Az adatok nyomon követése a vadászat során a Microsoft Sentinel használatával
A fenyegetéskeresés általában a naplóadatok hegyeinek áttekintését igényli, és rosszindulatú viselkedésre utaló bizonyítékokat keres. Ebben a folyamatban a nyomozók olyan eseményeket találnak, amelyeket meg szeretnének emlékezni, újra meg kell tekinteniük és elemezniük a lehetséges hipotézisek érvényesítése és a kompromisszum teljes történetének megértése részeként.
A Microsoft Sentinel könyvjelzőinek keresésével megőrizheti a Microsoft Sentinel – Naplókban futtatott lekérdezéseket, valamint az Ön által relevánsnak ítélt lekérdezési eredményeket. Megjegyzések és címkék hozzáadásával emellett a környezettel kapcsolatos megfigyeléseit is feljegyezheti és lehivatkozhatja. A könyvjelzővel ellátott adatokat Ön és csapata is láthatja a könnyebb együttműködés érdekében.
Most már azonosíthatja és kezelheti a MITRE ATT&CK technika lefedettségének hiányosságait az összes vadászati lekérdezésben, ha az egyéni keresési lekérdezéseket a MITRE ATT&CK-technikákhoz megfelelteti.
További típusú entitások vizsgálata könyvjelzőkkel való keresés közben a Microsoft Sentinel Analytics által támogatott entitástípusok és -azonosítók teljes készletének leképezésével az egyéni lekérdezésekben. Könyvjelzőkkel vizsgálhatja meg a keresési lekérdezés eredményeiben visszaadott entitásokat entitásoldalak, incidensek és a vizsgálati gráf használatával. Ha egy könyvjelző egy keresési lekérdezés eredményeit rögzíti, automatikusan örökli a lekérdezés MITRE ATT&CK technikáját és entitásleképezéseit.
Ha talál valamit, amelyet sürgősen meg kell oldani a naplókban való keresés során, egyszerűen létrehozhat egy könyvjelzőt, és előléptetheti azt egy incidensbe, vagy hozzáadhatja egy meglévő incidenshez. Az incidensekről további információt a Microsoft Sentinel incidenseinek kivizsgálása című témakörben talál.
Ha talált valamit, amit érdemes könyvjelzővel megjelölni, de ez nem sürgős azonnal, létrehozhat egy könyvjelzőt, majd bármikor újra megtekintheti a könyvjelzővel rendelkező adatokat a Vadászat panel Könyvjelzők lapján. Szűrési és keresési lehetőségekkel gyorsan megkereshet adott, az aktuális vizsgálathoz szükséges adatokat.
A könyvjelzők adatainak megjelenítéséhez válassza a Vizsgálat lehetőséget a könyvjelző részletei közül. Ez elindítja azt a vizsgálati felületet, amelyben egy interaktív entitásdiagram és idővonal használatával tekintheti meg, vizsgálhatja meg és vizuálisan közölheti az eredményeket.
Másik lehetőségként közvetlenül a Log Analytics-munkaterület HuntingBookmark táblájában tekintheti meg a könyvjelzők adatait. Példa:
A könyvjelzők táblázatból való megtekintése lehetővé teszi a könyvjelzővel ellátott adatok szűrését, összegzését és összekapcsolását más adatforrásokkal, így könnyen megkeresheti a alátámasztó bizonyítékokat.
Feljegyzés
Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.
Fontos
A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Könyvjelző hozzáadása
Hozzon létre egy könyvjelzőt a lekérdezések, eredmények, megfigyelések és eredmények megőrzéséhez.
Az Azure Portalon a Microsoft Sentinel esetében a Fenyegetéskezelés területen válassza a Hunting (Vadászat) lehetőséget.
Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Threat Management>Hunting lehetőséget.Válassza ki a keresési lekérdezések egyikét.
A keresési lekérdezés részletei között válassza a Lekérdezés futtatása lehetőséget.
Válassza a Lekérdezési eredmények megtekintése lehetőséget. Példa:
Ez a művelet megnyitja a lekérdezés eredményeit a Naplók panelen.
A napló lekérdezés eredménylistájában a jelölőnégyzetekkel jelöljön ki egy vagy több olyan sort, amely az érdekesnek talált információkat tartalmazza.
Válassza a Könyvjelző hozzáadása lehetőséget:
A jobb oldalon, a Könyvjelző hozzáadása panelen szükség esetén frissítse a könyvjelző nevét, adjon hozzá címkéket és jegyzeteket az elem érdekességeinek azonosításához.
A könyvjelzők opcionálisan a MITRE ATT&CK technikákhoz vagy altechnikákhoz rendelhetők. A MITRE ATT&CK-leképezések öröklődnek a leképezett értékektől a keresési lekérdezésekben, de manuálisan is létrehozhatja őket. Válassza ki a kívánt technikához társított MITRE ATT&CK taktikát a Könyvjelző hozzáadása panel Taktika és technikák szakaszának legördülő menüjéből. A menü kibővül a MITRE ATT&CK összes technikájának megjelenítéséhez, és ebben a menüben több technikát és altechnikát is kiválaszthat.
Mostantól kibonthatja az entitások kibontott készletét a könyvjelzővel rendelkező lekérdezési eredményekből további vizsgálat céljából. Az Entitásleképezés szakaszban az entitástípusok és -azonosítók kiválasztásához használja a legördülő listákat. Ezután képezheti le a lekérdezés eredményében szereplő oszlopot, amely tartalmazza a megfelelő azonosítót. Példa:
A könyvjelzőnek a vizsgálati gráfban való megtekintéséhez legalább egy entitást le kell képeznie. A létrehozott fiók-, gazdagép-, IP- és URL-entitástípusok entitásleképezései támogatottak, megőrizve a visszamenőleges kompatibilitást.
A módosítások véglegesítéséhez és a könyvjelző hozzáadásához válassza a Mentés lehetőséget. Minden könyvjelzővel ellátott adat meg van osztva más elemzőkkel, és ez az első lépés az együttműködésen alapuló vizsgálati élmény felé.
A napló lekérdezési eredményei támogatják a könyvjelzőket, amikor ezt a panelt megnyitják a Microsoft Sentinelből. A navigációs sávon például az Általános>naplók lehetőséget választja, az eseményhivatkozásokat a vizsgálati gráfban, vagy kiválaszt egy riasztásazonosítót az incidens teljes részleteiből. Nem hozhat létre könyvjelzőket, ha a Naplók panel más helyről, például közvetlenül az Azure Monitorból nyílik meg.
Könyvjelzők megtekintése és frissítése
Könyvjelző keresése és frissítése a könyvjelző lapon.
Az Azure Portalon a Microsoft Sentinel esetében a Fenyegetéskezelés területen válassza a Hunting (Vadászat) lehetőséget.
Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Threat Management>Hunting lehetőséget.A könyvjelzők listájának megtekintéséhez válassza a Könyvjelzők lapot.
Keressen vagy szűrjön egy adott könyvjelzőt vagy könyvjelzőt.
Jelölje ki az egyes könyvjelzőket a könyvjelző részleteinek megtekintéséhez a jobb oldali panelen.
Szükség szerint végezze el a módosításokat. A rendszer automatikusan menti a módosításokat.
Könyvjelzők felfedezése a vizsgálati gráfban
A könyvjelzővel rendelkező adatok megjelenítéséhez indítsa el azt a vizsgálati felületet, amelyben egy interaktív entitásdiagram és idővonal használatával megtekintheti, vizsgálhatja és vizuálisan közölheti az eredményeket.
A Könyvjelzők lapon válassza ki a vizsgálandó könyvjelzőket vagy könyvjelzőket.
A könyvjelző részletei között győződjön meg arról, hogy legalább egy entitás megfeleltetve van.
Válassza a Vizsgálat lehetőséget a könyvjelző megtekintéséhez a vizsgálati gráfban.
A vizsgálati gráf használatára vonatkozó utasításokért lásd : A vizsgálati gráf használata a részletes elemzéshez.
Könyvjelzők hozzáadása új vagy meglévő incidenshez
Könyvjelzők hozzáadása incidenshez a Vadászat lap Könyvjelzők lapján.
A Könyvjelzők lapon válassza ki az incidenshez hozzáadni kívánt könyvjelzőket vagy könyvjelzőket.
Válassza ki az incidensműveleteket a parancssávon:
Válassza az Új incidens létrehozása vagy a Hozzáadás meglévő incidenshez lehetőséget, ha szükséges. Ekkor:
- Új incidens esetén: Igény szerint frissítse az incidens részleteit, majd válassza a Létrehozás lehetőséget.
- Könyvjelző meglévő incidenshez való hozzáadásához: Jelöljön ki egy incidenst, majd válassza a Hozzáadás lehetőséget.
A parancssáv Incidensműveletek lehetőségének alternatívaként használhatja a helyi menüt (...) egy vagy több könyvjelzőhöz az új incidens létrehozásához, a Hozzáadás a meglévő incidenshez és az Incidens eltávolítása lehetőség kiválasztásához.
Az incidensen belüli könyvjelző megtekintéséhez nyissa meg a Microsoft Sentinel>fenyegetéskezelési>incidenseit , és válassza ki az incidenst a könyvjelzővel együtt. Válassza a Teljes adatok megtekintése, majd a Könyvjelzők fület.
Könyvjelzők adatainak megtekintése naplókban
Könyvjelzőként megjelölt lekérdezések, eredmények vagy azok előzményeinek megtekintése.
Válassza ki a könyvjelzőt a Hunting Bookmarks (Könyvjelzők vadászata)>lapon.
Válassza ki a részletek panelen megadott hivatkozásokat:
A forrás lekérdezés megtekintése a Naplók panelen a forrás lekérdezés megtekintéséhez.
A könyvjelzőnaplók megtekintése az összes könyvjelző metaadatának megtekintéséhez, beleértve a frissítést végző személyeket, a frissített értékeket és a frissítés időpontját.
Az összes könyvjelző nyers könyvjelzőadatainak megtekintéséhez válassza a Könyvjelzőnaplók lehetőséget a Könyvjelzők keresés> lapjának parancssávján:
Ez a nézet az összes könyvjelzőt megjeleníti a társított metaadatokkal. A Kusto lekérdezésnyelv (KQL) lekérdezésekkel a keresett könyvjelző legújabb verziójára szűrhet.
A könyvjelző létrehozása és a Könyvjelzők lapon való megjelenítése között jelentős késés (percekben mérve) lehet.
Könyvjelző törlése
A könyvjelző törlése eltávolítja a könyvjelzőt a Könyvjelző lap listájából. A Log Analytics-munkaterület HuntingBookmark táblája továbbra is tartalmazza a korábbi könyvjelzőbejegyzéseket, de a legutóbbi bejegyzés igaz értékre módosítja a SoftDelete értéket, így egyszerűen kiszűrheti a régi könyvjelzőket. A könyvjelzők törlése nem távolít el entitásokat a vizsgálati felületről, amelyek más könyvjelzőkkel vagy riasztásokkal vannak társítva.
Könyvjelző törléséhez hajtsa végre az alábbi lépéseket.
A Könyvjelzők vadászata>lapon válassza ki a törölni kívánt könyvjelzőket vagy könyvjelzőket.
Kattintson a jobb gombbal, és válassza ki a kijelölt könyvjelzők törlésének lehetőségét.
Kapcsolódó tartalom
Ebben a cikkben megtanulta, hogyan futtathat vadászati vizsgálatot könyvjelzőkkel a Microsoft Sentinelben. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben: