vyberte tlačítko Akce incidentu.

  3. Vyberte Vytvořit nový incident nebo Přidat do existujícího incidentu.

    Snímek obrazovky s nabídkou akcí incidentu z okna záložek

    • V případě vytvoření nového incidentu postupujte podle pokynů. Karta záložky je předem vyplněná vybranými záložkami.
    • Pokud chcete přidat k existujícímu incidentu, vyberte incident a vyberte tlačítko Přijmout .

Možnost 2: Použijte akce vyhledávání.

  1. Vyberte nabídku> Proaktivní akce Vytvořit incident a postupujte podle pokynů.

    Snímek obrazovky s nabídkou akcí pro vyhledávání v okně záložek

  2. Během kroku Přidat záložky použijte akci Přidat záložku a vyberte záložky z lovu, které chcete přidat k incidentu. Jste omezeni na záložky, které nejsou přiřazeny k incidentu.

  3. Jakmile se incident vytvoří, bude propojen v seznamu souvisejících incidentů pro tento lov.

Aktualizovat stav

  1. Když jste zachytili dostatek důkazů k ověření nebo zneplatnění hypotézy, aktualizujte stav hypotézy.

    Snímek obrazovky znázorňující výběr nabídky stavu hypotézy

  2. Pokud jsou všechny akce přidružené k proaktivnímu vyhledávání dokončené, například vytváření analytických pravidel, incidentů nebo přidání indikátorů ohrožení (IOCS) do TI, zavřete lov.

    Snímek obrazovky znázorňující výběr nabídky stavu Proaktivní vyhledávání

Tyto aktualizace stavu jsou viditelné na hlavní stránce proaktivního vyhledávání a slouží ke sledování metrik.

Sledování metrik

Sledujte hmatatelné výsledky z aktivity proaktivního vyhledávání pomocí pruhu metrik na kartě Proaktivní vyhledávání . Metriky zobrazují počet ověřených hypotéz, nově vytvořené incidenty a vytvořená nová analytická pravidla. Pomocí těchto výsledků můžete nastavit cíle nebo oslavit milníky programu proaktivního vyhledávání.

Snímek obrazovky znázorňující metriky proaktivního vyhledávání

Další kroky

V tomto článku jste zjistili, jak spustit proaktivní šetření pomocí funkce proaktivní vyhledávání v Microsoft Sentinelu.

Další informace naleznete v tématu: