Führen Sie die proaktive End-to-End-Bedrohungssuche in Microsoft Sentinel

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Die proaktive Bedrohungssuche ist ein Prozess, bei dem Sicherheitsanalysten nach nicht erkannten Bedrohungen und böswilligen Verhaltensweisen suchen. Indem sie eine Hypothese erstellen, Daten durchsuchen und diese Hypothese überprüfen, bestimmen sie, worauf sie reagieren sollen. Aktionen können das Erstellen neuer Erkennungen, neue Threat Intelligence oder das Einrichten eines neuen Incidents umfassen.

Verwenden Sie die End-to-End-Hunting-Erfahrung in Microsoft Sentinel für Folgendes:

  • Proaktive Suche basierend auf bestimmten MITRE-Techniken, potenziell schädlichen Aktivitäten, aktuellen Bedrohungen oder Ihrer eigenen benutzerdefinierten Hypothese.
  • Verwenden Sie von Sicherheitsforschern generierte Huntingabfragen oder benutzerdefinierte Huntingabfragen, um schädliches Verhalten zu untersuchen.
  • Führen Sie Ihre Suchvorgänge mithilfe mehrerer Registerkarten für persistente Abfragen durch, mit denen Sie den Kontext im Laufe der Zeit beibehalten können.
  • Sammeln Sie Beweise, untersuchen Sie UEBA-Quellen, und kommentieren Sie Ihre Ergebnisse mit bestimmten Lesezeichen.
  • Arbeiten Sie zusammen, und dokumentieren Sie Ihre Ergebnisse mit Kommentaren.
  • Reagieren Sie auf Ergebnisse, indem Sie neue Analyseregeln, neue Vorfälle, neue Bedrohungsindikatoren und playbooks erstellen.
  • Verfolgen Sie Ihre neuen, aktiven und geschlossenen Jagden an einem Ort.
  • Anzeigen von Metriken basierend auf überprüften Hypothesen und konkreten Ergebnissen.

Wichtig

Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.

Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.

Voraussetzungen

Um das Feature "Huntings" verwenden zu können, muss Ihnen entweder eine integrierte Microsoft Sentinel Rolle oder eine benutzerdefinierte Azure RBAC-Rolle zugewiesen werden. Sie haben folgende Möglichkeiten:

Weitere Informationen finden Sie unter Rollen und Berechtigungen in der Microsoft Sentinel-Plattform.

Definieren Ihrer Hypothese

Das Definieren einer Hypothese ist ein offener, flexibler Prozess, der jede Idee umfassen kann, die Sie überprüfen möchten. Häufige Hypothesen sind:

  • Verdächtiges Verhalten: Untersuchen Sie potenziell schädliche Aktivitäten, die in Ihrer Umgebung sichtbar sind, um festzustellen, ob ein Angriff stattfindet.
  • Neue Bedrohungskampagne: Suchen Sie nach Arten bösartiger Aktivitäten, die auf neu entdeckten Bedrohungsakteuren, Techniken oder Sicherheitsrisiken basieren. Dies könnte etwas sein, von dem Sie in einem Sicherheitsnachrichtenartikel gehört haben.
  • Erkennungslücken: Erhöhen Sie Ihre Erkennungsabdeckung mithilfe der MITRE ATT&CK-Karte, um Lücken zu identifizieren.

Microsoft Sentinel bietet Ihnen Flexibilität, da Sie den richtigen Satz von Huntingabfragen auf null setzen, um Ihre Hypothese zu untersuchen. Wenn Sie eine Suche erstellen, initiieren Sie sie mit vorab ausgewählten Huntingabfragen, oder fügen Sie Abfragen hinzu, während Sie fortschritten. Hier finden Sie Empfehlungen für vorab ausgewählte Abfragen, die auf den häufigsten Hypothesen basieren.

Hypothese : Verdächtiges Verhalten

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Bedrohungsverwaltungdie Option Hunting aus.
    Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel>Bedrohungsverwaltungssuche>aus.

  2. Wählen Sie die Registerkarte Abfragen aus. Um potenziell schädliche Verhaltensweisen zu identifizieren, führen Sie alle Abfragen aus.

  3. Wählen Sie Alle Abfragen> ausführen aus, bis die Abfragen ausgeführt werden. Dieser Vorgang kann eine Weile dauern.

  4. Wählen Sie Filter> hinzufügenErgebnisse> deaktivieren Sie die Kontrollkästchen "!", "N/A", "-" und "0" werte >AnwendenScreenshot zeigt den in Schritt 3 beschriebenen Filter.

  5. Sortieren Sie diese Ergebnisse nach der Spalte Ergebnisdelta , um zu sehen, was sich zuletzt geändert hat. Diese Ergebnisse bieten eine erste Anleitung für die Suche.

Hypothese – Neue Bedrohungskampagne

Der Content Hub bietet Bedrohungskampagnen und domänenbasierte Lösungen für die Suche nach bestimmten Angriffen. In den folgenden Schritten installieren Sie eine dieser Arten von Lösungen.

  1. Wechseln Sie zum Inhaltshub.

  2. Installieren Sie eine Bedrohungskampagne oder domänenbasierte Lösung wie die Log4J-Sicherheitsrisikoerkennung oder Apache Tomcat.

    Screenshot: Inhaltshub in der Rasteransicht mit ausgewählten Log4J- und Apache-Lösungen

  3. Navigieren Sie nach der Installation der Lösung in Microsoft Sentinel zu Hunting.

  4. Wählen Sie die Registerkarte Abfragen aus.

  5. Suchen Sie nach Projektmappenname, oder filtern Sie nach Dem Quellnamen der Lösung.

  6. Wählen Sie die Abfrage und Abfrage ausführen aus.

Hypothese– Erkennungslücken

Die MITRE ATT&CK-Karte hilft Ihnen, bestimmte Lücken in Ihrer Erkennungsabdeckung zu identifizieren. Verwenden Sie vordefinierte Huntingabfragen für bestimmte MITRE ATT&CK-Techniken als Ausgangspunkt für die Entwicklung einer neuen Erkennungslogik.

  1. Navigieren Sie zur Seite MITRE ATT&CK (Vorschau) .

  2. Heben Sie die Auswahl von Elementen im Dropdownmenü Aktiv auf.

  3. Wählen Sie hunting queries (Hunting queries ) im Filter Simulated (Simuliert) aus, um zu sehen, welchen Techniken Hunting-Abfragen zugeordnet sind.

    Screenshot: Seite

  4. Wählen Sie die Karte mit der gewünschten Technik aus.

  5. Wählen Sie unten im Detailbereich neben Hunting queries (Abfragen suchen) den Link Anzeigen aus. Dieser Link führt Sie zu einer gefilterten Ansicht der Registerkarte Abfragen auf der Seite Hunting basierend auf der von Ihnen ausgewählten Technik.

    Screenshot der Ansicht MITRE ATT&CK Karte mit dem Link hunting queries view

  6. Wählen Sie alle Abfragen für diese Technik aus.

Erstellen einer Jagd

Es gibt zwei primäre Möglichkeiten, eine Jagd zu erstellen.

  1. Wenn Sie mit einer Hypothese begonnen haben, bei der Sie Abfragen ausgewählt haben, wählen Sie das Dropdownmenü >JagdaktionenNeue Suche erstellen aus. Alle von Ihnen ausgewählten Abfragen werden für diese neue Suche geklont.

    Screenshot: Ausgewählte Abfragen und ausgewählte Menüoption

  2. Wenn Sie sich noch nicht für Abfragen entschieden haben, wählen Sie die Registerkarte >Hunts (Vorschau)Neue Jagd aus, um eine leere Suche zu erstellen.

    Screenshot: Menü zum Erstellen einer leeren Suche ohne vorab ausgewählte Abfragen

  3. Füllen Sie den Namen der Suche und optionale Felder aus. Die Beschreibung ist ein guter Ort, um Ihre Hypothese zu verbalisieren. Im Pulldownmenü Hypothesen legen Sie die status Ihrer Arbeitshypothese fest.

  4. Wählen Sie Erstellen aus, um zu beginnen.

    Screenshot der Seite zum Erstellen der Suche mit Huntname, Beschreibung, Besitzer, status und Hypothesenzustand.

Anzeigen von Huntdetails

  1. Wählen Sie die Registerkarte Hunts (Vorschau) aus, um Ihre neue Jagd anzuzeigen.

  2. Wählen Sie den Link für die Suche anhand des Namens aus, um die Details anzuzeigen und Aktionen auszuführen.

    Screenshot: Neue Suche auf der Registerkarte

  3. Zeigen Sie den Detailbereich mit Dem Namen der Suche, Beschreibung, Inhalt, Zeitpunkt der letzten Aktualisierung und Erstellungszeit an.

  4. Beachten Sie die Registerkarten für Abfragen, Lesezeichen und Entitäten.

    Screenshot: Details zur Suche

Registerkarte "Abfragen"

Die Registerkarte Abfragen enthält spezifische Huntingabfragen für diese Suche. Diese Abfragen sind Klone der Originale, unabhängig von allen anderen im Arbeitsbereich. Aktualisieren oder löschen Sie sie, ohne sich auf den Gesamtsatz von Huntingabfragen oder Abfragen in anderen Huntings zu auswirken.

Hinzufügen einer Abfrage zur Suche

  1. Wählen Sie Abfrageaktionen>abfragen zur Suche hinzufügen aus.
  2. Wählen Sie die Abfragen aus, die Sie hinzufügen möchten. Screenshot: Menü

Ausführen von Abfragen

  1. Wählen Sie Alle Abfragen ausführen oder bestimmte Abfragen aus, und wählen Sie Ausgewählte Abfragen ausführen aus.
  2. Wählen Sie Abbrechen aus, um die Abfrageausführung jederzeit abzubrechen.

Verwalten von Abfragen

  1. Klicken Sie mit der rechten Maustaste auf eine Abfrage, und wählen Sie im Kontextmenü eine der folgenden Optionen aus:

    • Run
    • Bearbeiten
    • Clone
    • Löschen
    • Erstellen einer Analyseregel

    Screenshot: Kontextmenüoptionen auf der Registerkarte

    Diese Optionen verhalten sich genau wie die vorhandene Abfragetabelle auf der Seite Hunting , mit der Ausnahme, dass die Aktionen nur innerhalb dieser Suche gelten. Wenn Sie sich für die Erstellung einer Analyseregel entscheiden, werden der Name, die Beschreibung und die KQL-Abfrage bereits in der Erstellung der neuen Regel aufgefüllt. Es wird ein Link erstellt, um die neue Analyseregel unter Verwandte Analyseregeln anzuzeigen.

    Screenshot: Details zur Suche mit der zugehörigen Analyseregel

Ergebnisse anzeigen

Mit diesem Feature können Sie Ergebnisse von Suchabfragen in der Log Analytics-Suchumgebung anzeigen. Analysieren Sie von hier aus Ihre Ergebnisse, verfeinern Sie Ihre Abfragen, und erstellen Sie Lesezeichen , um Informationen aufzuzeichnen und einzelne Zeilenergebnisse weiter zu untersuchen.

  1. Wählen Sie die Schaltfläche Ergebnisse anzeigen aus.
  2. Wenn Sie zu einem anderen Teil des Microsoft Sentinel-Portals wechseln und dann von der Seite "Suche" zurück zur LA-Protokollsuche navigieren, bleiben alle La La-Abfrageregisterkarten erhalten.
  3. Diese LA-Abfrageregisterkarten gehen verloren, wenn Sie die Browserregisterkarte schließen. Wenn Sie die Abfragen langfristig beibehalten möchten, müssen Sie die Abfrage speichern, eine neue Huntingabfrage erstellen oder sie in einen Kommentar kopieren , um sie später in der Suche zu verwenden.

Hinzufügen eines Lesezeichens

Wenn Sie interessante Ergebnisse oder wichtige Datenzeilen finden, fügen Sie diese Ergebnisse der Suche hinzu, indem Sie ein Lesezeichen erstellen. Weitere Informationen finden Sie unter Verwenden von Suchmarken für Datenuntersuchungen.

  1. Wählen Sie die gewünschte Zeile oder Zeilen aus.

  2. Wählen Sie oberhalb der Ergebnistabelle Lesezeichen hinzufügen aus. Screenshot: Bereich

  3. Benennen Sie das Lesezeichen.

  4. Legen Sie die Spalte "Ereigniszeit" fest.

  5. Zuordnen von Entitätsbezeichnern.

  6. Legen Sie MITRE-Taktiken und -Techniken fest.

  7. Fügen Sie Tags hinzu, und fügen Sie Notizen hinzu.

    Die Lesezeichen behalten die spezifischen Zeilenergebnisse, die KQL-Abfrage und den Zeitbereich bei, die das Ergebnis generiert haben.

  8. Wählen Sie Erstellen aus, um das Lesezeichen der Suche hinzuzufügen.

Lesezeichen anzeigen

  1. Navigieren Sie zur Registerkarte Lesezeichen der Jagd, um Ihre Lesezeichen anzuzeigen.

    Screenshot: Lesezeichen mit allen Details und geöffnetem Aktionsmenü

  2. Wählen Sie ein gewünschtes Lesezeichen aus, und führen Sie die folgenden Aktionen aus:

    • Wählen Sie Entitätslinks aus, um die entsprechende UEBA-Entitätsseite anzuzeigen.
    • Unformatierte Ergebnisse, Tags und Notizen anzeigen.
    • Wählen Sie Quellabfrage anzeigen aus, um die Quellabfrage in Log Analytics anzuzeigen.
    • Wählen Sie Lesezeichenprotokolle anzeigen aus, um den Inhalt der Lesezeichen in der Log Analytics-Suchmarkentabelle anzuzeigen.
    • Wählen Sie die Schaltfläche Untersuchen aus, um das Lesezeichen und die zugehörigen Entitäten im Untersuchungsdiagramm anzuzeigen.
    • Wählen Sie die Schaltfläche Bearbeiten aus, um die Tags, MITRE-Taktiken, -Techniken und -Notizen zu aktualisieren.

Interagieren mit Entitäten

  1. Navigieren Sie zur Registerkarte Entitäten Ihrer Jagd, um die in ihrer Suche enthaltenen Entitäten anzuzeigen, zu suchen und zu filtern. Diese Liste wird aus der Liste der Entitäten in den Lesezeichen generiert. Auf der Registerkarte Entitäten werden doppelte Einträge automatisch aufgelöst.

  2. Wählen Sie Entitätsnamen aus, um die entsprechende UEBA-Entitätsseite zu besuchen.

  3. Klicken Sie mit der rechten Maustaste auf die Entität, um geeignete Aktionen für die Entitätstypen auszuführen, z. B. das Hinzufügen einer IP-Adresse zu TI oder das Ausführen eines entitätstypspezifischen Playbooks.

    Screenshot: Kontextmenü für Entitäten

Kommentare hinzufügen

Kommentare sind ein hervorragender Ort, um mit Kollegen zusammenzuarbeiten, Notizen beizubehalten und Ergebnisse zu dokumentieren.

  1. Auswählen

  2. Geben Sie ihren Kommentar in das Bearbeitungsfeld ein, und formatieren Sie sie.

  3. Fügen Sie ein Abfrageergebnis als Link für Projektmitarbeiter hinzu, um den Kontext schnell zu verstehen.

  4. Wählen Sie die Schaltfläche Kommentar aus, um Ihre Kommentare anzuwenden.

    Screenshot: Kommentarbearbeitungsfeld mit LA-Abfrage als Link

Erstellen von Incidents

Es gibt zwei Optionen für die Erstellung von Incidents während der Suche.

Option 1: Verwenden Sie Lesezeichen.

  1. Wählen Sie ein Lesezeichen oder Lesezeichen aus.

  2. Wählen Sie die Schaltfläche Incidentaktionen aus.

  3. Wählen Sie Neuen Incident erstellen oder Zu vorhandenem Incident hinzufügen aus.

    Screenshot: Menü

    • Führen Sie für Neuen Incident erstellen die geführten Schritte aus. Die Registerkarte Lesezeichen ist bereits mit Ihren ausgewählten Lesezeichen aufgefüllt.
    • Wählen Sie unter Zu vorhandenem Incident hinzufügen den Incident und dann die Schaltfläche Akzeptieren aus.

Option 2: Verwenden Sie die Huntingaktionen.

  1. Wählen Sie das Menü > Huntings ActionsCreate incident (Incident erstellen) aus, und führen Sie die geführten Schritte aus.

    Screenshot des Menüs

  2. Verwenden Sie während des Schritts Lesezeichen hinzufügen die Aktion Lesezeichen hinzufügen , um Lesezeichen aus der Suche auszuwählen, die dem Incident hinzugefügt werden sollen. Sie sind auf Lesezeichen beschränkt, die keinem Incident zugewiesen sind.

  3. Nachdem der Incident erstellt wurde, wird er in der Liste Verwandte Vorfälle für diese Suche verknüpft.

Status aktualisieren

  1. Wenn Sie genügend Beweise erfasst haben, um Ihre Hypothese zu überprüfen oder für ungültig zu erklären, aktualisieren Sie Ihren Hypothesenzustand.

    Screenshot: Auswahl des Menüs

  2. Wenn alle Aktionen im Zusammenhang mit der Suche abgeschlossen sind, z. B. das Erstellen von Analyseregeln, Incidents oder das Hinzufügen von Gefährdungsindikatoren (INDICATORS, IOCs) zu TI, schließen Sie die Suche.

    Screenshot: Auswahl des Menüs

Diese status Updates sind auf der Hauptseite Hunting sichtbar und werden zum Nachverfolgen von Metriken verwendet.

Nachverfolgen von Metriken

Verfolgen Sie greifbare Ergebnisse der Hunting-Aktivität mithilfe der Metrikleiste auf der Registerkarte Jagden nach. Metriken zeigen die Anzahl der überprüften Hypothesen, neu erstellten Incidents und neu erstellten Analyseregeln an. Verwenden Sie diese Ergebnisse, um Ziele zu setzen oder Meilensteine Ihres Huntingprogramms zu feiern.

Screenshot: Huntingmetriken

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie eine Hunting-Untersuchung mit dem Feature "Jagden" in Microsoft Sentinel ausführen.

Weitere Informationen finden Sie unter:

  • Last updated on