Hunting nach Bedrohungen mit Microsoft Sentinel

• Gilt für::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Als Sicherheitsanalysten und Prüfer möchten Sie proaktiv nach Sicherheitsbedrohungen suchen, aber Ihre verschiedenen Systeme und Sicherheits-Appliances generieren eine Menge von Daten, deren Analyse und Filterung in aussagekräftige Ereignisse schwierig sein können. Microsoft Sentinel verfügt über leistungsstarke Such- und Abfragetools zum Aufspüren von Sicherheitsbedrohungen in den Datenquellen Ihrer Organisation. Um Sicherheitsanalysten dabei zu unterstützen, proaktiv nach neuen Anomalien zu suchen, die von Ihren Sicherheits-Apps oder auch Ihren geplanten Analyseregeln nicht erkannt wurden, helfen Ihnen die in Microsoft Sentinel integrierten Abfragen für das Hunting nach Bedrohungen, die richtigen Fragen zu stellen, um Probleme in den Daten zu finden, die bereits in Ihrem Netzwerk vorhanden sind.

Zum Beispiel liefert eine integrierte Abfrage Daten über die ungewöhnlichsten Prozesse, die in Ihrer Infrastruktur ausgeführt werden. Sie möchten nicht jedes Mal eine Warnung erhalten, wenn sie ausgeführt werden. Sie könnten völlig harmlos sein. Aber Sie sollten sich die Abfrage gelegentlich ansehen, um festzustellen, ob etwas Ungewöhnliches vorliegt.

Hinweis

Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.

Wichtig

Microsoft Sentinel ist als Teil der öffentlichen Vorschau für die einheitliche Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Verwenden integrierter Abfragen

Das Hunting-Dashboard bietet vorgefertigte Abfragebeispiele, um Ihnen den Einstieg zu erleichtern und Sie an die Tabellen und die Abfragesprache heranzuführen. Abfragen werden für in Protokolltabellen gespeicherte Daten ausgeführt – beispielsweise für die Prozesserstellung, für DNS-Ereignisse oder für andere Ereignistypen.

Integrierte Hunting-Abfragen werden von Microsoft-Sicherheitsexperten kontinuierlich weiterentwickelt. Sie fügen neue Abfragen hinzu und optimieren bereits vorhandene Abfragen, um Ihnen einen Einstiegspunkt für die Suche nach neuen Erkennungen zu bieten und Sie bei der Entscheidung zu unterstützen, wo mit der Suche nach den Anfängen neuer Angriffe begonnen werden sollte.

Verwenden Sie Abfragen vor, während und nach einer Kompromittierung, um die folgenden Aktionen durchzuführen:

• Vor dem Auftreten eines Vorfalls: Das Warten auf Erkennungen ist ungenügend. Ergreifen Sie proaktive Maßnahmen, indem Sie mindestens einmal pro Woche alle Abfragen für die Bedrohungssuche im Zusammenhang mit den Daten ausführen, die Sie in Ihrem Arbeitsbereich erfassen.

  Die Ergebnisse Ihres proaktiven Huntings geben frühzeitig Aufschluss über Ereignisse, die unter Umständen eine aktuelle Kompromittierung bestätigen oder zumindest Schwachpunkte in Ihrer Umgebung aufzeigen, die gefährdet sind und Aufmerksamkeit benötigen.

• Während einer Kompromittierung: Verwenden Sie einen Livestream, um eine bestimmte Abfrage kontinuierlich auszuführen und eingehende Ergebnisse umgehend anzuzeigen. Livestreams können verwendet werden, wenn Sie Benutzerereignisse aktiv überwachen müssen – beispielsweise, um zu überprüfen, ob eine bestimmte Kompromittierung noch besteht, um die nächste Aktion eines Bedrohungsakteurs zu bestimmen oder um sich gegen Ende einer Untersuchung zu vergewissern, dass die Kompromittierung tatsächlich vorbei ist.

• Nach einer Kompromittierung: Verbessern Sie nach einer Kompromittierung oder nach einem Vorfall Ihre Abdeckung und Erkenntnisse, um ähnliche Vorfälle in Zukunft zu verhindern.

  • Ändern Sie Ihre vorhandenen Abfragen, oder erstellen Sie basierend auf den Erkenntnissen, die Sie durch die Kompromittierung oder den Vorfall gewonnen haben, neue Abfragen.

  • Wenn Sie eine Hunting-Abfrage entdeckt oder erstellt haben, die wertvolle Erkenntnisse zu möglichen Angriffen liefert, können Sie für diese Abfrage benutzerdefinierte Erkennungsregeln erstellen und diese Erkenntnisse als Warnungen in Ihren Antwortdiensten für Sicherheitsvorfälle verfügbar machen.

    Zeigen Sie die Ergebnisse der Abfrage an, und wählen Sie Neue Warnungsregel>Microsoft Sentinel-Warnung erstellen aus. Verwenden Sie den Analyseregel-Assistenten, um eine neue, auf Ihrer Abfrage basierende Regel zu erstellen. Weitere Informationen finden Sie unter Erstellen benutzerdefinierter Analyseregeln zum Erkennen von Bedrohungen.

Sie können auch Hunting- und Livestreamabfragen für gespeicherte Daten in Azure Data Explorer erstellen. Weitere Informationen finden Sie in der Dokumentation zu Azure Monitor unter Ressourcenübergreifende Abfrage: Azure Data Explorer mithilfe von Azure Monitor.

Weitere Abfragen und Datenquellen finden Sie in Communityressourcen, z. B. dem GitHub-Repository für Microsoft Sentinel.

Verwenden des Hunting-Dashboards

Mit dem Hunting-Dashboard können Sie alle Ihre Abfragen oder eine ausgewählte Teilmenge mit einer einzigen Auswahl ausführen. Wählen Sie im Microsoft Sentinel-Portal Hunting aus.

Die daraufhin angezeigte Tabelle enthält alle Abfragen, die von den Sicherheitsanalysten von Microsoft geschrieben wurden, sowie alle weiteren Abfragen, die Sie selbst erstellt oder geändert haben. Jede Abfrage enthält eine Beschreibung dazu, nach welcher Bedrohung mit ihr gesucht wird und für welche Art von Daten sie ausgeführt wird. Diese Abfragen sind nach ihren MITRE ATT&CK-Taktiken gruppiert. Mit den Symbolen auf der rechten Seite wird die Art der Bedrohung kategorisiert, z. B. Erstzugriff, Persistenz und Exfiltration. Die MITRE ATT&CK-Techniken werden in der Spalte Techniken angezeigt. Sie beschreiben das spezifische Verhalten, das mit der Hunting-Abfrage identifiziert wurde.

Verwenden Sie das Hunting-Dashboard, um zu ermitteln, wo mit der Suche begonnen werden soll. Betrachten Sie dazu die Ergebnisanzahl, Spitzen oder die Veränderung der Ergebnisanzahl über einen Zeitraum von 24 Stunden. Sortieren und filtern Sie nach Favoriten, Datenquelle, MITRE ATT&CK-Taktik oder Technik, Ergebnissen, Ergebnisdelta oder Deltaprozentsatz der Ergebnisse. Zeigen Sie Abfragen an, für die noch eine Verbindung mit Datenquellen hergestellt werden muss, und erhalten Sie Empfehlungen zum Aktivieren dieser Abfragen.

In der folgenden Tabelle werden detaillierte Aktionen beschrieben, die über das Hunting-Dashboard verfügbar sind:

Aktion	BESCHREIBUNG
Ermitteln, inwiefern Abfragen für Ihre Umgebung geeignet sind	Wählen Sie die Schaltfläche Alle Abfragen ausführen aus, oder wählen Sie mithilfe der Kontrollkästchen links neben den einzelnen Zeilen einen Teil der Abfragen und anschließend die Schaltfläche Ausgewählte Abfragen ausführen aus. Die Abfrageausführung kann wenige Sekunden, aber auch mehrere Minuten dauern. Dies hängt von der Anzahl ausgewählter Abfragen, vom Zeitbereich und von der abgefragten Datenmenge ab.
Anzeigen der Abfragen, von denen Ergebnisse zurückgegeben wurden	Nachdem Ihre Abfragen ausgeführt wurden, zeigen Sie die Abfragen an, die Ergebnisse mithilfe des Filters für Ergebnisse zurückgegeben haben: - Sortieren Sie sie, um zu sehen, welche Abfragen die meisten oder wenigsten Ergebnisse hatten. – Sehen Sie sich die Abfragen an, die in Ihrer Umgebung gar nicht aktiv sind, indem Sie im Filter Ergebnisse die Option Nicht zutreffend auswählen. - Bewegen Sie den Mauszeiger auf das Infosymbol (i) neben Nicht zutreffend, um zu sehen, welche Datenquellen erforderlich sind, um diese Abfrage zu aktivieren.
Identifizieren von Spitzen in Ihren Daten	Identifizieren Sie Datenspitzen, indem Sie nach Ergebnisdelta oder Deltaprozentsatz der Ergebnisse filtern. Vergleicht die Ergebnisse der letzten 24 Stunden mit den Ergebnissen der vorherigen 24 bis 48 Stunden und hebt alle signifikanten bzw. relativen Volumenunterschiede hervor.
Anzeigen von Abfragen, die der MITRE ATT&CK-Taktik zugeordnet sind	Die MITRE ATT&CK-Taktikleiste im oberen Bereich der Tabelle gibt an, wie viele Abfragen der jeweiligen MITRE ATT&CK-Taktik zugeordnet sind. Die Taktikleiste wird basierend auf dem aktuellen Satz angewendeter Filter dynamisch aktualisiert. Ermöglicht es Ihnen, zu sehen, welche MITRE ATT&CK-Taktiken erscheinen, wenn Sie nach einer bestimmten Ergebnisanzahl, einem hohen Ergebnisdelta, nach Ergebnissen vom Typ Nicht zutreffend oder nach etwas anderem filtern.
Anzeigen von Abfragen, die MITRE Att&CK-Techniken zugeordnet sind	Abfragen können auch MITRE ATT&CK-Techniken zugeordnet werden. Sie können mithilfe des Filters Technik nach MITRE ATT&CK-Techniken filtern oder sortieren. Wenn Sie eine Abfrage öffnen, können Sie die Technik auswählen, um die MITRE ATT&CK-Beschreibung der Technik anzuzeigen.
Speichern einer Abfrage in Ihren Favoriten	In Ihren Favoriten gespeicherte Abfragen werden jedes Mal automatisch ausgeführt, wenn auf die Bedrohungssuche-Seite zugegriffen wird. Sie können eine eigene Bedrohungssuchabfrage erstellen oder eine vorhandene Vorlage für Bedrohungssuchabfragen klonen oder anpassen.
Ausführen von Abfragen	Wählen Sie auf der Seite mit den Details der Hunting-Abfrage die Option Abfrage ausführen aus, um die Abfrage direkt über die Seite „Hunting“ auszuführen. Die Anzahl der Übereinstimmungen wird in der Tabelle in der Spalte Ergebnisse angezeigt. Überprüfen Sie die Liste der Bedrohungssuchabfragen und deren Übereinstimmungen.
Überprüfen einer zugrunde liegenden Abfrage	Im Bereich mit den Abfragedetails können Sie eine schnelle Überprüfung der zugrunde liegenden Abfrage durchführen. Sie können die Ergebnisse anzeigen, indem Sie auf den Link Abfrageergebnisse anzeigen (unterhalb des Abfragefensters) oder auf die Schaltfläche Ergebnisse anzeigen (unten im Bereich) klicken. Die Abfrage öffnet sich auf der Seite Protokolle (Log Analytics), und unterhalb der Abfrage können Sie die Übereinstimmungen für die Abfrage überprüfen.

Erstellen einer benutzerdefinierten Hunting-Abfrage

Erstellen oder ändern Sie eine Abfrage, und speichern Sie sie als Ihre eigene Abfrage, oder teilen Sie sie mit Benutzern im gleichen Mandanten.

