Az adatok nyomon követése a vadászat során a Microsoft Sentinel használatával
A fenyegetéskeresés általában a naplóadatok hegyeinek áttekintését igényli, és rosszindulatú viselkedésre utaló bizonyítékokat keres. Ebben a folyamatban a nyomozók olyan eseményeket találnak, amelyeket meg szeretnének emlékezni, újra meg kell tekinteniük és elemezniük a lehetséges hipotézisek érvényesítése és a kompromisszum teljes történetének megértése részeként.
A Microsoft Sentinel könyvjelzőinek keresésével ezt megteheti a Microsoft Sentinel – Naplók szolgáltatásban futtatott lekérdezések és az Ön által relevánsnak ítélt lekérdezési eredmények megőrzésével. Megjegyzések és címkék hozzáadásával emellett a környezettel kapcsolatos megfigyeléseit is feljegyezheti és lehivatkozhatja. A könyvjelzővel ellátott adatokat Ön és csapata is láthatja a könnyebb együttműködés érdekében.
Most már azonosíthatja és kezelheti a MITRE ATT&CK technika lefedettségének hiányosságait az összes vadászati lekérdezésben, ha az egyéni keresési lekérdezéseket a MITRE ATT&CK-technikákhoz megfelelteti.
A könyvjelzőkkel való keresés során több entitástípust is megvizsgálhat, ha az egyéni lekérdezésekben megfelelteti a Microsoft Sentinel Analytics által támogatott entitástípusok és -azonosítók teljes készletét. Ez lehetővé teszi, hogy könyvjelzőkkel vizsgálja meg a keresési lekérdezés eredményeiben visszaadott entitásokat entitásoldalak, incidensek és a vizsgálati gráf használatával. Ha egy könyvjelző egy keresési lekérdezés eredményeit rögzíti, automatikusan örökli a lekérdezés MITRE ATT&CK technikáját és entitásleképezéseit.
Ha talál valamit, amelyet sürgősen meg kell oldani a naplókban való keresés során, egyszerűen létrehozhat egy könyvjelzőt, és előléptetheti azt egy incidensbe, vagy hozzáadhatja egy meglévő incidenshez. Az incidensekről további információt a Microsoft Sentinel incidenseinek kivizsgálása című témakörben talál.
Ha talált valamit, amit érdemes könyvjelzővel megjelölni, de ez nem sürgős azonnal, létrehozhat egy könyvjelzőt, majd bármikor újra megtekintheti a könyvjelzővel rendelkező adatokat a Vadászat panel Könyvjelzők lapján. Szűrési és keresési lehetőségekkel gyorsan megkereshet adott, az aktuális vizsgálathoz szükséges adatokat.
A könyvjelzők adatainak megjelenítéséhez válassza a Vizsgálat lehetőséget a könyvjelző részletei közül. Ez elindítja azt a vizsgálati felületet, amelyben egy interaktív entitásdiagram és idővonal használatával tekintheti meg, vizsgálhatja meg és vizuálisan közölheti az eredményeket.
Másik lehetőségként közvetlenül a Log Analytics-munkaterület HuntingBookmark táblájában tekintheti meg a könyvjelzők adatait. Például:
A könyvjelzők táblázatból való megtekintése lehetővé teszi a könyvjelzővel ellátott adatok szűrését, összegzését és összekapcsolását más adatforrásokkal, így könnyen megkeresheti a alátámasztó bizonyítékokat.
Megjegyzés:
Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.
Könyvjelző hozzáadása
Az Azure Portalon lépjen a Microsoft Sentinel>threat management>Hunting webhelyre, és futtassa a gyanús és rendellenes viselkedésre vonatkozó lekérdezéseket.
Válassza ki az egyik keresési lekérdezést, majd a jobb oldalon, a keresési lekérdezés részletei között válassza a Lekérdezés futtatása lehetőséget.
Válassza a Lekérdezési eredmények megtekintése lehetőséget. Például:
Ez a művelet megnyitja a lekérdezés eredményeit a Naplók panelen.
A napló lekérdezés eredménylistájában a jelölőnégyzetekkel jelöljön ki egy vagy több olyan sort, amely az érdekesnek talált információkat tartalmazza.
Válassza a Könyvjelző hozzáadása lehetőséget:
A jobb oldalon, a Könyvjelző hozzáadása panelen szükség esetén frissítse a könyvjelző nevét, adjon hozzá címkéket és jegyzeteket az elem érdekességeinek azonosításához.
A könyvjelzők opcionálisan a MITRE ATT&CK technikákhoz vagy altechnikákhoz rendelhetők. A MITRE ATT&CK-leképezések öröklődnek a leképezett értékektől a keresési lekérdezésekben, de manuálisan is létrehozhatja őket. Válassza ki a kívánt technikához társított MITRE ATT&CK taktikát a Könyvjelző hozzáadása panel Taktika és technikák szakaszának legördülő menüjéből. A menü az összes MITRE ATT&CK-technikát megjeleníti, és ebben a menüben több technikát és altechnikát is kiválaszthat.
Mostantól kibonthatja az entitások kibontott készletét a könyvjelzővel rendelkező lekérdezési eredményekből további vizsgálat céljából. Az Entitásleképezés szakaszban az entitástípusok és -azonosítók kiválasztásához használja a legördülő listákat. Ezután képezheti le a lekérdezés eredményében szereplő oszlopot, amely tartalmazza a megfelelő azonosítót. Például:
A könyvjelzőnek a vizsgálati gráfban való megtekintéséhez legalább egy entitást le kell képeznie. A korábban létrehozott fiók-, gazdagép-, IP- és URL-entitástípusok entitásleképezései támogatottak, megőrizve a visszamenőleges kompatibilitást.
Kattintson a Mentés gombra a módosítások véglegesítéséhez és a könyvjelző hozzáadásához. Minden könyvjelzővel ellátott adat meg van osztva más elemzőkkel, és ez az első lépés az együttműködésen alapuló vizsgálati élmény felé.
Megjegyzés:
A napló lekérdezési eredményei támogatják a könyvjelzőket, amikor ezt a panelt megnyitják a Microsoft Sentinelből. A navigációs sávon például az Általános>naplók lehetőséget választja, az eseményhivatkozásokat a vizsgálati gráfban, vagy kiválaszt egy riasztásazonosítót az incidens teljes részleteiből. Nem hozhat létre könyvjelzőket, ha a Naplók panel más helyről, például közvetlenül az Azure Monitorból nyílik meg.
Könyvjelzők megtekintése és frissítése
Az Azure Portalon keresse meg a Microsoft Sentinel>Threat Management>Hunting alkalmazást.
A könyvjelzők listájának megtekintéséhez válassza a Könyvjelzők lapot.
Egy adott könyvjelző megkereséséhez használja a keresőmezőt vagy a szűrési beállításokat.
Jelölje ki az egyes könyvjelzőket, és tekintse meg a könyvjelző részleteit a jobb oldali részletek panelen.
Szükség szerint végezze el a módosításokat, amelyeket a rendszer automatikusan ment.
Könyvjelzők felfedezése a vizsgálati gráfban
Az Azure Portalon lépjen a Microsoft Sentinel>Veszélyforrások kezelése>– Könyvjelzők lapra>, és válassza ki a vizsgálandó könyvjelzőket vagy könyvjelzőket.
A könyvjelző részletei között győződjön meg arról, hogy legalább egy entitás megfeleltetve van.
Válassza a Vizsgálat lehetőséget a könyvjelző megtekintéséhez a vizsgálati gráfban.
A vizsgálati gráf használatára vonatkozó utasításokért lásd : A vizsgálati gráf használata a részletes elemzéshez.
Könyvjelzők hozzáadása új vagy meglévő incidenshez
Az Azure Portalon lépjen a Microsoft Sentinel>fenyegetéskezelési>könyvjelzők> lapjára, és válassza ki az incidenshez hozzáadni kívánt könyvjelzőket vagy könyvjelzőket.
Válassza ki az incidensműveleteket a parancssávon:
Válassza az Új incidens létrehozása vagy a Hozzáadás meglévő incidenshez lehetőséget, ha szükséges. Ekkor:
- Új incidens esetén: Igény szerint frissítse az incidens részleteit, majd válassza a Létrehozás lehetőséget.
- Könyvjelző meglévő incidenshez való hozzáadásához: Jelöljön ki egy incidenst, majd válassza a Hozzáadás lehetőséget.
Az incidensen belüli könyvjelző megtekintéséhez nyissa meg a Microsoft Sentinel>fenyegetéskezelési>incidenseit , és válassza ki az incidenst a könyvjelzővel együtt. Válassza a Teljes adatok megtekintése, majd a Könyvjelzők fület.
Tipp.
A parancssáv Incidensműveletek lehetőségének alternatívaként használhatja a helyi menüt (...) egy vagy több könyvjelzőhöz az új incidens létrehozásához, a Hozzáadás a meglévő incidenshez és az Incidens eltávolítása lehetőség kiválasztásához.
Könyvjelzők adatainak megtekintése naplókban
A könyvjelzőként megjelölt lekérdezések, eredmények vagy azok előzményeinek megtekintéséhez jelölje ki a könyvjelzőt a Könyvjelzők keresése>lapon, és használja a részletek panelen található hivatkozásokat:
A forrás lekérdezés megtekintése a Naplók panelen a forrás lekérdezés megtekintéséhez.
A könyvjelzőnaplók megtekintése az összes könyvjelző metaadatának megtekintéséhez, beleértve a frissítést végző személyeket, a frissített értékeket és a frissítés időpontját.
Az összes könyvjelző nyers könyvjelzőadatait úgy is megtekintheti, ha a Könyvjelzőnaplók lehetőséget választja a Könyvjelzők parancssávon a Hunting Bookmarks (Könyvjelzők)>lap parancssávján:
Ez a nézet az összes könyvjelzőt megjeleníti a társított metaadatokkal. A Kusto lekérdezésnyelv (KQL) lekérdezésekkel a keresett könyvjelző legújabb verziójára szűrhet.
Megjegyzés:
A könyvjelző létrehozása és a Könyvjelzők lapon való megjelenítése között jelentős késés (percekben mérve) lehet.
Könyvjelző törlése
Az Azure Portalon lépjen a Microsoft Sentinel>fenyegetéskezelési>könyvjelzők> lapjára, és válassza ki a törölni kívánt könyvjelzőket vagy könyvjelzőket.
Kattintson a jobb gombbal a kijelölt elemekre, és válassza a kijelölt könyvjelzők számának törlésére vonatkozó beállítást.
A könyvjelző törlése eltávolítja a könyvjelzőt a Könyvjelző lap listájából. A Log Analytics-munkaterület HuntingBookmark táblája továbbra is tartalmazza a korábbi könyvjelző-bejegyzéseket, de a legújabb bejegyzés igaz értékre módosítja a SoftDelete értéket, így egyszerűen kiszűrheti a régi könyvjelzőket. A könyvjelzők törlése nem távolítja el az egyéb könyvjelzőkkel vagy riasztásokkal társított entitásokat a vizsgálati felületről.
További lépések
Ebben a cikkben megtanulta, hogyan futtathat vadászati vizsgálatot könyvjelzőkkel a Microsoft Sentinelben. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben: