Az adatok nyomon követése a vadászat során a Microsoft Sentinel használatával

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A fenyegetéskeresés általában a naplóadatok hegyeinek áttekintését igényli, és rosszindulatú viselkedésre utaló bizonyítékokat keres. Ebben a folyamatban a nyomozók olyan eseményeket találnak, amelyeket meg szeretnének emlékezni, újra meg kell tekinteniük és elemezniük a lehetséges hipotézisek érvényesítése és a kompromisszum teljes történetének megértése részeként.

A Microsoft Sentinel könyvjelzőinek keresésével megőrizheti a Microsoft Sentinel – Naplókban futtatott lekérdezéseket, valamint az Ön által relevánsnak ítélt lekérdezési eredményeket. Megjegyzések és címkék hozzáadásával emellett a környezettel kapcsolatos megfigyeléseit is feljegyezheti és lehivatkozhatja. A könyvjelzővel ellátott adatokat Ön és csapata is láthatja a könnyebb együttműködés érdekében.

Most már azonosíthatja és kezelheti a MITRE ATT&CK technika lefedettségének hiányosságait az összes vadászati lekérdezésben, ha az egyéni keresési lekérdezéseket a MITRE ATT&CK-technikákhoz megfelelteti.

További típusú entitások vizsgálata könyvjelzőkkel való keresés közben a Microsoft Sentinel Analytics által támogatott entitástípusok és -azonosítók teljes készletének leképezésével az egyéni lekérdezésekben. Könyvjelzőkkel vizsgálhatja meg a keresési lekérdezés eredményeiben visszaadott entitásokat entitásoldalak, incidensek és a vizsgálati gráf használatával. Ha egy könyvjelző egy keresési lekérdezés eredményeit rögzíti, automatikusan örökli a lekérdezés MITRE ATT&CK technikáját és entitásleképezéseit.

Ha talál valamit, amelyet sürgősen meg kell oldani a naplókban való keresés során, egyszerűen létrehozhat egy könyvjelzőt, és előléptetheti azt egy incidensbe, vagy hozzáadhatja egy meglévő incidenshez. Az incidensekről további információt a Microsoft Sentinel incidenseinek kivizsgálása című témakörben talál.

Ha talált valamit, amit érdemes könyvjelzővel megjelölni, de ez nem sürgős azonnal, létrehozhat egy könyvjelzőt, majd bármikor újra megtekintheti a könyvjelzővel rendelkező adatokat a Vadászat panel Könyvjelzők lapján. Szűrési és keresési lehetőségekkel gyorsan megkereshet adott, az aktuális vizsgálathoz szükséges adatokat.

A könyvjelzők adatainak megjelenítéséhez válassza a Vizsgálat lehetőséget a könyvjelző részletei közül. Ez elindítja azt a vizsgálati felületet, amelyben egy interaktív entitásdiagram és idővonal használatával tekintheti meg, vizsgálhatja meg és vizuálisan közölheti az eredményeket.

Másik lehetőségként közvetlenül a Log Analytics-munkaterület HuntingBookmark táblájában tekintheti meg a könyvjelzők adatait. Példa:

Képernyőkép a vadászati könyvjelzők táblázatának megtekintéséről.

A könyvjelzők táblázatból való megtekintése lehetővé teszi a könyvjelzővel ellátott adatok szűrését, összegzését és összekapcsolását más adatforrásokkal, így könnyen megkeresheti a alátámasztó bizonyítékokat.

Feljegyzés

Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Könyvjelző hozzáadása

Hozzon létre egy könyvjelzőt a lekérdezések, eredmények, megfigyelések és eredmények megőrzéséhez.

  1. Az Azure Portalon a Microsoft Sentinel esetében a Fenyegetéskezelés területen válassza a Hunting (Vadászat) lehetőséget.
    Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Threat Management>Hunting lehetőséget.

  2. Válassza ki a keresési lekérdezések egyikét.

  3. A keresési lekérdezés részletei között válassza a Lekérdezés futtatása lehetőséget.

  4. Válassza a Lekérdezési eredmények megtekintése lehetőséget. Példa:

    Képernyőkép a Microsoft Sentinel-keresés lekérdezési eredményeinek megtekintéséről.

    Ez a művelet megnyitja a lekérdezés eredményeit a Naplók panelen.

  5. A napló lekérdezés eredménylistájában a jelölőnégyzetekkel jelöljön ki egy vagy több olyan sort, amely az érdekesnek talált információkat tartalmazza.

  6. Válassza a Könyvjelző hozzáadása lehetőséget:

    Képernyőkép a keresési könyvjelző lekérdezéshez való hozzáadásáról.

  7. A jobb oldalon, a Könyvjelző hozzáadása panelen szükség esetén frissítse a könyvjelző nevét, adjon hozzá címkéket és jegyzeteket az elem érdekességeinek azonosításához.

  8. A könyvjelzők opcionálisan a MITRE ATT&CK technikákhoz vagy altechnikákhoz rendelhetők. A MITRE ATT&CK-leképezések öröklődnek a leképezett értékektől a keresési lekérdezésekben, de manuálisan is létrehozhatja őket. Válassza ki a kívánt technikához társított MITRE ATT&CK taktikát a Könyvjelző hozzáadása panel Taktika és technikák szakaszának legördülő menüjéből. A menü kibővül a MITRE ATT&CK összes technikájának megjelenítéséhez, és ebben a menüben több technikát és altechnikát is kiválaszthat.

    Képernyőkép a Mitre Attack taktikáinak és technikáinak könyvjelzőkhöz való leképezéséről.

  9. Mostantól kibonthatja az entitások kibontott készletét a könyvjelzővel rendelkező lekérdezési eredményekből további vizsgálat céljából. Az Entitásleképezés szakaszban az entitástípusok és -azonosítók kiválasztásához használja a legördülő listákat. Ezután képezheti le a lekérdezés eredményében szereplő oszlopot, amely tartalmazza a megfelelő azonosítót. Példa:

    Képernyőkép a könyvjelzők vadászatához használt entitástípusok leképezéséhez.

    A könyvjelzőnek a vizsgálati gráfban való megtekintéséhez legalább egy entitást le kell képeznie. A létrehozott fiók-, gazdagép-, IP- és URL-entitástípusok entitásleképezései támogatottak, megőrizve a visszamenőleges kompatibilitást.

  10. A módosítások véglegesítéséhez és a könyvjelző hozzáadásához válassza a Mentés lehetőséget. Minden könyvjelzővel ellátott adat meg van osztva más elemzőkkel, és ez az első lépés az együttműködésen alapuló vizsgálati élmény felé.

A napló lekérdezési eredményei támogatják a könyvjelzőket, amikor ezt a panelt megnyitják a Microsoft Sentinelből. A navigációs sávon például az Általános>naplók lehetőséget választja, az eseményhivatkozásokat a vizsgálati gráfban, vagy kiválaszt egy riasztásazonosítót az incidens teljes részleteiből. Nem hozhat létre könyvjelzőket, ha a Naplók panel más helyről, például közvetlenül az Azure Monitorból nyílik meg.

Könyvjelzők megtekintése és frissítése

Könyvjelző keresése és frissítése a könyvjelző lapon.

  1. Az Azure Portalon a Microsoft Sentinel esetében a Fenyegetéskezelés területen válassza a Hunting (Vadászat) lehetőséget.
    Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Threat Management>Hunting lehetőséget.

  2. A könyvjelzők listájának megtekintéséhez válassza a Könyvjelzők lapot.

  3. Keressen vagy szűrjön egy adott könyvjelzőt vagy könyvjelzőt.

  4. Jelölje ki az egyes könyvjelzőket a könyvjelző részleteinek megtekintéséhez a jobb oldali panelen.

  5. Szükség szerint végezze el a módosításokat. A rendszer automatikusan menti a módosításokat.

Könyvjelzők felfedezése a vizsgálati gráfban

A könyvjelzővel rendelkező adatok megjelenítéséhez indítsa el azt a vizsgálati felületet, amelyben egy interaktív entitásdiagram és idővonal használatával megtekintheti, vizsgálhatja és vizuálisan közölheti az eredményeket.

  1. A Könyvjelzők lapon válassza ki a vizsgálandó könyvjelzőket vagy könyvjelzőket.

  2. A könyvjelző részletei között győződjön meg arról, hogy legalább egy entitás megfeleltetve van.

  3. Válassza a Vizsgálat lehetőséget a könyvjelző megtekintéséhez a vizsgálati gráfban.

A vizsgálati gráf használatára vonatkozó utasításokért lásd : A vizsgálati gráf használata a részletes elemzéshez.

Könyvjelzők hozzáadása új vagy meglévő incidenshez

Könyvjelzők hozzáadása incidenshez a Vadászat lap Könyvjelzők lapján.

  1. A Könyvjelzők lapon válassza ki az incidenshez hozzáadni kívánt könyvjelzőket vagy könyvjelzőket.

  2. Válassza ki az incidensműveleteket a parancssávon:

    Képernyőkép könyvjelzők incidenshez való hozzáadásáról.

  3. Válassza az Új incidens létrehozása vagy a Hozzáadás meglévő incidenshez lehetőséget, ha szükséges. Ekkor:

    • Új incidens esetén: Igény szerint frissítse az incidens részleteit, majd válassza a Létrehozás lehetőséget.
    • Könyvjelző meglévő incidenshez való hozzáadásához: Jelöljön ki egy incidenst, majd válassza a Hozzáadás lehetőséget.

A parancssáv Incidensműveletek lehetőségének alternatívaként használhatja a helyi menüt (...) egy vagy több könyvjelzőhöz az új incidens létrehozásához, a Hozzáadás a meglévő incidenshez és az Incidens eltávolítása lehetőség kiválasztásához.

Az incidensen belüli könyvjelző megtekintéséhez nyissa meg a Microsoft Sentinel>fenyegetéskezelési>incidenseit , és válassza ki az incidenst a könyvjelzővel együtt. Válassza a Teljes adatok megtekintése, majd a Könyvjelzők fület.

Könyvjelzők adatainak megtekintése naplókban

Könyvjelzőként megjelölt lekérdezések, eredmények vagy azok előzményeinek megtekintése.

  1. Válassza ki a könyvjelzőt a Hunting Bookmarks (Könyvjelzők vadászata)>lapon.

  2. Válassza ki a részletek panelen megadott hivatkozásokat:

    • A forrás lekérdezés megtekintése a Naplók panelen a forrás lekérdezés megtekintéséhez.

    • A könyvjelzőnaplók megtekintése az összes könyvjelző metaadatának megtekintéséhez, beleértve a frissítést végző személyeket, a frissített értékeket és a frissítés időpontját.

  3. Az összes könyvjelző nyers könyvjelzőadatainak megtekintéséhez válassza a Könyvjelzőnaplók lehetőséget a Könyvjelzők keresés> lapjának parancssávján:

    Képernyőkép a könyvjelzőnaplók parancsról.

Ez a nézet az összes könyvjelzőt megjeleníti a társított metaadatokkal. A Kusto lekérdezésnyelv (KQL) lekérdezésekkel a keresett könyvjelző legújabb verziójára szűrhet.

A könyvjelző létrehozása és a Könyvjelzők lapon való megjelenítése között jelentős késés (percekben mérve) lehet.

Könyvjelző törlése

A könyvjelző törlése eltávolítja a könyvjelzőt a Könyvjelző lap listájából. A Log Analytics-munkaterület HuntingBookmark táblája továbbra is tartalmazza a korábbi könyvjelzőbejegyzéseket, de a legutóbbi bejegyzés igaz értékre módosítja a SoftDelete értéket, így egyszerűen kiszűrheti a régi könyvjelzőket. A könyvjelzők törlése nem távolít el entitásokat a vizsgálati felületről, amelyek más könyvjelzőkkel vagy riasztásokkal vannak társítva.

Könyvjelző törléséhez hajtsa végre az alábbi lépéseket.

  1. A Könyvjelzők vadászata>lapon válassza ki a törölni kívánt könyvjelzőket vagy könyvjelzőket.

  2. Kattintson a jobb gombbal, és válassza ki a kijelölt könyvjelzők törlésének lehetőségét.

Kapcsolódó tartalom

Ebben a cikkben megtanulta, hogyan futtathat vadászati vizsgálatot könyvjelzőkkel a Microsoft Sentinelben. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben: