Az adatok nyomon követése a vadászat során a Microsoft Sentinel használatával

A fenyegetéskeresés általában a naplóadatok hegyeinek áttekintését igényli, és rosszindulatú viselkedésre utaló bizonyítékokat keres. Ebben a folyamatban a nyomozók olyan eseményeket találnak, amelyeket meg szeretnének emlékezni, újra meg kell tekinteniük és elemezniük a lehetséges hipotézisek érvényesítése és a kompromisszum teljes történetének megértése részeként.

A Microsoft Sentinel könyvjelzőinek keresésével ezt megteheti a Microsoft Sentinel – Naplók szolgáltatásban futtatott lekérdezések és az Ön által relevánsnak ítélt lekérdezési eredmények megőrzésével. Megjegyzések és címkék hozzáadásával emellett a környezettel kapcsolatos megfigyeléseit is feljegyezheti és lehivatkozhatja. A könyvjelzővel ellátott adatokat Ön és csapata is láthatja a könnyebb együttműködés érdekében.

Most már azonosíthatja és kezelheti a MITRE ATT&CK technika lefedettségének hiányosságait az összes vadászati lekérdezésben, ha az egyéni keresési lekérdezéseket a MITRE ATT&CK-technikákhoz megfelelteti.

A könyvjelzőkkel való keresés során több entitástípust is megvizsgálhat, ha az egyéni lekérdezésekben megfelelteti a Microsoft Sentinel Analytics által támogatott entitástípusok és -azonosítók teljes készletét. Ez lehetővé teszi, hogy könyvjelzőkkel vizsgálja meg a keresési lekérdezés eredményeiben visszaadott entitásokat entitásoldalak, incidensek és a vizsgálati gráf használatával. Ha egy könyvjelző egy keresési lekérdezés eredményeit rögzíti, automatikusan örökli a lekérdezés MITRE ATT&CK technikáját és entitásleképezéseit.

Ha talál valamit, amelyet sürgősen meg kell oldani a naplókban való keresés során, egyszerűen létrehozhat egy könyvjelzőt, és előléptetheti azt egy incidensbe, vagy hozzáadhatja egy meglévő incidenshez. Az incidensekről további információt a Microsoft Sentinel incidenseinek kivizsgálása című témakörben talál.

Ha talált valamit, amit érdemes könyvjelzővel megjelölni, de ez nem sürgős azonnal, létrehozhat egy könyvjelzőt, majd bármikor újra megtekintheti a könyvjelzővel rendelkező adatokat a Vadászat panel Könyvjelzők lapján. Szűrési és keresési lehetőségekkel gyorsan megkereshet adott, az aktuális vizsgálathoz szükséges adatokat.

A könyvjelzők adatainak megjelenítéséhez válassza a Vizsgálat lehetőséget a könyvjelző részletei közül. Ez elindítja azt a vizsgálati felületet, amelyben egy interaktív entitásdiagram és idővonal használatával tekintheti meg, vizsgálhatja meg és vizuálisan közölheti az eredményeket.

Másik lehetőségként közvetlenül a Log Analytics-munkaterület HuntingBookmark táblájában tekintheti meg a könyvjelzők adatait. Például:

Screenshot of viewing hunting bookmarks table.

A könyvjelzők táblázatból való megtekintése lehetővé teszi a könyvjelzővel ellátott adatok szűrését, összegzését és összekapcsolását más adatforrásokkal, így könnyen megkeresheti a alátámasztó bizonyítékokat.

Megjegyzés:

Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.

Könyvjelző hozzáadása

  1. Az Azure Portalon lépjen a Microsoft Sentinel>threat management>Hunting webhelyre, és futtassa a gyanús és rendellenes viselkedésre vonatkozó lekérdezéseket.

  2. Válassza ki az egyik keresési lekérdezést, majd a jobb oldalon, a keresési lekérdezés részletei között válassza a Lekérdezés futtatása lehetőséget.

  3. Válassza a Lekérdezési eredmények megtekintése lehetőséget. Például:

    Screenshot of viewing query results from Microsoft Sentinel hunting.

    Ez a művelet megnyitja a lekérdezés eredményeit a Naplók panelen.

  4. A napló lekérdezés eredménylistájában a jelölőnégyzetekkel jelöljön ki egy vagy több olyan sort, amely az érdekesnek talált információkat tartalmazza.

  5. Válassza a Könyvjelző hozzáadása lehetőséget:

    Screenshot of adding hunting bookmark to query.

  6. A jobb oldalon, a Könyvjelző hozzáadása panelen szükség esetén frissítse a könyvjelző nevét, adjon hozzá címkéket és jegyzeteket az elem érdekességeinek azonosításához.

  7. A könyvjelzők opcionálisan a MITRE ATT&CK technikákhoz vagy altechnikákhoz rendelhetők. A MITRE ATT&CK-leképezések öröklődnek a leképezett értékektől a keresési lekérdezésekben, de manuálisan is létrehozhatja őket. Válassza ki a kívánt technikához társított MITRE ATT&CK taktikát a Könyvjelző hozzáadása panel Taktika és technikák szakaszának legördülő menüjéből. A menü az összes MITRE ATT&CK-technikát megjeleníti, és ebben a menüben több technikát és altechnikát is kiválaszthat.

    Screenshot of how to map Mitre Attack tactics and techniques to bookmarks.

  8. Mostantól kibonthatja az entitások kibontott készletét a könyvjelzővel rendelkező lekérdezési eredményekből további vizsgálat céljából. Az Entitásleképezés szakaszban az entitástípusok és -azonosítók kiválasztásához használja a legördülő listákat. Ezután képezheti le a lekérdezés eredményében szereplő oszlopot, amely tartalmazza a megfelelő azonosítót. Például:

    Screenshot to map entity types for hunting bookmarks.

    A könyvjelzőnek a vizsgálati gráfban való megtekintéséhez legalább egy entitást le kell képeznie. A korábban létrehozott fiók-, gazdagép-, IP- és URL-entitástípusok entitásleképezései támogatottak, megőrizve a visszamenőleges kompatibilitást.

  9. Kattintson a Mentés gombra a módosítások véglegesítéséhez és a könyvjelző hozzáadásához. Minden könyvjelzővel ellátott adat meg van osztva más elemzőkkel, és ez az első lépés az együttműködésen alapuló vizsgálati élmény felé.

Megjegyzés:

A napló lekérdezési eredményei támogatják a könyvjelzőket, amikor ezt a panelt megnyitják a Microsoft Sentinelből. A navigációs sávon például az Általános>naplók lehetőséget választja, az eseményhivatkozásokat a vizsgálati gráfban, vagy kiválaszt egy riasztásazonosítót az incidens teljes részleteiből. Nem hozhat létre könyvjelzőket, ha a Naplók panel más helyről, például közvetlenül az Azure Monitorból nyílik meg.

Könyvjelzők megtekintése és frissítése

  1. Az Azure Portalon keresse meg a Microsoft Sentinel>Threat Management>Hunting alkalmazást.

  2. A könyvjelzők listájának megtekintéséhez válassza a Könyvjelzők lapot.

  3. Egy adott könyvjelző megkereséséhez használja a keresőmezőt vagy a szűrési beállításokat.

  4. Jelölje ki az egyes könyvjelzőket, és tekintse meg a könyvjelző részleteit a jobb oldali részletek panelen.

  5. Szükség szerint végezze el a módosításokat, amelyeket a rendszer automatikusan ment.

Könyvjelzők felfedezése a vizsgálati gráfban

  1. Az Azure Portalon lépjen a Microsoft Sentinel>Veszélyforrások kezelése>– Könyvjelzők lapra>, és válassza ki a vizsgálandó könyvjelzőket vagy könyvjelzőket.

  2. A könyvjelző részletei között győződjön meg arról, hogy legalább egy entitás megfeleltetve van.

  3. Válassza a Vizsgálat lehetőséget a könyvjelző megtekintéséhez a vizsgálati gráfban.

A vizsgálati gráf használatára vonatkozó utasításokért lásd : A vizsgálati gráf használata a részletes elemzéshez.

Könyvjelzők hozzáadása új vagy meglévő incidenshez

  1. Az Azure Portalon lépjen a Microsoft Sentinel>fenyegetéskezelési>könyvjelzők> lapjára, és válassza ki az incidenshez hozzáadni kívánt könyvjelzőket vagy könyvjelzőket.

  2. Válassza ki az incidensműveleteket a parancssávon:

    Screenshot of adding bookmarks to incident.

  3. Válassza az Új incidens létrehozása vagy a Hozzáadás meglévő incidenshez lehetőséget, ha szükséges. Ekkor:

    • Új incidens esetén: Igény szerint frissítse az incidens részleteit, majd válassza a Létrehozás lehetőséget.
    • Könyvjelző meglévő incidenshez való hozzáadásához: Jelöljön ki egy incidenst, majd válassza a Hozzáadás lehetőséget.

Az incidensen belüli könyvjelző megtekintéséhez nyissa meg a Microsoft Sentinel>fenyegetéskezelési>incidenseit , és válassza ki az incidenst a könyvjelzővel együtt. Válassza a Teljes adatok megtekintése, majd a Könyvjelzők fület.

Tipp.

A parancssáv Incidensműveletek lehetőségének alternatívaként használhatja a helyi menüt (...) egy vagy több könyvjelzőhöz az új incidens létrehozásához, a Hozzáadás a meglévő incidenshez és az Incidens eltávolítása lehetőség kiválasztásához.

Könyvjelzők adatainak megtekintése naplókban

A könyvjelzőként megjelölt lekérdezések, eredmények vagy azok előzményeinek megtekintéséhez jelölje ki a könyvjelzőt a Könyvjelzők keresése>lapon, és használja a részletek panelen található hivatkozásokat:

  • A forrás lekérdezés megtekintése a Naplók panelen a forrás lekérdezés megtekintéséhez.

  • A könyvjelzőnaplók megtekintése az összes könyvjelző metaadatának megtekintéséhez, beleértve a frissítést végző személyeket, a frissített értékeket és a frissítés időpontját.

Az összes könyvjelző nyers könyvjelzőadatait úgy is megtekintheti, ha a Könyvjelzőnaplók lehetőséget választja a Könyvjelzők parancssávon a Hunting Bookmarks (Könyvjelzők)>lap parancssávján:

Screenshot of bookmark logs command.

Ez a nézet az összes könyvjelzőt megjeleníti a társított metaadatokkal. A Kusto lekérdezésnyelv (KQL) lekérdezésekkel a keresett könyvjelző legújabb verziójára szűrhet.

Megjegyzés:

A könyvjelző létrehozása és a Könyvjelzők lapon való megjelenítése között jelentős késés (percekben mérve) lehet.

Könyvjelző törlése

  1. Az Azure Portalon lépjen a Microsoft Sentinel>fenyegetéskezelési>könyvjelzők> lapjára, és válassza ki a törölni kívánt könyvjelzőket vagy könyvjelzőket.

  2. Kattintson a jobb gombbal a kijelölt elemekre, és válassza a kijelölt könyvjelzők számának törlésére vonatkozó beállítást.

A könyvjelző törlése eltávolítja a könyvjelzőt a Könyvjelző lap listájából. A Log Analytics-munkaterület HuntingBookmark táblája továbbra is tartalmazza a korábbi könyvjelző-bejegyzéseket, de a legújabb bejegyzés igaz értékre módosítja a SoftDelete értéket, így egyszerűen kiszűrheti a régi könyvjelzőket. A könyvjelzők törlése nem távolítja el az egyéb könyvjelzőkkel vagy riasztásokkal társított entitásokat a vizsgálati felületről.

További lépések

Ebben a cikkben megtanulta, hogyan futtathat vadászati vizsgálatot könyvjelzőkkel a Microsoft Sentinelben. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben: