Durchführen der proaktiven End-to-End-Bedrohungssuche in Microsoft Sentinel

  • Artikel
  • Gilt für::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Die proaktive Bedrohungssuche ist ein Prozess, bei dem Sicherheitsanalysten nach nicht erkannten Bedrohungen und schädlichen Verhaltensweisen suchen. Sie erstellen hierzu eine Hypothese, durchsuchen Daten und validieren die Hypothese, um zu bestimmen, für welche Ergebnisse Maßnahmen ergriffen werden. Diese Maßnahmen können das Erstellen neuer Erkennungen oder Threat Intelligence oder das Einrichten eines neuen Incidents umfassen.

Verwenden Sie die End-to-End-Sucherfahrung in Microsoft Sentinel, für:

  • Proaktive Suche basierend auf bestimmten MITRE-Techniken, potenziell schädlichen Aktivitäten, aktuellen Bedrohungen oder einer eigenen benutzerdefinierten Hypothese.
  • Verwenden von von Sicherheitsexperten generierten oder benutzerdefinierten Huntingabfragen, um schädliches Verhalten zu untersuchen.
  • Durchführen von Suchvorgängen mithilfe mehrerer Registerkarten für persistente Abfragen, mit denen Sie den Kontext über einen längeren Zeitraum beibehalten können.
  • Erfassen von Beweisen, Untersuchen von UEBA-Quellen und Kommentieren der Ergebnisse mithilfe von suchspezifischen Lesezeichen.
  • Kommentare zum gemeinsamen Bearbeiten und Dokumentieren der Ergebnisse.
  • Reagieren auf Ergebnisse, indem Sie neue Analyseregeln, neue Incidents und neue Bedrohungsindikatoren erstellen und Playbooks ausführen.
  • Verfolgen von neuen, aktiven und geschlossenen Suchen zentral an einem Ort.
  • Anzeigen von Metriken basierend auf überprüften Hypothesen und konkreten Ergebnissen.

Wichtig

Microsoft Sentinel ist als Teil der Public Preview für die einheitliche Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Voraussetzungen

Um die Suchfunktion verwenden zu können, muss Ihnen entweder eine integrierte Microsoft Sentinel-Rolle oder eine benutzerdefinierte Azure RBAC-Rolle zugewiesen sein. Dafür haben Sie die folgenden Möglichkeiten:

Definieren der Hypothese

Das Definieren einer Hypothese ist ein andauernder, flexibler Prozess und kann jeden Aspekt umfassen, den Sie überprüfen möchten. Beispiele für häufig verwendete Hypothesen:

  • Verdächtiges Verhalten: Untersuchen von potenziell schädlichen Aktivitäten, die in Ihrer Umgebung sichtbar sind, um festzustellen, ob es sich um einen Angriff handelt.
  • Neue Bedrohungskampagne: Suche nach bestimmten Arten schädlicher Aktivitäten auf Grundlage neu erkannter Bedrohungsakteure, -techniken oder Sicherheitsrisiken. Diese Anwendung ist Ihnen möglicherweise aus Nachrichten zu Sicherheitsthemen bekannt.
  • Erkennungslücken: Erhöhen der Erkennungsabdeckung mithilfe der MITRE ATT&CK-Karte, um Lücken zu identifizieren.

Mit Microsoft Sentinel können Sie flexibel die richtige Gruppe von Suchabfragen festlegen, um Ihre Hypothese zu prüfen. Wenn Sie eine Suche erstellen, initiieren Sie sie mit vordefinierten Huntingabfragen, oder fügen Sie im weiteren Verlauf Abfragen hinzu. Hier finden Sie Empfehlungen für vorausgewählte Abfragen, die auf den gängigsten Hypothesen basieren.

Hypothese: Verdächtiges Verhalten

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Bedrohungsmanagement die Option Hunting aus.
    Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Bedrohungsmanagement>Hunting aus.

  2. Wählen Sie die Registerkarte Abfragen aus. Führen Sie zum Identifizieren von bösartigem Verhalten alle Abfragen aus.

  3. Wählen Sie Alle Abfragen ausführen aus > Warten Sie, bis die Abfragen ausgeführt werden. Dieser Vorgang kann einige Zeit in Anspruch nehmen.

  4. Wählen Sie Filter hinzufügen>Ergebnisse aus > Deaktivieren Sie die Kontrollkästchen „!“, „N/A“, „-“ und „0“ > Klicken Sie auf AnwendenScreenshot der in Schritt 3 beschriebenen Filter.

  5. Sortieren Sie diese Ergebnisse nach der Spalte Ergebnis Delta, um zu sehen, was sich zuletzt geändert hat. Diese Ergebnisse geben eine erste Orientierung für die weitere Suche.