So erstellen Sie eine neue Abfrage:

1. Klicken Sie auf Neue Abfrage.

2. Füllen Sie alle leeren Felder aus, und wählen Sie Erstellen aus.

   1. Erstellen Sie Entitätszuordnungen, indem Sie Entitätstypen, Bezeichner und Spalten auswählen.

      

   2. Ordnen Sie Ihren Hunting-Abfragen MITRE ATT&CK-Techniken zu, indem Sie die Taktik, die Technik und die untergeordnete Technik (falls zutreffend) auswählen.

      

So klonen und ändern Sie eine vorhandene Abfrage:

1. Wählen Sie in der Tabelle die Bedrohungssuchabfrage aus, die Sie ändern möchten.

2. Wählen Sie in der Zeile der Abfrage, die Sie ändern möchten, die Auslassungspunkte (...) aus, und wählen Sie Abfrage klonen.

   

3. Ändern Sie die Abfrage, und wählen Sie Erstellen aus.

So ändern Sie eine vorhandene benutzerdefinierte Abfrage:

1. Wählen Sie in der Tabelle die Bedrohungssuchabfrage aus, die Sie ändern möchten. Nur Abfragen aus einer benutzerdefinierten Inhaltsquelle können bearbeitet werden. Andere Inhaltsquellen müssen an dieser Quelle bearbeitet werden.

2. Wählen Sie in der Zeile der Abfrage, die Sie ändern möchten, die Auslassungspunkte (...) aus, und wählen Sie Abfrage bearbeiten aus.

3. Ändern Sie das Feld Benutzerdefinierte Abfrage mit der aktualisierten Abfrage. Sie können auch die Entitätszuordnung und die Verfahren ändern, wie im Abschnitt So erstellen Sie eine neue Abfrage dieser Dokumentation erläutert.

Beispielabfrage

Eine typische Abfrage beginnt mit einem Tabellen- oder Parsernamen, gefolgt von mehreren Operatoren, die durch ein Pipezeichen (|) getrennt sind.

Beginnen Sie im obigen Beispiel mit dem Tabellennamen „SecurityEvent“, und fügen Sie nach Bedarf über Pipes verkettete Elemente hinzu.

1. Definieren Sie einen Zeitfilter, um nur Datensätze aus den letzten sieben Tagen zu überprüfen.

2. Fügen Sie der Abfrage einen Filter hinzu, um nur Ereignisse mit der ID 4688 anzuzeigen.

3. Fügen Sie der Abfrage einen Filter für die Befehlszeile hinzu, sodass nur Instanzen von „cscript.exe“ enthalten sind.

4. Bilden Sie nur die Spalten ab, die Sie untersuchen möchten, begrenzen Sie die Ergebnisse auf 1.000, und wählen Sie anschließend Abfrage ausführen aus.

5. Wählen Sie das grüne Dreieck aus, um die Abfrage auszuführen. Sie können die Abfrage testen, und sie ausführen, um nach anormalem Verhalten zu suchen.

Es wird empfohlen, dass Ihre Abfrage einen ASIM-Parser (Advanced Security Information Model) und keine integrierte Tabelle verwendet. Dadurch wird sichergestellt, dass die Abfrage anstelle einer einzelnen Datenquelle alle aktuellen oder zukünftigen relevanten Datenquellen unterstützt.

Erstellen von Lesezeichen

Während des Hunting- und Untersuchungsprozesses stoßen Sie möglicherweise auf ungewöhnlich oder verdächtig aussehende Abfrageergebnisse. Versehen Sie diese Elemente mit einem Lesezeichen, damit Sie später erneut darauf zugreifen können, z. B. beim Erstellen oder Anreichern eines Incidents für die Untersuchung. Ereignisse wie potenzielle Grundursachen, Anzeichen einer Kompromittierung oder andere wichtige Ereignisse sollten mit einem Lesezeichen versehen werden. Wenn ein Schlüsselereignis, das Sie mit Lesezeichen versehen haben, schwerwiegend genug ist, um eine Untersuchung zu rechtfertigen, eskalieren Sie es zu einem Vorfall.

• Aktivieren Sie in Ihren Ergebnissen die Kontrollkästchen aller Zeilen, die Sie speichern möchten, und wählen Sie Lesezeichen hinzufügen aus. Dies erstellt einen Datensatz für jede markierte Zeile, ein Lesezeichen, der die Zeilenergebnisse und die Abfrage enthält, mit der die Ergebnisse erstellt wurden. Sie können jedem Lesezeichen Ihre eigenen Tags und Notizen hinzufügen.

  • Wie auch bei geplanten Analyseregeln können Sie Ihre Lesezeichen mit Entitätszuordnungen anreichern, um mehrere Entitätstypen und Bezeichner zu extrahieren, sowie mit MITRE ATT&CK-Zuordnungen, um bestimmte Taktiken und Techniken zuzuweisen.
  • Für Lesezeichen verwenden standardmäßig die gleichen Zuordnungen von Entitäten und MITRE ATT&CK-Techniken wie die Hunting-Abfrage, welche die mit Lesezeichen versehenen Ergebnisse liefert.

• Klicken Sie auf der Hauptseite Hunting auf die Registerkarte Lesezeichen, um alle mit Lesezeichen versehenen Ergebnisse anzuzeigen. Fügen Sie Lesezeichen Tags hinzu, um sie für die Filterung zu klassifizieren. Wenn Sie beispielsweise eine Angriffskampagne untersuchen, können Sie ein Tag für die Kampagne erstellen, das Tag allen relevanten Lesezeichen hinzufügen und dann alle Lesezeichen auf Basis der Kampagne filtern.

• Untersuchen Sie ein einzelnes, mit Lesezeichen versehenes Ergebnis, indem Sie das Lesezeichen auswählen und anschließend im Detailbereich auf Untersuchen klicken, um die Untersuchungsumgebung zu öffnen. Sie können auch direkt eine aufgeführte Entität auswählen, um dafür die zugehörige Seite mit den Details anzuzeigen.

  Sie können auch einen Incident auf der Grundlage eines oder mehrerer Lesezeichen erstellen oder einem bereits vorhandenen Incident ein oder mehrere Lesezeichen hinzufügen. Aktivieren Sie das Kontrollkästchen links neben den Lesezeichen, die Sie verwenden möchten, und wählen Sie anschließend Incidentaktionen>Neuen Incident erstellen oder Zu vorhandenem Incident hinzufügen aus. Selektieren und untersuchen Sie den Incident wie gewohnt.

Weitere Informationen zu Lesezeichen finden Sie unter Behalten des Überblicks über Daten beim Hunting mit Azure Sentinel.

Verwenden von Notebooks für Untersuchungen

Wenn Ihre Suche und Nachforschungen komplexer werden, verwenden Sie Microsoft Sentinel Notebooks, um Ihre Aktivitäten mit maschinellem Lernen, Visualisierungen und Datenanalysen zu erweitern.

Notebooks stellen eine Art virtuelle Sandbox bereit, komplett mit eigenem Kernel, in dem Sie eine vollständige Nachforschung durchführen können. Ihr Notebook kann die Rohdaten, den Code, den Sie auf diesen Daten ausführen, die Ergebnisse und ihre Visualisierungen umfassen. Speichern Sie Ihre Notebooks, damit Sie sie für andere freigeben und in Ihrem Unternehmen weiterverwenden können.

Notebooks können hilfreich sein, wenn Ihr Hunting und Ihre Untersuchungen zu umfangreich werden, um sie sich einfach zu merken, die Details anzuzeigen oder wenn Sie Abfragen und Ergebnisse speichern müssen. Um Ihnen das Erstellen und Freigeben von Notebooks zu erleichtern, stellt Microsoft Sentinel Jupyter Notebooks bereit, eine Open-Source-Umgebung zur interaktiven Entwicklung und Datenmanipulation, die direkt in die Notebooks-Seite von Microsoft Sentinel integriert ist.

Weitere Informationen finden Sie unter:

• Aufspüren von Sicherheitsrisiken mit Jupyter Notebook
• Die Jupyter-Projektdokumentation
• Jupyter-Einführungsdokumentation.
• Das Buch Infosec Jupyter
• Real Python Tutorials

In der folgenden Tabelle werden einige Methoden zur Verwendung von Jupyter Notebooks zur Unterstützung Ihrer Prozesse in Microsoft Sentinel beschrieben:

Methode	Beschreibung
Datenpersistenz, Wiederholbarkeit und Rückverfolgung	Wenn Sie mit vielen Abfragen und Resultsets arbeiten, haben Sie wahrscheinlich einige Sackgassen. Sie müssen entscheiden, welche Abfragen und Ergebnisse beibehalten werden sollen und wie die nützlichen Ergebnisse in einem einzelnen Bericht zusammengefasst werden sollen. Verwenden Sie Jupyter Notebooks, um Abfragen und Daten während der Arbeit zu speichern, verwenden Sie Variablen, um Abfragen mit anderen Werten oder Daten erneut auszuführen, oder speichern Sie Ihre Abfragen, um sie bei zukünftigen Untersuchungen erneut auszuführen.
Skripts und Programmierung	Mit Jupyter Notebooks können Sie Ihre Abfragen durch Programmierung ergänzen, einschließlich: - Deklarative Sprachen wie Kusto Query Language (KQL) oder SQL, um Ihre Logik in einer einzigen, möglicherweise komplexen, Anweisung zu kodieren. - Prozedurale Programmiersprachen, um die Logik in einer Reihe von Schritten auszuführen. Teilen Sie Ihre Logik in Schritte auf, um Ihnen zu helfen, Zwischenergebnisse zu sehen und zu debuggen, Funktionen hinzuzufügen, die in der Abfragesprache möglicherweise nicht verfügbar sind, und Teilergebnisse in späteren Verarbeitungsschritten wiederzuverwenden.
Links zu externen Daten	Während Microsoft Sentinel-Tabellen die meisten Telemetrie- und Ereignisdaten enthalten, können Jupyter Notebooks mit allen Daten verknüpft werden, die über Ihr Netz oder aus einer Datei zugänglich sind. Mit Jupyter Notebooks können Sie unter anderem folgende Daten einschließen: – Daten in externen Diensten, die nicht in Ihrem Besitz sind, wie z. B. Geolokalisierungsdaten oder Threat Intelligence-Datenquellen Sensible Daten, die nur innerhalb Ihres Unternehmens gespeichert sind, wie z. B. Personaldatenbanken oder Listen mit wertvollen Objekten – Daten, die Sie noch nicht in die Cloud migriert haben.
Spezialisierte Tools für Datenverarbeitung, maschinelles Lernen und Visualisierung	Jupyter Notebooks bieten weitere Visualisierungen, Bibliotheken für maschinelles Lernen sowie Datenverarbeitungs- und Transformationsfeatures. Verwenden Sie zum Beispiel Jupyter Notebooks mit den folgenden Python Funktionen: - pandas für Datenverarbeitung, Bereinigung und Engineering - Matplotlib, HoloViews, und Plotly für die Visualisierung - NumPyS und SciPy für erweiterte numerische und wissenschaftliche Verarbeitung - Sscikit-learn für maschinelles Lernen - TensorFlow, PyTorch, und Keras für Deep Learning Tipp: Jupyter Notebooks unterstützt mehrere Programmiersprachenkernel. Verwenden Sie magics, um Programmiersprachen innerhalb desselben Notebooks zu mischen, indem Sie die Ausführung einzelner Zellen in einer anderen Programmiersprache erlauben. So können Sie beispielsweise Daten mit einer PowerShell-Skript-Zelle abrufen, die Daten in Python verarbeiten und JavaScript zum Rendern einer Visualisierung verwenden.

MSTIC-, Jupyter- und Python-Sicherheitstools

Das Microsoft Threat Intelligence Center (MSTIC) ist ein Team von Microsoft-Sicherheitsanalysten und -ingenieuren, die Sicherheitserkennungen für verschiedene Microsoft-Plattformen erstellen und an der Identifizierung und Untersuchung von Bedrohungen arbeiten.

MSTIC hat MSTICPy entwickelt, eine Bibliothek für die Suche und Nachforschungen zur Informationssicherheit in Jupyter Notebooks. MSTICPy stellt wiederverwendbare Funktionen bereit, um die Erstellung von Notebooks zu beschleunigen und den Benutzern das Lesen von Notebooks in Microsoft Sentinel zu erleichtern.

Zum Beispiel kann MSTICPy:

• Protokolldaten aus mehreren Quellen abfragen.
• Die Daten mit Bedrohungsdaten, Geolokalisierungen und Azure-Ressourcendaten anreichern.
• Aktivitätsindikatoren (Indicators of Activity, loA) aus Protokollen extrahieren und verschlüsselte Daten entschlüsseln.
• Differenzierte Analysen durchführen, z. B. Erkennung von ungewöhnlichen Sitzungen und Zeitreihenanalyse.
• Daten mit interaktiven Zeitleisten, Prozessbäumen und multidimensionalen Morph Charts visuell darstellen.

MSTICPy kann auch einige zeitsparende Notebook-Tools umfassen, wie z. B. Widgets, die Abfragezeitgrenzen setzen, Elemente aus Listen auswählen und anzeigen und die Notebook-Umgebung konfigurieren.

Weitere Informationen finden Sie unter

• MSTICPy-Dokumentation
• Tutorial: Erste Schritte mit Jupyter-Notebooks und MSTICPy in Microsoft Sentinel
• Erweiterte Konfigurationen für Jupyter Notebooks und MSTICPy in Microsoft Sentinel

Praktische Operatoren und Funktionen

Hunting-Abfragen werden in der Kusto-Abfragesprache (KQL) erstellt. Diese leistungsstarke Abfragesprache mit IntelliSense bietet die Leistungsfähigkeit und Flexibilität, die Sie für die nächste Hunting-Stufe benötigen.

Es ist dieselbe Sprache, die von den Abfragen in Ihren Analyseregeln und an anderer Stelle in Microsoft Sentinel verwendet wird. Weitere Informationen finden Sie unter Erste Schritte mit Protokollabfragen in Azure Monitor.

Die folgenden Operatoren sind bei Hunting-Abfragen für Microsoft Sentinel besonders hilfreich:

• where: Filtert eine Tabelle auf die Teilmenge von Zeilen, die ein Prädikat erfüllen.

• summarize: Erzeugt eine Tabelle, in der der Inhalt der Eingabetabelle aggregiert ist.

• Join – Führt die Zeilen zweier Tabellen zusammen, um eine neue Tabelle zu erzeugen, indem Werte aus den angegebenen Spalten jeder Tabelle zugeordnet werden.

• count: Gibt die Anzahl von Datensätzen in der Eingabedatensatzgruppe zurück.

• top: Gibt die ersten N Datensätze zurück, wobei diese nach den angegebenen Spalten sortiert sind.

• limit: Gibt maximal die angegebene Anzahl von Zeilen zurück.

• project: Wählt die Spalten aus, die einbezogen, umbenannt oder gelöscht werden sollen, und fügt neue berechnete Spalten ein.

• extend: Erstellt berechnete Spalten und fügt diese an das Resultset an.

• makeset: Gibt ein dynamisches(JSON) Array der Menge unterschiedlicher Werte zurück, die ein Ausdruck (Expr) in der Gruppe annimmt.

• find: Sucht nach Zeilen, die einem Prädikat in einer Gruppe von Tabellen entsprechen.

• adx(): Diese Funktion führt ressourcenübergreifende Abfragen für Azure Data Explorer-Datenquellen über die Hunting-Umgebung von Microsoft Sentinel und über Log Analytics aus. Weitere Informationen finden Sie unter Ressourcenübergreifende Abfrage: Azure Data Explorer mithilfe von Azure Monitor.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie eine Bedrohungsuntersuchung mit Microsoft Sentinel ausführen.

Weitere Informationen finden Sie unter:

• Verwenden von Notebooks zur Ermittlung von Anomalien
• Behalten des Überblicks über Daten bei einer Bedrohungssuche

Erfahren Sie anhand eines Beispiels, wie benutzerdefinierte Analyseregeln bei der Überwachung von Zoom mit einem benutzerdefinierten Connector eingesetzt werden.