Fenyegetéskeresés a Microsoft Sentinelben

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Biztonsági elemzőkként és nyomozókként proaktívan szeretne biztonsági fenyegetéseket keresni, de a különböző rendszerek és biztonsági berendezések olyan adatbőségeket hoznak létre, amelyeket nehéz elemezni és értelmes eseményekre szűrni. A Microsoft Sentinel hatékony keresési és lekérdezési eszközökkel rendelkezik a szervezet adatforrásai közötti biztonsági fenyegetések kereséséhez. Annak érdekében, hogy a biztonsági elemzők proaktív módon keressenek olyan új rendellenességeket, amelyeket a biztonsági alkalmazások vagy akár az ütemezett elemzési szabályok nem észlelnek, a Microsoft Sentinel beépített keresési lekérdezései segítenek a megfelelő kérdések feltevésében, hogy problémákat találjon a hálózaton már meglévő adatokban.

Egy beépített lekérdezés például adatokat szolgáltat az infrastruktúrán futó leggyakoribb folyamatokról. Nem szeretne minden egyes futtatáskor riasztást kapni. Teljesen ártatlanok lehetnek. Érdemes azonban időnként áttekinteni a lekérdezést, hogy kiderüljön, van-e valami szokatlan.

Feljegyzés

Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Beépített lekérdezések használata

A vadászati irányítópult kész lekérdezési példákat kínál az első lépésekhez, valamint a táblák és a lekérdezés nyelvének megismeréséhez. A lekérdezések naplótáblákban tárolt adatokon futnak, például folyamatlétrehozáshoz, DNS-eseményekhez vagy más eseménytípusokhoz.

A beépített keresési lekérdezéseket a Microsoft biztonsági kutatói folyamatosan fejlesztik, mind új lekérdezések hozzáadásával, mind a meglévő lekérdezések finomhangolásával, hogy belépési pontot biztosítson az új észlelések kereséséhez és az új támadások kezdetének kereséséhez.

A következő műveletek végrehajtásához használjon lekérdezéseket a kompromisszumok előtt, alatt és után:

• Incidens előtt: Az észlelésekre való várakozás nem elegendő. Proaktív műveletet hajthat végre, ha hetente legalább egyszer futtatja a munkaterületre betöltendő adatokra vonatkozó fenyegetéskeresési lekérdezéseket.

  A proaktív vadászat eredményei korai betekintést nyújtanak az eseményekbe, amelyek megerősíthetik, hogy a kompromisszum folyamatban van, vagy legalábbis gyengébb területeket mutatnak a környezetben, amelyek veszélyben vannak, és figyelmet igényelnek.

• Kompromisszumok esetén: A livestream használatával folyamatosan futtathat egy adott lekérdezést, és az eredmények megjelennek. Akkor használja az élő közvetítést, ha aktívan figyelnie kell a felhasználói eseményeket, például ellenőriznie kell, hogy egy adott kompromisszum még folyamatban van-e, hogy segítsen meghatározni a fenyegetést okozó szereplő következő lépését, és a vizsgálat vége felé ellenőrizze, hogy a kompromisszum valóban véget ért-e.

• Kompromisszum után: Kompromisszumot vagy incidenst követően mindenképpen javítsa a lefedettséget és az elemzést, hogy a jövőben megelőzze a hasonló incidenseket.

  • Módosítsa a meglévő lekérdezéseket, vagy hozzon létre újakat a korai észlelés érdekében, a biztonsági rés vagy incidens alapján szerzett megállapítások alapján.

  • Ha olyan keresési lekérdezést fedezett fel vagy hozott létre, amely nagy értékű elemzéseket biztosít a lehetséges támadásokhoz, hozzon létre egyéni észlelési szabályokat a lekérdezés alapján, és ezeket az elemzéseket riasztásként jelenítse meg a biztonsági incidens válaszadói számára.

    Tekintse meg a lekérdezés eredményeit, és válassza az Új riasztási szabály>Létrehozása Microsoft Sentinel-riasztást. Az Elemzési szabály varázslóval hozzon létre egy új szabályt a lekérdezés alapján. További információ: Egyéni elemzési szabályok létrehozása a fenyegetések észleléséhez.

Az Azure Data Explorerben tárolt adatokon is létrehozhat vadász- és élőstream-lekérdezéseket. További információkért tekintse meg az erőforrás-alapú lekérdezések létrehozásának részleteit az Azure Monitor dokumentációjában.

Használjon közösségi erőforrásokat, például a Microsoft Sentinel GitHub-adattárat további lekérdezések és adatforrások kereséséhez.

A vadászati irányítópult használata

A keresési irányítópult lehetővé teszi az összes lekérdezés vagy egy kijelölt részhalmaz egyetlen kijelölésben való futtatását. A Microsoft Sentinel portálon válassza a Vadászat lehetőséget.

A megjelenő táblázat felsorolja a Microsoft biztonsági elemzői csapata által írt összes lekérdezést, valamint az Ön által létrehozott vagy módosított további lekérdezéseket. Minden lekérdezés leírja, hogy mire vadászik, és milyen típusú adatokon fut. Ezeket a lekérdezéseket a MITRE ATT&CK-taktikáik csoportosítják. A jobb oldali ikonok kategorizálják a fenyegetés típusát, például a kezdeti hozzáférést, az adatmegőrzést és a kiszivárgást. A MITRE ATT&CK technikák a Technikák oszlopban jelennek meg, és a keresési lekérdezés által meghatározott viselkedést írják le.

A vadászati irányítópult használatával azonosíthatja, hogy hol kezdjen el vadászni, ha egy 24 órás időszakban az eredmények számát, a kiugró értéket vagy az eredmények számának változását tekinti meg. Rendezés és szűrés kedvencek, adatforrás, MITRE ATT&CK taktika vagy technika, eredmények, eredmények eltérése vagy az eredmények eltérése százalék szerint. Megtekintheti a még csatlakoztatott adatforrásokat igénylő lekérdezéseket, és javaslatokat kaphat a lekérdezések engedélyezésére.

Az alábbi táblázat a vadászati irányítópulton elérhető részletes műveleteket ismerteti:

Művelet	Leírás
Tekintse meg, hogyan vonatkoznak a lekérdezések a környezetére	Válassza az Összes lekérdezés futtatása gombot, vagy jelölje ki a lekérdezések egy részhalmazát az egyes soroktól balra található jelölőnégyzetek használatával, és válassza a Kijelölt lekérdezések futtatása gombot. A lekérdezések futtatása néhány másodperctől akár több percig is eltarthat, attól függően, hogy hány lekérdezés van kiválasztva, az időtartománytól és a lekérdezett adatok mennyiségétől függően.
Az eredményeket visszaadó lekérdezések megtekintése	A lekérdezések futtatása után tekintse meg az eredményeket visszaadó lekérdezéseket az Eredmények szűrővel: – Rendezés annak megtekintéséhez, hogy mely lekérdezések voltak a legtöbb vagy a legkevesebb eredmény. – Az Eredmények szűrő N/A elemének kiválasztásával megtekintheti a környezetben egyáltalán nem aktív lekérdezéseket. - Vigye az egérmutatót az N/A melletti információs ikonra (i) annak megtekintéséhez, hogy mely adatforrások szükségesek a lekérdezés aktiválásához.
Az adatok kiugró értékeinek azonosítása	Az adatok csúcsainak azonosítása az Eredmények különbözete vagy az Eredmények különbözet százalékos arányának rendezésével vagy szűrésével. Az elmúlt 24 óra eredményeit hasonlítja össze az előző 24–48 óra eredményeival, kiemelve a nagy különbségeket vagy a relatív mennyiségi különbségeket.
A MITRE ATT&CK-taktikához hozzárendelt lekérdezések megtekintése	A MITRE ATT&CK taktikasávja a táblázat tetején felsorolja, hogy hány lekérdezés van megfeleltetve az egyes MITRE ATT&CK-taktikákhoz. A taktikasáv dinamikusan frissül az alkalmazott szűrők jelenlegi készlete alapján. Lehetővé teszi, hogy lássa, mely MITRE ATT&CK-taktikák jelennek meg, amikor egy adott eredményszám, magas eredménybeli eltérés, N/A-eredmények vagy bármely más szűrőkészlet alapján szűr.
MITRE ATT&CK-technikákra leképezett lekérdezések megtekintése	A lekérdezések a MITRE ATT&CK technikákra is leképezhetők. A MITRE ATT&CK-technikák alapján a Technika szűrővel szűrhet vagy rendezhet. Egy lekérdezés megnyitásával kiválaszthatja a technikát, hogy megtekintse a technika MITRE ATT&CK-leírását.
Lekérdezés mentése a kedvencek közé	A kedvencek közé mentett lekérdezések automatikusan futnak minden alkalommal, amikor a Vadászat lap elérhető. Létrehozhat saját keresési lekérdezést, vagy klónozhat, és testre szabhat egy meglévő keresési lekérdezési sablont.
Lekérdezések futtatása	A lekérdezés közvetlenül a vadászlapról való futtatásához válassza a Lekérdezés futtatása lehetőséget a keresési lekérdezés részletei lapon. Az egyezések száma megjelenik a táblában, az Eredmények oszlopban. Tekintse át a keresési lekérdezések listáját és azok találatait.
Mögöttes lekérdezés áttekintése	Gyors áttekintést végezhet az alapul szolgáló lekérdezésről a lekérdezés részletei panelen. Az eredményeket a lekérdezés eredményeinek megtekintése hivatkozásra (a lekérdezés ablaka alatt) vagy az Eredmények megtekintése gombra (a panel alján) kattintva tekintheti meg. A lekérdezés megnyitja a Naplók (Log Analytics) lapot, és a lekérdezés alatt áttekintheti a lekérdezés egyezéseit.

Egyéni keresési lekérdezés létrehozása

Hozzon létre vagy módosítson egy lekérdezést, és mentse saját lekérdezésként, vagy ossza meg azokkal a felhasználókkal, akik ugyanabban a bérlőben vannak.

Új lekérdezés létrehozása:

1. Válassza az Új lekérdezés lehetőséget.

2. Töltse ki az összes üres mezőt, és válassza a Létrehozás lehetőséget.

   1. Entitásleképezések létrehozása entitástípusok, azonosítók és oszlopok kiválasztásával.

      

   2. A MITRE ATT&CK technikák leképezése a keresési lekérdezésekhez a taktika, a technika és az altechnika kiválasztásával (ha van).

      

Meglévő lekérdezés klónozása és módosítása:

1. A táblában válassza ki a módosítani kívánt keresési lekérdezést.

2. Jelölje ki a három pontot (...) a módosítani kívánt lekérdezés sorában, és válassza a Klónozás lekérdezés lehetőséget.

   

3. Módosítsa a lekérdezést, és válassza a Létrehozás lehetőséget.

Meglévő egyéni lekérdezés módosítása:

1. A táblában válassza ki a módosítani kívánt keresési lekérdezést. Csak egyéni tartalomforrásból származó lekérdezések szerkeszthetők. Más tartalomforrásokat ezen a forráson kell szerkeszteni.

2. Jelölje ki a három pontot (...) a módosítani kívánt lekérdezés sorában, és válassza a Lekérdezés szerkesztése lehetőséget.

3. Módosítsa az Egyéni lekérdezés mezőt a frissített lekérdezéssel. Az entitásleképezést és a technikákat a dokumentáció "Új lekérdezés létrehozása" című szakaszában leírtak szerint is módosíthatja.

Mintalekérdezés

A tipikus lekérdezések egy tábla vagy elemző nevével kezdődnek, majd egy cső karakterrel ("|") elválasztott operátorok sorozata következik.

A fenti példában kezdje a SecurityEvent táblanévvel, és szükség szerint adjon hozzá piped elemeket.

1. Adjon meg egy időszűrőt, amely csak az előző hét nap rekordjait tekinti át.

2. Adjon hozzá egy szűrőt a lekérdezéshez, amely csak a 4688-at jeleníti meg.

3. Adjon hozzá egy szűrőt a parancssor lekérdezéséhez, amely csak a cscript.exe példányait tartalmazza.

4. Csak azokat az oszlopokat vetje ki, amelyekre kíváncsi, és korlátozza az eredményeket 1000-re, és válassza a Lekérdezés futtatása lehetőséget.

5. Jelölje ki a zöld háromszöget, és futtassa a lekérdezést. Tesztelheti a lekérdezést, és futtathatja a rendellenes viselkedés kereséséhez.

Javasoljuk, hogy a lekérdezés az Advanced Security Information Model (ASIM) elemzőt használja, és ne egy beépített táblát. Ez biztosítja, hogy a lekérdezés egyetlen adatforrás helyett minden aktuális vagy jövőbeli releváns adatforrást támogatjon.

Könyvjelzők létrehozása

A keresési és vizsgálati folyamat során előfordulhat, hogy szokatlannak vagy gyanúsnak tűnő lekérdezési eredmények jelennek meg. Jelölje meg ezeket az elemeket, hogy a jövőben hivatkozzon rájuk, például amikor incidenst hoz létre vagy bővít kivizsgálás céljából. Könyvjelzőként olyan eseményeket kell felhozni, mint a lehetséges kiváltó okok, a veszélyeztetés jelzései vagy más jelentős események. Ha a könyvjelzővel megjelölt kulcsfontosságú esemény elég súlyos ahhoz, hogy nyomozást indokoljon, eszkalálja azt egy incidensre.

• Az eredményekben jelölje be a megőrizni kívánt sorok jelölőnégyzeteit, és válassza a Könyvjelző hozzáadása lehetőséget. Ez létrehoz egy rekordot minden egyes megjelölt sorhoz, egy könyvjelzőhöz, amely tartalmazza a soreredményeket és az eredményeket létrehozó lekérdezést. Minden könyvjelzőhöz hozzáadhat saját címkéket és jegyzeteket.

  • Az ütemezett elemzési szabályokhoz hasonlóan a könyvjelzőket entitásleképezésekkel bővítheti, így több entitástípust és azonosítót nyerhet ki, a MITRE ATT&CK-megfeleltetések pedig adott taktikákat és technikákat társíthatnak.
  • A könyvjelzők alapértelmezés szerint ugyanazt az entitást és MITRE ATT&CK-technikát használják, mint a könyvjelzővel rendelkező eredményeket előállító keresési lekérdezés.

• Az összes könyvjelzővel megjelölt találat megtekintéséhez kattintson a Könyvjelzők fülre a fő vadászati oldalon. Címkék hozzáadása könyvjelzőkhöz a szűréshez való besoroláshoz. Ha például egy támadási kampányt vizsgál, létrehozhat egy címkét a kampányhoz, alkalmazhatja a címkét a megfelelő könyvjelzőkre, majd szűrheti az összes könyvjelzőt a kampány alapján.

• A könyvjelző kiválasztásával, majd a Részletek panelEn a Vizsgálat gombra kattintva vizsgálhatja meg az egyetlen könyvjelzővel rendelkező találatot a vizsgálati felület megnyitásához. Közvetlenül is kijelölhet egy felsorolt entitást az entitás megfelelő entitáslapjának megtekintéséhez.

  Incidenst egy vagy több könyvjelzőből is létrehozhat, vagy hozzáadhat egy vagy több könyvjelzőt egy meglévő incidenshez. Jelöljön be egy jelölőnégyzetet a használni kívánt könyvjelzők bal oldalán, majd válassza az Incidensműveletek>Új incidens létrehozása vagy Hozzáadás meglévő incidenshez lehetőséget. Triage és vizsgálja meg az incidenst, mint bármely más.

További információ: Könyvjelzők használata a vadászatban.

Jegyzetfüzetek használata a vizsgálatokhoz

Ha a vadászat és a vizsgálat összetettebbé válik, a Microsoft Sentinel-jegyzetfüzetek használatával gépi tanulással, vizualizációkkal és adatelemzéssel javíthatja a tevékenységeit.

A jegyzetfüzetek egyfajta virtuális tesztkörnyezetet biztosítanak, amely saját kernellel van kiegészítve, ahol teljes vizsgálatot végezhet. A jegyzetfüzet tartalmazhat nyers adatokat, az adatokon futtatott kódot, az eredményeket és azok vizualizációit. Mentse a jegyzetfüzeteket, hogy másokkal is megoszthassa, hogy újra felhasználhassa a szervezetében.

A jegyzetfüzetek akkor lehetnek hasznosak, ha a vadászat vagy a vizsgálat túl nagy méretűvé válik a könnyen megjegyezhető adatokhoz, a részletek megtekintéséhez vagy a lekérdezések és eredmények mentéséhez. A jegyzetfüzetek létrehozásához és megosztásához a Microsoft Sentinel közvetlenül a Microsoft Sentinel Notebooks lapba integrált, nyílt forráskódú, interaktív fejlesztési és adatmanipulációs környezetet biztosít Jupyter Notebooks szolgáltatással.

További információkért lásd:

• Biztonsági fenyegetések keresése Jupyter-notebook segítségével
• A Jupyter Project dokumentációja
• Jupyter bevezető dokumentáció.
• Az Infosec Jupyter könyv
• Valós Python-oktatóanyagok

Az alábbi táblázat a Jupyter notebookok Microsoft Sentinelben végzett folyamatait segítő néhány módszert ismertet:

Metódus	Leírás
Adatmegőrzés, ismételhetőség és visszakövetés	Ha sok lekérdezéssel és eredménykészlettel dolgozik, valószínűleg zsákutcával rendelkezik. El kell döntenie, hogy mely lekérdezéseket és eredményeket tartsa meg, és hogyan gyűjtheti össze a hasznos eredményeket egyetlen jelentésben. A Jupyter notebookokkal mentheti a lekérdezéseket és az adatokat útközben, változókkal futtathat lekérdezéseket különböző értékekkel vagy dátumokkal, vagy mentheti a lekérdezéseket a későbbi vizsgálatok újrafuttatásához.
Szkriptelés és programozás	A Jupyter notebookokkal programozást adhat a lekérdezésekhez, többek között a következőket: - Az olyan deklaratív nyelvek, mint a Kusto lekérdezésnyelv (KQL) vagy az SQL, a logikát egyetlen, esetleg összetett utasításban kódolhatja. - Procedurális programozási nyelvek, amelyek a logikát lépések sorozatában futtatják. Ossza fel a logikát lépésekre, hogy segítsen a köztes eredmények megtekintésében és hibakeresésében, olyan funkciók hozzáadásában, amelyek esetleg nem érhetők el a lekérdezési nyelven, és a részleges eredményeket a későbbi feldolgozási lépésekben is felhasználhatja.
Külső adatokra mutató hivatkozások	Bár a Microsoft Sentinel-táblák legtöbb telemetriai és eseményadattal rendelkeznek, a Jupyter Notebookok bármilyen, a hálózaton vagy fájlból elérhető adathoz csatolhatók. A Jupyter notebookok használatával olyan adatokat is felvehet, mint például: - A nem birtokolt külső szolgáltatások adatai, például földrajzi helymeghatározási adatok vagy fenyegetésfelderítési források - Bizalmas adatok, amelyek csak a szervezeten belül tárolódnak, például emberi erőforrás-adatbázisok vagy nagy értékű objektumok listája - Olyan adatok, amelyeket még nem migrált a felhőbe.
Speciális adatfeldolgozási, gépi tanulási és vizualizációs eszközök	A Jupyter Notebooks további vizualizációkat, gépi tanulási kódtárakat, valamint adatfeldolgozási és átalakítási funkciókat biztosít. Használja például a Jupyter Notebookokat a következő Python-képességekkel : - pandas az adatfeldolgozáshoz, a törléshez és a mérnöki munkához - Matplotlib, HoloViews és Plotly vizualizációhoz - NumPy és SciPy fejlett numerikus és tudományos feldolgozáshoz - scikit-learn gépi tanuláshoz - TensorFlow, PyTorch és Keras a mély tanuláshoz Tipp: A Jupyter Notebookok több nyelvi kernelt is támogatnak. Az egyes cellák más nyelven történő végrehajtásának engedélyezésével varázslatokkal keverheti a nyelveket ugyanabban a jegyzetfüzetben. Lekérheti például az adatokat Egy PowerShell-szkriptcellával, feldolgozhatja az adatokat a Pythonban, és JavaScript használatával vizualizációt jeleníthet meg.

MSTIC, Jupyter és Python biztonsági eszközök

A Microsoft Threat Intelligence Center (MSTIC) a Microsoft biztonsági elemzőinek és mérnökeinek csapata, akik biztonsági észleléseket végeznek több Microsoft-platformon, és a fenyegetések azonosításán és vizsgálatán dolgoznak.

Az MSTIC az MSTICPy-t, a Jupyter Notebooks információbiztonsági vizsgálatainak és kereséseinek könyvtárát építette. Az MSTICPy újrafelhasználható funkciókat biztosít, amelyek célja a jegyzetfüzetek létrehozásának felgyorsítása, valamint a felhasználók számára a jegyzetfüzetek olvasásának megkönnyítése a Microsoft Sentinelben.

Az MSTICPy például a következőt teheti:

• Naplóadatok lekérdezése több forrásból.
• Bővítse az adatokat fenyegetésfelderítéssel, földrajzi helyekkel és Azure-erőforrásadatokkal.
• Bontsa ki a tevékenységjelzőket (IoA) a naplókból, és csomagolja ki a kódolt adatokat.
• Végezze el a kifinomult elemzéseket, például a rendellenes munkamenet-észlelést és az idősorok felbontását.
• Adatok megjelenítése interaktív ütemtervekkel, folyamatfákkal és többdimenziós alakváltási diagramokkal.

Az MSTICPy emellett időtakarékos jegyzetfüzet-eszközöket is tartalmaz, például a lekérdezési időkorlátokat megjelölő vezérlőket, a listák elemeinek kijelölését és megjelenítését, valamint a jegyzetfüzet-környezet konfigurálását.

További információkért lásd:

• AZ MSTICPy dokumentációja
• Oktatóanyag: A Jupyter-jegyzetfüzetek és az MSTICPy használatának első lépései a Microsoft Sentinelben
• Speciális konfigurációk Jupyter-notebookokhoz és MSTICPy-hoz a Microsoft Sentinelben

Hasznos operátorok és függvények

A keresési lekérdezések a Kusto lekérdezésnyelv (KQL) egy hatékony, IntelliSense nyelvvel rendelkező lekérdezési nyelvből állnak, amely lehetővé teszi a következő szintre való vadászathoz szükséges erőt és rugalmasságot.

Ez ugyanaz a nyelv, amelyet a lekérdezések az elemzési szabályokban és a Microsoft Sentinel más részein használnak. További információ: Lekérdezési nyelv referenciája.

A Következő operátorok különösen hasznosak a Microsoft Sentinel keresési lekérdezéseiben:

• where – Szűrjön egy táblát a predikátumnak megfelelő sorok részhalmazára.

• summarize – A bemeneti tábla tartalmát összesítő táblázat létrehozása.

• illesztés – Két tábla sorainak egyesítése új táblázat létrehozásához az egyes táblák megadott oszlopainak megfelelő értékekkel.

• count – A bemeneti rekordhalmaz rekordjainak számát adja vissza.

• felül – Az első N rekordot adja vissza a megadott oszlopok szerint rendezve.

• limit – Adja vissza a megadott számú sort.

• projekt – Jelölje ki a belefoglalni, átnevezni vagy elvetni kívánt oszlopokat, és szúrjon be új számított oszlopokat.

• extend – Számított oszlopok létrehozása és hozzáfűzése az eredményhalmazhoz.

• makeset – Az Expr által a csoportban foglalt különböző értékek dinamikus (JSON) tömbjének visszaadása

• find – Egy predikátumnak megfelelő sorok keresése táblakészletek között.

• adx() – Ez a függvény az Azure Data Explorer-adatforrások erőforrásközi lekérdezéseit végzi a Microsoft Sentinel vadászati felületéről és a Log Analyticsből. További információ: Azure Data Explorer erőforrásközi lekérdezés az Azure Monitor használatával.

Következő lépések

Ebben a cikkben megtanulta, hogyan futtathat vadászati vizsgálatot a Microsoft Sentinellel.

További információkért lásd:

• Automatizált vadászati kampányok futtatása jegyzetfüzetek használatával
• A könyvjelzők használatával érdekes információkat menthet a vadászat során

Ebből a példából megtudhatja, hogyan használhat egyéni elemzési szabályokat a Zoom egyéni összekötővel való monitorozása során.