Hypothese: Neue Bedrohungskampagne

Der Inhaltshub bietet bedrohungskampagnen- und domänenbasierte Lösungen für die Suche nach bestimmten Angriffen. In den folgenden Schritten installieren Sie einen dieser Lösungstypen.

  1. Wechseln Sie zum Inhaltshub.

  2. Installieren Sie eine Bedrohungskampagne oder domänenbasierte Lösung wie die Log4J Vulnerability Detection oder Apache Tomcat.

    Screenshot des Inhaltshubs in der Rasteransicht mit ausgewählter Log4J- und Apache-Lösung.

  3. Wechseln Sie nach der Installation der Lösung in Microsoft Sentinel zu Suche.

  4. Wählen Sie die Registerkarte Abfragen aus.

  5. Suchen Sie nach Lösungsname oder filtern Sie nach Quellname der Lösung.

  6. Wählen Sie die Abfrage und Abfrage ausführen aus.

Hypothese: Erkennungslücken

Die MITRE ATT&CK-Karte hilft Ihnen dabei, bestimmte Lücken in Ihrer Erkennungsabdeckung zu identifizieren. Sie können vordefinierte Huntingabfragen für bestimmte MITRE ATT&CK-Techniken als Ausgangspunkt verwenden, um eine neue Erkennungslogik zu entwickeln.

  1. Navigieren Sie zur Seite MITRE ATT&CK (Vorschau).

  2. Heben Sie die Auswahl von Elementen im Dropdownmenü „Aktiv“ auf.

  3. Wählen Sie Hunting-Abfragen im Filter Simuliert aus, um zu sehen, welchen Techniken Huntingabfragen zugeordnet sind.

    Screenshot der Seite „MITRE ATT&CK“ mit ausgewählter Option für simulierte Huntingabfragen.

  4. Wählen Sie die Karte mit der gewünschten Technik aus.

  5. Wählen Sie unten im Detailbereich den Link Anzeigen neben Hunting-Abfragen aus. Dieser Link führt Sie zu einer gefilterten Ansicht der Registerkarte Abfragen auf der Seite Hunting, basierend auf der von Ihnen ausgewählten Technik.

    Screenshot der Kartenansicht „MITRE ATT&CK“ mit dem Link zum Anzeigen von Huntingabfragen.

  6. Wählen Sie alle Abfragen für diese Technik aus.

Erstellen einer Suche

Es gibt zwei Hauptverfahren zum Erstellen einer Suche.

  1. Wenn Sie mit einer Hypothese begonnen haben, bei der Sie Abfragen ausgewählt haben, wählen Sie im Dropdownmenü Suchaktionen die Option >Neue Suche erstellen aus. Alle von Ihnen ausgewählten Abfragen werden für diese neue Suche geklont.

    Screenshot mit ausgewählten Abfragen und der ausgewählten Menüoption „Erstellen einer neuen Suche“.

  2. Wenn Sie sich noch nicht für bestimmte Abfragen entschieden haben, wählen Sie die Registerkarte Suchen (Vorschau)>Neue Suche aus, um eine leere Suche zu erstellen.

    Screenshot des Menüs zum Erstellen einer leeren Suche ohne vorausgewählte Abfragen.

  3. Füllen Sie den Namen und die optionalen Felder für die Suche aus. In der Beschreibung können Sie Ihre Hypothese als Text formulieren. Im Pulldownmenü Hypothese legen Sie den Status Ihrer Arbeitshypothese fest.

  4. Wählen Sie Erstellen aus, um zu beginnen.

    Screenshot der Sucherstellungsseite mit Name, Beschreibung, Besitzer, Status und Hypothesenstatus der Suche.

Anzeigen von Details zur Suche

  1. Wählen Sie die Registerkarte Suchen (Vorschau) aus, um die neue Suche anzuzeigen.

  2. Wählen Sie den Suchlink anhand des Namens aus, um die Details anzuzeigen und Maßnahmen zu ergreifen.

    Screenshot mit der neuen Suche auf der Registerkarte „Hunting“.

  3. Zeigen Sie den Detailbereich mit Name der Suche, Beschreibung, Inhalt, Zeitpunkt der letzten Aktualisierung und Erstellungszeitpunkt an.

  4. Beachten Sie die Registerkarten Abfragen, Lesezeichen und Entitäten.

    Screenshot der Suchdetails.

Registerkarte „Abfragen“

Die Registerkarte Abfragen enthält für diese Suche spezifische Huntingabfragen. Diese Abfragen sind Klone der Originale, unabhängig von allen anderen im Arbeitsbereich. Sie können ohne Auswirkung auf die Suchabfragen oder Abfragen in anderen Suchen aktualisiert oder gelöscht werden.

Hinzufügen einer Abfrage zur Suche

  1. Wählen Sie Abfrageaktionen>Abfragen zu Suche hinzufügen aus.
  2. Wählen Sie die Abfragen aus, die Sie hinzufügen möchten. Screenshot des Abfrageaktionsmenüs auf der Registerkartenseite „Abfragen“.

Ausführen von Abfragen

  1. Klicken Sie auf Alle Abfragen ausführen, oder wählen Sie bestimmte Abfragen aus, und klicken Sie auf Ausgewählte Abfragen ausführen.
  2. Mit Abbrechen können Sie die Ausführung der Abfrage jederzeit abbrechen.

Verwalten von Abfragen

  1. Klicken Sie mit der rechten Maustaste auf eine Abfrage, und wählen Sie im Kontextmenü eine der folgenden Optionen aus:

    • Ausführen
    • Bearbeiten
    • Klonen
    • Löschen
    • Erstellen der Analyseregel

    Screenshot der Optionen im Kontextmenü auf der Registerkarte „Abfragen“ für eine Suche.

    Diese Optionen verhalten sich genauso wie die vorhandene Abfragetabelle auf der Seite Hunting. Allerdings gelten die Aktionen nur innerhalb dieser Suche. Wenn Sie sich für die Erstellung einer Analyseregel entscheiden, werden der Name, die Beschreibung und die KQL-Abfrage in der neuen Regel vorab ausgefüllt. Es wird ein Link erstellt, um die neue Analyseregel unter Verwandte Analyseregeln anzuzeigen.

    Screenshot der Suchdetails mit zugehöriger Analyseregel.

Anzeigen der Ergebnisse

Mit diesem Feature können Sie Ergebnisse von Huntingabfragen in der Log Analytics-Suchumgebung anzeigen. Hiervon ausgehend können Sie Ihre Ergebnisse analysieren, die Abfragen verfeinern und Lesezeichen erstellen, um Informationen aufzuzeichnen und Ergebnisse einzelner Zeilen weiter zu untersuchen.

  1. Wählen Sie die Schaltfläche Ergebnisse anzeigen aus.
  2. Wenn Sie zu einem anderen Bereich des Microsoft Sentinel-Portals wechseln und dann von der Suchseite zurück zur LA-Protokollsuche navigieren, bleiben alle LA-Abfrageregisterkarten erhalten.
  3. Diese LA-Abfrageregisterkarten gehen verloren, wenn Sie die Browserregisterkarte schließen. Wenn Sie Abfragen langfristig beibehalten möchten, müssen Sie die jeweilige Abfrage speichern, eine neue Huntingabfrage erstellen oder sie in einen Kommentar kopieren, um sie später in der Suche zu verwenden.

Hinzufügen eines Lesezeichens

Wenn Sie interessante Ergebnisse oder wichtige Datenzeilen finden, fügen Sie diese Ergebnisse der Suche hinzu, indem Sie ein Lesezeichen erstellen. Weitere Informationen finden Sie unter Verwenden von Hunting-Lesezeichen für Datenuntersuchungen.

  1. Wählen Sie die gewünschte Zeile oder Zeilen aus.

  2. Wählen Sie oberhalb der Ergebnistabelle Textmarke hinzufügen aus. Screenshot mit dem Bereich „Lesezeichen hinzufügen“ und ausgefüllten optionalen Feldern.

  3. Benennen Sie das Lesezeichen.

  4. Geben Sie einen Wert für die Ereigniszeitspalte an.

  5. Ordnen Sie Entitätsbezeichner zu.

  6. Legen Sie MITRE-Taktiken und -Techniken fest.

  7. Fügen Sie Tags und Notizen hinzu.

    In den Lesezeichen werden die spezifischen Zeilenergebnisse, die KQL-Abfrage und der Zeitbereich gespeichert, mit denen das Ergebnis generiert wurde.

  8. Wählen Sie Erstellen aus, um das Lesezeichen der Suche hinzuzufügen.

Anzeigen von Lesezeichen

  1. Navigieren Sie zur Lesezeichenregisterkarte der Suche, um Ihre Lesezeichen anzuzeigen.

    Screenshot eines Lesezeichens mit allen Details und geöffnetem Aktionsmenü für die Suche.

  2. Wählen Sie das gewünschte Lesezeichen aus, und führen Sie die folgenden Aktionen aus:

    • Wählen Sie Entitätslinks aus, um die entsprechende UEBA-Entitätsseite anzuzeigen.
    • Zeigen Sie Rohergebnisse, Tags und Notizen an.
    • Wählen Sie Quellabfrage anzeigen aus, um die Quellabfrage in Log Analytics anzuzeigen.
    • Wählen Sie Lesezeichenprotokolle anzeigen aus, um den Inhalt des Lesezeichens in der Log Analytics-Tabelle „Hunting-Lesezeichen“ anzuzeigen.
    • Wählen Sie die Schaltfläche Untersuchen aus, um das Lesezeichen und die zugehörigen Entitäten im Untersuchungsdiagramm anzuzeigen.
    • Wählen Sie die Schaltfläche Bearbeiten aus, um die Tags, MITRE-Taktiken und -Techniken sowie Notizen zu aktualisieren.

Interagieren mit Entitäten

  1. Navigieren Sie zur Registerkarte Entitäten für Ihre Suche, um die in der Suche enthaltenen Entitäten anzuzeigen, zu suchen und zu filtern. Diese Liste wird aus der Liste der Entitäten in den Lesezeichen generiert. Auf der Registerkarte „Entitäten“ werden doppelte Einträge automatisch aufgelöst.

  2. Wählen Sie Entitätsnamen aus, um die entsprechende UEBA-Entitätsseite aufzurufen.

  3. Klicken Sie mit der rechten Maustaste auf eine Entität, um geeignete Aktionen für die Entitätstypen auszuführen, z. B. Hinzufügen einer IP-Adresse zu TI oder Ausführen eines spezifischen Playbooks für den Entitätstyp.

    Screenshot des Kontextmenüs für Entitäten.

Hinzufügen von Kommentaren

Kommentare sind ideal, um mit Kollegen zusammenzuarbeiten, Notizen zu speichern und Ergebnisse zu dokumentieren.

  1. auswählen

  2. Geben Sie Ihren Kommentar in das Bearbeitungsfeld ein, und formatieren Sie ihn.

  3. Fügen Sie ein Abfrageergebnis als Link für Projektmitarbeiter hinzu, damit sie den Kontext schnell verstehen.

  4. Wählen Sie die Schaltfläche Kommentieren aus, um Ihre Kommentare anzuwenden.

    Screenshot des Bearbeitungsfelds für Kommentare mit LA-Abfrage als Link.

Erstellen von Vorfällen

Es gibt zwei Optionen für die Erstellung von Incidents während der Suche.

Option 1: Verwenden von Lesezeichen

  1. Wählen Sie ein Lesezeichen oder mehrere Lesezeichen aus.

  2. Wählen Sie die Schaltfläche „Vorfallaktionen“ aus.

  3. Wählen Sie „Neuen Vorfall erstellen“ oder „Zu vorhandenem Incident hinzufügen“ aus.

    Screenshot des Aktionsmenüs für Incidents im Lesezeichenfenster.

    • Folgen Sie bei der Option Neuen Vorfall erstellen den Anweisungen. Die Registerkarte „Lesezeichen“ ist bereits mit Ihren ausgewählten Lesezeichen ausgefüllt.
    • Wählen Sie bei Zu vorhandenem Incident hinzufügen den Incident aus, und klicken Sie auf die Schaltfläche Annehmen.

Option 2: Verwenden von Aktionen für Suchen

  1. Wählen Sie das Menü Suchen>Vorfall erstellen aus, und folgen Sie den Anweisungen.

    Screenshot des Aktionsmenüs für Suchen im Lesezeichenfenster.

  2. Verwenden Sie im Schritt Lesezeichen hinzufügen die Aktion Lesezeichen hinzufügen, um Lesezeichen aus der Suche auszuwählen, die dem Incident hinzugefügt werden sollen. Sie können nur Lesezeichen auswählen, die noch keinem Incident zugewiesen wurden.

  3. Nachdem der Incident erstellt wurde, wird er in der Liste Zugehörige Vorfälle für diese Suche verknüpft.

Aktualisierungsstatus

  1. Wenn Sie genügend Beweise erfasst haben, um Ihre Hypothese zu bestätigen oder zurückzuweisen, aktualisieren Sie den Hypothesenstatus.

    Screenshot mit Auswahl im Statusmenü der Hypothese.

  2. Wenn alle Aktionen im Zusammenhang mit der Suche abgeschlossen sind, z. B. das Erstellen von Analyseregeln und Incidents oder das Hinzufügen von Kompromittierungsindikatoren (Indicators of Compromise, IOCs) zu TI, schließen Sie die Suche.

    Screenshot mit Auswahl im Statusmenü der Suche.

Diese Statusupdates werden auf der Huntinghauptseite angezeigt und zum Nachverfolgen von Metriken verwendet.

Nachverfolgen von Metriken

Verfolgen Sie greifbare Ergebnisse der Huntingaktivität mithilfe der Metrikleiste auf der Registerkarte Suchen. Metriken zeigen die Anzahl überprüfter Hypothesen, erstellter neuer Incidents und erstellter neuer Analyseregeln. Anhand dieser Ergebnisse können Sie Ziele setzen oder das Erreichen von Meilensteinen Ihres Huntingprogramms würdigen.

Screenshot mit Huntingmetrikdaten.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie eine Bedrohungsuntersuchung mit der Huntingfunktion in Microsoft Sentinel ausführen.

Weitere Informationen finden Sie unter: