Fenyegetéskeresés a Microsoft Sentinelben
Biztonsági elemzőkként és nyomozókként proaktívan szeretne biztonsági fenyegetéseket keresni, de a különböző rendszerek és biztonsági berendezések olyan adatbőségeket hoznak létre, amelyeket nehéz elemezni és értelmes eseményekre szűrni. A Microsoft Sentinel hatékony keresési és lekérdezési eszközökkel rendelkezik a szervezet adatforrásai közötti biztonsági fenyegetések kereséséhez. Annak érdekében, hogy a biztonsági elemzők proaktív módon keressenek olyan új rendellenességeket, amelyeket a biztonsági alkalmazások vagy akár az ütemezett elemzési szabályok nem észlelnek, a keresési lekérdezések segítségével a megfelelő kérdéseket tehet fel a hálózaton már meglévő adatokkal kapcsolatos problémák megkereséséhez.
Például a mező egyik lekérdezése adatokat szolgáltat az infrastruktúrán futó leggyakoribb folyamatokról. Nem szeretne minden egyes futtatáskor riasztást kapni. Teljesen ártatlanok lehetnek. Érdemes azonban időnként áttekinteni a lekérdezést, hogy kiderüljön, van-e valami szokatlan.
Fontos
A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Vadászatok a Microsoft Sentinelben (előzetes verzió)
A Microsoft Sentinelben végzett vadászatok során keressen felderítetlen fenyegetéseket és rosszindulatú viselkedéseket hipotézis létrehozásával, adatokon való kereséssel, a hipotézis érvényesítésével és szükség esetén való működéssel. Az eredmények alapján új elemzési szabályokat, fenyegetésfelderítést és incidenseket hozhat létre.
| Képességek | Leírás |
|---|---|
| Hipotézis definiálása | Hipotézis meghatározásához keressen ihletet a MITRE-térképből, a legutóbbi keresési lekérdezési eredményekből, a tartalomközpont-megoldásokból, vagy hozzon létre saját egyéni vadászatokat. |
| Lekérdezések és könyvjelzők eredményeinek vizsgálata | Miután definiált egy hipotézist, lépjen a Keresés lap Lekérdezések lapjára. Első lépésként válassza ki a hipotézishez és az Új vadászathoz kapcsolódó lekérdezéseket. Futtassa a vadászattal kapcsolatos lekérdezéseket, és vizsgálja meg az eredményeket a naplók használatával. Az eredményeket közvetlenül a vadászatba könyvjelzőkkel láthatja el, így megjegyzéseket fűzhet az eredményekhez, kinyerheti az entitásazonosítókat, és megőrizheti a releváns lekérdezéseket. |
| Vizsgálat és művelet végrehajtása | Az UEBA entitásoldalak használatával még mélyebben vizsgálhatja meg. Entitásspecifikus forgatókönyvek futtatása könyvjelzőkkel rendelkező entitásokon. A beépített műveletek segítségével új elemzési szabályokat, fenyegetésmutatókat és incidenseket hozhat létre az eredmények alapján. |
| Az eredmények nyomon követése | Jegyezze fel a vadászat eredményeit. Nyomon követheti, hogy a hipotézis érvényesítve van-e vagy sem. Hagyjon részletes megjegyzéseket a megjegyzésekben. A Hunts automatikusan összekapcsolja az új elemzési szabályokat és incidenseket. A metrikasávon nyomon követheti a vadászprogram általános hatását. |
Első lépésként tekintse meg a Teljes körű proaktív fenyegetéskeresést a Microsoft Sentinelben.
Veszélyforrás-keresési lekérdezések
A Microsoft Sentinelben válassza a Hunting Queries (Lekérdezések keresése)>lapot az összes lekérdezés vagy egy kijelölt részhalmaz futtatásához. A Lekérdezések lap felsorolja a Tartalomközpont biztonsági megoldásaival telepített összes keresési lekérdezést, valamint a létrehozott vagy módosított további lekérdezéseket. Minden lekérdezés leírja, hogy mire vadászik, és milyen típusú adatokon fut. Ezeket a lekérdezéseket a MITRE ATT&CK-taktikáik csoportosítják. A jobb oldali ikonok kategorizálják a fenyegetés típusát, például a kezdeti hozzáférést, az adatmegőrzést és a kiszivárgást. A MITRE ATT&CK technikák a Technikák oszlopban jelennek meg, és a keresési lekérdezés által meghatározott viselkedést írják le.
A lekérdezések lapon azonosíthatja, hogy hol kezdjen vadászni az eredmények számának, a kiugró értékeknek vagy az eredmények számának 24 órás időszakonkénti változásával. Rendezés és szűrés kedvencek, adatforrás, MITRE ATT&CK taktika vagy technika, eredmények, eredmények eltérése vagy az eredmények eltérése százalék szerint. Megtekintheti a még csatlakoztatott adatforrásokat igénylő lekérdezéseket, és javaslatokat kaphat a lekérdezések engedélyezésére.
Az alábbi táblázat a vadászati irányítópulton elérhető részletes műveleteket ismerteti:
| Művelet | Leírás |
|---|---|
| Tekintse meg, hogyan vonatkoznak a lekérdezések a környezetére | Válassza az Összes lekérdezés futtatása gombot, vagy jelölje ki a lekérdezések egy részhalmazát az egyes soroktól balra található jelölőnégyzetek használatával, és válassza a Kijelölt lekérdezések futtatása gombot. A lekérdezések futtatása néhány másodperctől akár több percig is eltarthat, attól függően, hogy hány lekérdezés van kiválasztva, az időtartománytól és a lekérdezett adatok mennyiségétől függően. |
| Az eredményeket visszaadó lekérdezések megtekintése | A lekérdezések futtatása után tekintse meg az eredményeket visszaadó lekérdezéseket az Eredmények szűrővel: – Rendezés annak megtekintéséhez, hogy mely lekérdezések voltak a legtöbb vagy a legkevesebb eredmény. – Az Eredmények szűrő N/A elemének kiválasztásával megtekintheti a környezetben egyáltalán nem aktív lekérdezéseket. - Vigye az egérmutatót az N/A melletti információs ikonra (i) annak megtekintéséhez, hogy mely adatforrások szükségesek a lekérdezés aktiválásához. |
| Az adatok kiugró értékeinek azonosítása | Az adatok csúcsainak azonosítása az Eredmények különbözete vagy az Eredmények különbözet százalékos arányának rendezésével vagy szűrésével. Az elmúlt 24 óra eredményeit hasonlítja össze az előző 24–48 óra eredményeival, kiemelve a nagy különbségeket vagy a relatív mennyiségi különbségeket. |
| A MITRE ATT&CK-taktikához hozzárendelt lekérdezések megtekintése | A MITRE ATT&CK taktikasávja a táblázat tetején felsorolja, hogy hány lekérdezés van megfeleltetve az egyes MITRE ATT&CK-taktikákhoz. A taktikasáv dinamikusan frissül az alkalmazott szűrők jelenlegi készlete alapján. Lehetővé teszi, hogy lássa, mely MITRE ATT&CK-taktikák jelennek meg, amikor egy adott eredményszám, magas eredménybeli eltérés, N/A-eredmények vagy bármely más szűrőkészlet alapján szűr. |
| MITRE ATT&CK-technikákra leképezett lekérdezések megtekintése | A lekérdezések a MITRE ATT&CK technikákra is leképezhetők. A MITRE ATT&CK-technikák alapján a Technika szűrővel szűrhet vagy rendezhet. Egy lekérdezés megnyitásával kiválaszthatja a technikát, hogy megtekintse a technika MITRE ATT&CK-leírását. |
| Lekérdezés mentése a kedvencek közé | A kedvencek közé mentett lekérdezések automatikusan futnak minden alkalommal, amikor a Vadászat lap elérhető. Létrehozhat saját keresési lekérdezést, vagy klónozhat, és testre szabhat egy meglévő keresési lekérdezési sablont. |
| Lekérdezések futtatása | A lekérdezés közvetlenül a vadászlapról való futtatásához válassza a Lekérdezés futtatása lehetőséget a keresési lekérdezés részletei lapon. Az egyezések száma megjelenik a táblában, az Eredmények oszlopban. Tekintse át a keresési lekérdezések listáját és azok találatait. |
| Mögöttes lekérdezés áttekintése | Gyors áttekintést végezhet az alapul szolgáló lekérdezésről a lekérdezés részletei panelen. Az eredményeket a lekérdezés eredményeinek megtekintése hivatkozásra (a lekérdezés ablaka alatt) vagy az Eredmények megtekintése gombra (a panel alján) kattintva tekintheti meg. A lekérdezés megnyitja a Naplók (Log Analytics) lapot, és a lekérdezés alatt áttekintheti a lekérdezés egyezéseit. |
A következő műveletek végrehajtásához használjon lekérdezéseket a kompromisszumok előtt, alatt és után:
Incidens előtt: Az észlelésekre való várakozás nem elegendő. Proaktív műveletet hajthat végre, ha hetente legalább egyszer futtatja a munkaterületre betöltendő adatokra vonatkozó fenyegetéskeresési lekérdezéseket.
A proaktív vadászat eredményei korai betekintést nyújtanak az eseményekbe, amelyek megerősíthetik, hogy a kompromisszum folyamatban van, vagy legalábbis gyengébb területeket mutatnak a környezetben, amelyek veszélyben vannak, és figyelmet igényelnek.
Kompromisszumok esetén: A livestream használatával folyamatosan futtathat egy adott lekérdezést, és az eredmények megjelennek. Akkor használja az élő közvetítést, ha aktívan figyelnie kell a felhasználói eseményeket, például ellenőriznie kell, hogy egy adott kompromisszum még folyamatban van-e, hogy segítsen meghatározni a fenyegetést okozó szereplő következő lépését, és a vizsgálat vége felé ellenőrizze, hogy a kompromisszum valóban véget ért-e.
Kompromisszum után: Kompromisszumot vagy incidenst követően mindenképpen javítsa a lefedettséget és az elemzést, hogy a jövőben megelőzze a hasonló incidenseket.
Módosítsa a meglévő lekérdezéseket, vagy hozzon létre újakat a korai észlelés érdekében, a biztonsági rés vagy incidens alapján szerzett megállapítások alapján.
Ha olyan keresési lekérdezést fedezett fel vagy hozott létre, amely nagy értékű elemzéseket biztosít a lehetséges támadásokhoz, hozzon létre egyéni észlelési szabályokat a lekérdezés alapján, és ezeket az elemzéseket riasztásként jelenítse meg a biztonsági incidens válaszadói számára.
Tekintse meg a lekérdezés eredményeit, és válassza az Új riasztási szabály>Létrehozása Microsoft Sentinel-riasztást. Az Elemzési szabály varázslóval hozzon létre egy új szabályt a lekérdezés alapján. További információ: Egyéni elemzési szabályok létrehozása a fenyegetések észleléséhez.
Az Azure Data Explorerben tárolt adatokon is létrehozhat vadász- és élőstream-lekérdezéseket. További információkért tekintse meg az erőforrás-alapú lekérdezések létrehozásának részleteit az Azure Monitor dokumentációjában.
További lekérdezések és adatforrások kereséséhez nyissa meg a Microsoft Sentinel Tartalomközpontját , vagy tekintse meg az olyan közösségi erőforrásokat, mint a Microsoft Sentinel GitHub-adattár.
A dobozon kívüli keresési lekérdezések
Számos biztonsági megoldás közé tartoznak a dobozon kívüli keresési lekérdezések. Miután telepített egy olyan megoldást, amely a Tartalomközpontból származó keresési lekérdezéseket tartalmaz, a megoldás mezőn kívüli lekérdezései megjelennek a keresési lekérdezések lapon. A lekérdezések naplótáblákban tárolt adatokon futnak, például folyamatlétrehozáshoz, DNS-eseményekhez vagy más eseménytípusokhoz.
A Microsoft biztonsági kutatói folyamatosan fejlesztenek számos rendelkezésre álló keresési lekérdezést. Új lekérdezéseket adnak hozzá a biztonsági megoldásokhoz, és finomhangolják a meglévő lekérdezéseket, hogy belépési pontot biztosítsanak az új észlelések és támadások kereséséhez.
Egyéni keresési lekérdezések
Hozzon létre vagy szerkesszen egy lekérdezést, és mentse saját lekérdezésként, vagy ossza meg azokkal a felhasználókkal, akik ugyanabban a bérlőben vannak. A Microsoft Sentinelben hozzon létre egy egyéni keresési lekérdezést a Hunting Query (Lekérdezések)>lapról.
További információ: Egyéni keresési lekérdezések létrehozása a Microsoft Sentinelben.
Élő közvetítési munkamenetek
Interaktív munkameneteket hozhat létre, amelyek lehetővé teszik az újonnan létrehozott lekérdezések tesztelését események bekövetkezésekor, értesítéseket kaphat a munkamenetekből, ha talál egyezést, és szükség esetén vizsgálatot indíthat el. Bármely Log Analytics-lekérdezéssel gyorsan létrehozhat élő streames munkamenetet.
Újonnan létrehozott lekérdezések tesztelése események bekövetkezésekor
A lekérdezéseket anélkül tesztelheti és módosíthatja, hogy ütközések lépnek fel az eseményekre aktívan alkalmazott jelenlegi szabályokkal. Miután meggyőződett arról, hogy ezek az új lekérdezések a várt módon működnek, egyszerűen előléptetheti őket az egyéni riasztási szabályokra egy olyan beállítás kiválasztásával, amely a munkamenetet riasztásra emeli.
Értesítés a fenyegetések bekövetkezésekor
Összehasonlíthatja a veszélyforrás-adatcsatornákat az összesített naplóadatokkal, és értesítést kaphat, ha egyezés történik. A veszélyforrások adatcsatornái olyan folyamatos adatfolyamok, amelyek potenciális vagy aktuális fenyegetésekhez kapcsolódnak, így az értesítés potenciális fenyegetést jelezhet a szervezet számára. Hozzon létre egy élő folyami munkamenetet egyéni riasztási szabály helyett, hogy értesítést kapjon egy lehetséges problémáról anélkül, hogy az egyéni riasztási szabály fenntartásának többlettere lenne.
Vizsgálatok indítása
Ha van egy aktív vizsgálat, amely egy objektumot, például egy gazdagépet vagy felhasználót érint, tekintse meg az adott (vagy bármely) tevékenységet a naplóadatokban, ahogy az az adott objektumon történik. Értesítést kaphat a tevékenységről.
További információ: Veszélyforrások észlelése élő közvetítéssel a Microsoft Sentinelben.
Könyvjelzők az adatok nyomon követéséhez
A fenyegetéskeresés általában a naplóadatok hegyeinek áttekintését igényli, és rosszindulatú viselkedésre utaló bizonyítékokat keres. Ebben a folyamatban a nyomozók olyan eseményeket találnak, amelyeket meg szeretnének emlékezni, újra meg kell tekinteniük és elemezniük a lehetséges hipotézisek érvényesítése és a kompromisszum teljes történetének megértése részeként.
A keresési és vizsgálati folyamat során előfordulhat, hogy szokatlannak vagy gyanúsnak tűnő lekérdezési eredmények jelennek meg. Jelölje meg ezeket az elemeket, hogy a jövőben hivatkozzon rájuk, például amikor incidenst hoz létre vagy bővít kivizsgálás céljából. Könyvjelzőként olyan eseményeket kell felhozni, mint a lehetséges kiváltó okok, a veszélyeztetés jelzései vagy más jelentős események. Ha a könyvjelzővel megjelölt kulcsfontosságú esemény elég súlyos ahhoz, hogy nyomozást indokoljon, eszkalálja azt egy incidensre.
Az eredményekben jelölje be a megőrizni kívánt sorok jelölőnégyzeteit, és válassza a Könyvjelző hozzáadása lehetőséget. Ez létrehoz egy rekordot minden egyes megjelölt sorhoz, egy könyvjelzőhöz, amely tartalmazza a soreredményeket és az eredményeket létrehozó lekérdezést. Minden könyvjelzőhöz hozzáadhat saját címkéket és jegyzeteket.
- Az ütemezett elemzési szabályokhoz hasonlóan a könyvjelzőket entitásleképezésekkel bővítheti, így több entitástípust és azonosítót nyerhet ki, a MITRE ATT&CK-megfeleltetések pedig adott taktikákat és technikákat társíthatnak.
- A könyvjelzők alapértelmezés szerint ugyanazt az entitást és MITRE ATT&CK-technikát használják, mint a könyvjelzővel rendelkező eredményeket előállító keresési lekérdezés.
Az összes könyvjelzővel megjelölt találat megtekintéséhez kattintson a Könyvjelzők fülre a fő vadászati oldalon. Címkék hozzáadása könyvjelzőkhöz a szűréshez való besoroláshoz. Ha például egy támadási kampányt vizsgál, létrehozhat egy címkét a kampányhoz, alkalmazhatja a címkét a megfelelő könyvjelzőkre, majd szűrheti az összes könyvjelzőt a kampány alapján.
A könyvjelző kiválasztásával, majd a Részletek panelEn a Vizsgálat gombra kattintva vizsgálhatja meg az egyetlen könyvjelzővel rendelkező találatot a vizsgálati felület megnyitásához. Az eredmények megtekintése, vizsgálata és vizuális közlése interaktív entitásdiagram és idővonal használatával. Közvetlenül is kijelölhet egy felsorolt entitást az entitás megfelelő entitáslapjának megtekintéséhez.
Incidenst egy vagy több könyvjelzőből is létrehozhat, vagy hozzáadhat egy vagy több könyvjelzőt egy meglévő incidenshez. Jelöljön be egy jelölőnégyzetet a használni kívánt könyvjelzők bal oldalán, majd válassza az Incidensműveletek>Új incidens létrehozása vagy Hozzáadás meglévő incidenshez lehetőséget. Triage és vizsgálja meg az incidenst, mint bármely más.
A könyvjelzős adatokat közvetlenül a HuntingBookmark táblában tekintheti meg a Log Analytics-munkaterületen. Példa:
A könyvjelzők táblázatból való megtekintése lehetővé teszi a könyvjelzővel ellátott adatok szűrését, összegzését és összekapcsolását más adatforrásokkal, így könnyen megkeresheti a alátámasztó bizonyítékokat.
A könyvjelzők használatának megkezdéséhez tekintse meg az adatok nyomon követését a Microsoft Sentinellel való vadászat során.
Jegyzetfüzetek az energiagazdálkodási vizsgálatokhoz
Ha a vadászat és a vizsgálat összetettebbé válik, a Microsoft Sentinel-jegyzetfüzetek használatával gépi tanulással, vizualizációkkal és adatelemzéssel javíthatja a tevékenységeit.
A jegyzetfüzetek egyfajta virtuális tesztkörnyezetet biztosítanak, amely saját kernellel van kiegészítve, ahol teljes vizsgálatot végezhet. A jegyzetfüzet tartalmazhat nyers adatokat, az adatokon futtatott kódot, az eredményeket és azok vizualizációit. Mentse a jegyzetfüzeteket, hogy másokkal is megoszthassa, hogy újra felhasználhassa a szervezetében.
A jegyzetfüzetek akkor lehetnek hasznosak, ha a vadászat vagy a vizsgálat túl nagy méretűvé válik a könnyen megjegyezhető adatokhoz, a részletek megtekintéséhez vagy a lekérdezések és eredmények mentéséhez. A jegyzetfüzetek létrehozásához és megosztásához a Microsoft Sentinel közvetlenül a Microsoft Sentinel Notebooks lapba integrált, nyílt forráskódú, interaktív fejlesztési és adatmanipulációs környezetet biztosít Jupyter Notebooks szolgáltatással.
További információk:
- Biztonsági fenyegetések keresése Jupyter-notebook segítségével
- A Jupyter Project dokumentációja
- Jupyter bevezető dokumentáció.
- Az Infosec Jupyter könyv
- Valós Python-oktatóanyagok
Az alábbi táblázat a Jupyter notebookok Microsoft Sentinelben végzett folyamatait segítő néhány módszert ismertet:
| Metódus | Leírás |
|---|---|
| Adatmegőrzés, ismételhetőség és visszakövetés | Ha sok lekérdezéssel és eredménykészlettel dolgozik, valószínűleg zsákutcával rendelkezik. El kell döntenie, hogy mely lekérdezéseket és eredményeket tartsa meg, és hogyan gyűjtheti össze a hasznos eredményeket egyetlen jelentésben. A Jupyter notebookokkal mentheti a lekérdezéseket és az adatokat útközben, változókkal futtathat lekérdezéseket különböző értékekkel vagy dátumokkal, vagy mentheti a lekérdezéseket a későbbi vizsgálatok újrafuttatásához. |
| Szkriptelés és programozás | A Jupyter notebookokkal programozást adhat a lekérdezésekhez, többek között a következőket: - Az olyan deklaratív nyelvek, mint a Kusto lekérdezésnyelv (KQL) vagy az SQL, a logikát egyetlen, esetleg összetett utasításban kódolhatja. - Procedurális programozási nyelvek, amelyek a logikát lépések sorozatában futtatják. Ossza fel a logikát lépésekre, hogy segítsen a köztes eredmények megtekintésében és hibakeresésében, olyan funkciók hozzáadásában, amelyek esetleg nem érhetők el a lekérdezési nyelven, és a részleges eredményeket a későbbi feldolgozási lépésekben is felhasználhatja. |
| Külső adatokra mutató hivatkozások | Bár a Microsoft Sentinel-táblák legtöbb telemetriai és eseményadattal rendelkeznek, a Jupyter Notebookok bármilyen, a hálózaton vagy fájlból elérhető adathoz csatolhatók. A Jupyter notebookok használatával olyan adatokat is felvehet, mint például: - A nem birtokolt külső szolgáltatások adatai, például földrajzi helymeghatározási adatok vagy fenyegetésfelderítési források - Bizalmas adatok, amelyek csak a szervezeten belül tárolódnak, például emberi erőforrás-adatbázisok vagy nagy értékű objektumok listája - Olyan adatok, amelyeket még nem migrált a felhőbe. |
| Speciális adatfeldolgozási, gépi tanulási és vizualizációs eszközök | A Jupyter Notebooks további vizualizációkat, gépi tanulási kódtárakat, valamint adatfeldolgozási és átalakítási funkciókat biztosít. Használja például a Jupyter Notebookokat a következő Python-képességekkel : - pandas az adatfeldolgozáshoz, a törléshez és a mérnöki munkához - Matplotlib, HoloViews és Plotly vizualizációhoz - NumPy és SciPy fejlett numerikus és tudományos feldolgozáshoz - scikit-learn gépi tanuláshoz - TensorFlow, PyTorch és Keras a mély tanuláshoz Tipp: A Jupyter Notebookok több nyelvi kernelt is támogatnak. Az egyes cellák más nyelven történő végrehajtásának engedélyezésével varázslatokkal keverheti a nyelveket ugyanabban a jegyzetfüzetben. Lekérheti például az adatokat Egy PowerShell-szkriptcellával, feldolgozhatja az adatokat a Pythonban, és JavaScript használatával vizualizációt jeleníthet meg. |
MSTIC, Jupyter és Python biztonsági eszközök
A Microsoft Threat Intelligence Center (MSTIC) a Microsoft biztonsági elemzőinek és mérnökeinek csapata, akik biztonsági észleléseket végeznek több Microsoft-platformon, és a fenyegetések azonosításán és vizsgálatán dolgoznak.
Az MSTIC az MSTICPy-t, a Jupyter Notebooks információbiztonsági vizsgálatainak és kereséseinek könyvtárát építette. Az MSTICPy újrafelhasználható funkciókat biztosít, amelyek célja a jegyzetfüzetek létrehozásának felgyorsítása, valamint a felhasználók számára a jegyzetfüzetek olvasásának megkönnyítése a Microsoft Sentinelben.
Az MSTICPy például a következőt teheti:
- Naplóadatok lekérdezése több forrásból.
- Bővítse az adatokat fenyegetésfelderítéssel, földrajzi helyekkel és Azure-erőforrásadatokkal.
- Bontsa ki a tevékenységjelzőket (IoA) a naplókból, és csomagolja ki a kódolt adatokat.
- Végezze el a kifinomult elemzéseket, például a rendellenes munkamenet-észlelést és az idősorok felbontását.
- Adatok megjelenítése interaktív ütemtervekkel, folyamatfákkal és többdimenziós alakváltási diagramokkal.
Az MSTICPy emellett időtakarékos jegyzetfüzet-eszközöket is tartalmaz, például a lekérdezési időkorlátokat megjelölő vezérlőket, a listák elemeinek kijelölését és megjelenítését, valamint a jegyzetfüzet-környezet konfigurálását.
További információk:
- AZ MSTICPy dokumentációja
- Jupyter notebookok a Microsoft Sentinel vadászati képességeivel
- Speciális konfigurációk Jupyter-notebookokhoz és MSTICPy-hoz a Microsoft Sentinelben
Hasznos operátorok és függvények
A keresési lekérdezések a Kusto lekérdezésnyelv (KQL) egy hatékony, IntelliSense nyelvvel rendelkező lekérdezési nyelvből állnak, amely lehetővé teszi a következő szintre való vadászathoz szükséges erőt és rugalmasságot.
Ez ugyanaz a nyelv, amelyet a lekérdezések az elemzési szabályokban és a Microsoft Sentinel más részein használnak. További információ: Lekérdezési nyelv referenciája.
A Következő operátorok különösen hasznosak a Microsoft Sentinel keresési lekérdezéseiben:
where – Szűrjön egy táblát a predikátumnak megfelelő sorok részhalmazára.
summarize – A bemeneti tábla tartalmát összesítő táblázat létrehozása.
illesztés – Két tábla sorainak egyesítése új táblázat létrehozásához az egyes táblák megadott oszlopainak megfelelő értékekkel.
count – A bemeneti rekordhalmaz rekordjainak számát adja vissza.
felül – Az első N rekordot adja vissza a megadott oszlopok szerint rendezve.
limit – Adja vissza a megadott számú sort.
projekt – Jelölje ki a belefoglalni, átnevezni vagy elvetni kívánt oszlopokat, és szúrjon be új számított oszlopokat.
extend – Számított oszlopok létrehozása és hozzáfűzése az eredményhalmazhoz.
makeset – Az Expr által a csoportban foglalt különböző értékek dinamikus (JSON) tömbjének visszaadása
find – Egy predikátumnak megfelelő sorok keresése táblakészletek között.
adx() – Ez a függvény az Azure Data Explorer-adatforrások erőforrásközi lekérdezéseit végzi a Microsoft Sentinel vadászati felületéről és a Log Analyticsből. További információ: Azure Data Explorer erőforrásközi lekérdezés az Azure Monitor használatával.
Kapcsolódó cikkek
- Jupyter notebookok a Microsoft Sentinel vadászati képességeivel
- Az adatok nyomon követése a vadászat során a Microsoft Sentinel használatával
- Fenyegetések észlelése élő közvetítéssel a Microsoft Sentinelben
- Ebből a példából megtudhatja, hogyan használhat egyéni elemzési szabályokat a Zoom egyéni összekötővel való monitorozása során.