Teljes körű proaktív fenyegetéskeresés végrehajtása a Microsoft Sentinelben

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A proaktív fenyegetéskeresés olyan folyamat, amelyben a biztonsági elemzők felderítetlen fenyegetéseket és rosszindulatú viselkedéseket keresnek. A hipotézis létrehozásával, az adatokon való kereséssel és a hipotézis érvényesítésével meghatározzák, hogy mit kell tenni. A műveletek közé tartozhat új észlelések létrehozása, új fenyegetésfelderítés vagy új incidensek felpörgetése.

A Microsoft Sentinelben a végpontok közötti vadászati élményt a következő célra használhatja:

  • Proaktívan vadászhat adott MITRE-technikák, potenciálisan rosszindulatú tevékenységek, közelmúltbeli fenyegetések vagy saját egyéni hipotézis alapján.
  • Használjon biztonsági kutató által generált keresési lekérdezéseket vagy egyéni keresési lekérdezéseket a rosszindulatú viselkedés vizsgálatához.
  • A vadászatokat több, tartós lekérdezési lap használatával hajthatja végre, amelyek lehetővé teszik a környezet időbeli megtartását.
  • Gyűjtse össze a bizonyítékokat, vizsgálja meg az UEBA-forrásokat, és jegyzetelje meg az eredményeket a vadászatra vonatkozó könyvjelzők használatával.
  • Együttműködés és az eredmények dokumentálása megjegyzésekkel.
  • Új elemzési szabályok, új incidensek, új fenyegetésjelzők és forgatókönyvek létrehozásával reagálhat az eredményekre.
  • Nyomon követheti új, aktív és zárt vadászatait egy helyen.
  • Metrikák megtekintése érvényesített hipotézisek és kézzelfogható eredmények alapján.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Előfeltételek

A vadászati funkció használatához vagy hozzá kell rendelnie egy beépített Microsoft Sentinel-szerepkört, vagy egy egyéni Azure RBAC-szerepkört. Az alábbi lehetőségeket választhatja:

A hipotézis definiálása

A hipotézis definiálása egy nyitott, rugalmas folyamat, amely bármilyen érvényesítendő ötletet tartalmazhat. Gyakori hipotézisek a következők:

  • Gyanús viselkedés – Vizsgálja meg a környezetben látható potenciálisan rosszindulatú tevékenységeket, és állapítsa meg, hogy történt-e támadás.
  • Új fenyegetéskampány – Az újonnan felfedezett veszélyforrás-szereplők, technikák vagy biztonsági rések alapján keresse meg a rosszindulatú tevékenységek típusait. Ez lehet, amit egy biztonsági hírekben hallott.
  • Észlelési hiányosságok – Növelje az észlelési lefedettséget a MITRE ATT&CK térkép használatával a rések azonosításához.

A Microsoft Sentinel rugalmasságot biztosít, mivel a megfelelő keresési lekérdezések halmazában nullára van állítva a hipotézis vizsgálatához. Ha létrehoz egy vadászatot, kezdeményezheti előre kiválasztott keresési lekérdezésekkel, vagy hozzáadhat lekérdezéseket a haladás során. Az alábbiakban a leggyakoribb hipotézisek alapján előre kiválasztott lekérdezésekre vonatkozó javaslatokat talál.

Hipotézis – Gyanús viselkedés

  1. Az Azure PortalOn a Microsoft Sentinel esetében válassza a Veszélyforrások kezelése területen a Hunting (Vadászat) lehetőséget.
    Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Threat Management>Hunting lehetőséget.

  2. Válassza a Lekérdezések lapot. A potenciálisan rosszindulatú viselkedés azonosításához futtassa az összes lekérdezést.

  3. Válassza az Összes lekérdezés> futtatása várakozás a lekérdezések végrehajtására lehetőséget. Ez a folyamat eltarthat egy ideig.

  4. Válassza a Szűrőeredmények>> hozzáadása jelölőnégyzet jelölését: "!", "N/A", "-" és "0" érték>: AlkalmazKépernyőkép a 3. lépésben leírt szűrőről.

  5. Rendezze ezeket az eredményeket az Eredmények delta oszlop szerint, hogy lássa, mi változott legutóbb. Ezek az eredmények kezdeti útmutatást nyújtanak a vadászathoz.

Hipotézis – Új fenyegetéskampány

A tartalomközpont fenyegetéskampányt és tartományalapú megoldásokat kínál adott támadások kereséséhez. Az alábbi lépésekben az alábbi megoldások egyikét telepítheti.

  1. Nyissa meg a Content Hubot.

  2. Telepítsen egy fenyegetéskampányt vagy tartományalapú megoldást, például a Log4J sebezhetőségi észlelését vagy az Apache Tomcatet.

    Képernyőkép a tartalomközpont rácsnézetben a Log4J- és Apache-megoldások kiválasztásával.

  3. A megoldás telepítése után a Microsoft Sentinelben lépjen a Hunting (Vadászat) elemre.

  4. Válassza a Lekérdezések lapot.

  5. Keresés megoldásnév alapján, vagy szűrés a megoldás forrásneve alapján.

  6. Válassza ki a lekérdezést, és futtassa a lekérdezést.

Hipotézis – Észlelési hiányosságok

A MITRE ATT&CK-térkép segít azonosítani az észlelési lefedettség bizonyos réseit. Az új észlelési logika fejlesztéséhez használjon előre definiált keresési lekérdezéseket adott MITRE ATT&CK-technikákhoz.

  1. Lépjen a MITRE ATT&CK (előzetes verzió) lapra.

  2. Az Aktív legördülő menü elemeinek kijelölésének megszüntetése.

  3. A Szimulált szűrőben válassza a Hunting lekérdezések lehetőséget, hogy megtekintse, mely technikákhoz vannak társítva keresési lekérdezések.

    Képernyőkép a MITRE ATT&CK oldalról, amelyen a szimulált vadászati lekérdezések lehetőség van kiválasztva.

  4. Válassza ki a kívánt technikával rendelkező kártyát.

  5. Válassza a Keresés lekérdezések melletti Nézet hivatkozást a részletek panel alján. Ez a hivatkozás a Kiválasztott technika alapján a Keresés lap Lekérdezések lapjának szűrt nézetére viszi.

    Képernyőkép a MITRE ATT&CK kártyanézetről a Hunting lekérdezések nézet hivatkozásával.

  6. Válassza ki a technika összes lekérdezését.

Hunt létrehozása

A vadászat létrehozásának két elsődleges módja van.

  1. Ha egy hipotézissel kezdte, ahol a lekérdezéseket választotta, válassza a Hunt actions legördülő menü Új vadászat létrehozása parancsát>. Az összes kiválasztott lekérdezés klónozva lesz ehhez az új vadászathoz.

    Képernyőkép a kijelölt lekérdezések és az új vadászati menü kiválasztásáról.

  2. Ha még nem döntött a lekérdezések mellett, a Hunts (Előzetes verzió) lap New Hunt elemére> kattintva hozzon létre egy üres vadászatot.

    Képernyőkép a menüről, amellyel előre kiválasztott lekérdezések nélkül hozhat létre üres vadászatot.

  3. Töltse ki a vadászat nevét és az opcionális mezőket. A leírás jó hely a hipotézis verbizálásához. A Hipotézis lekérése menüben állíthatja be a munkahipotézis állapotát.

  4. Első lépésként válassza a Létrehozás lehetőséget .

    Képernyőkép a Hunt létrehozási oldaláról a Hunt nevével, leírásával, tulajdonosával, állapotával és hipotézisállapotával.

A vadászat részleteinek megtekintése

  1. Az új vadászat megtekintéséhez válassza a Hunts (Előzetes verzió) lapot.

  2. A részletek megtekintéséhez és a műveletek elvégzéséhez válassza a név szerinti vadászati hivatkozást.

    Képernyőkép az új vadászatról a Vadászat lapon.

  3. Tekintse meg a részletek panelt a Hunt nevével, leírásával, tartalmával, utolsó frissítési idejével és létrehozási idejével.

  4. Figyelje meg a lekérdezések, könyvjelzők és entitások lapjait.

    Képernyőkép a vadászat részleteiről.

Lekérdezések lap

A Lekérdezések lap a vadászatra jellemző keresési lekérdezéseket tartalmazza. Ezek a lekérdezések az eredetiek klónjai, függetlenek a munkaterület összes többi felhasználójától. Frissítse vagy törölje őket anélkül, hogy hatással lenne a más vadászatokban lévő keresési lekérdezések vagy lekérdezések teljes készletére.

Lekérdezés hozzáadása a vadászathoz

  1. Lekérdezési műveletek>kiválasztása Lekérdezések hozzáadása kereséshez
  2. Jelölje ki a hozzáadni kívánt lekérdezéseket. Képernyőkép a Lekérdezések lap lekérdezési műveletek menüjéről.

Lekérdezések futtatása

  1. Válassza az Összes lekérdezés futtatása vagy adott lekérdezések kiválasztása, majd a Kijelölt lekérdezések futtatása lehetőséget.
  2. A Mégse gombra kattintva bármikor megszakíthatja a lekérdezés végrehajtását.

Lekérdezések kezelése

  1. Kattintson a jobb gombbal egy lekérdezésre, és válasszon az alábbiak közül a helyi menüből:

    • Fuss
    • Szerkeszt
    • Klónozás
    • Törlés
    • Elemzési szabály létrehozása

    Képernyőkép a helyi menü beállításairól a keresés Lekérdezések lapján.

    Ezek a beállítások ugyanúgy viselkednek, mint a Hunting oldalon található meglévő lekérdezési tábla, kivéve, hogy a műveletek csak ezen a vadászaton belül érvényesek. Amikor elemzési szabályt hoz létre, a rendszer előre kitölti a nevet, a leírást és a KQL-lekérdezést az új szabály létrehozásakor. Létrejön egy hivatkozás a Kapcsolódó elemzési szabályok alatt található új elemzési szabály megtekintéséhez.

    Képernyőkép a vadászat részleteiről a kapcsolódó elemzési szabályokkal.

Eredmények megtekintése

Ez a funkció lehetővé teszi a keresési lekérdezések eredményeinek megtekintését a Log Analytics keresési felületén. Innen elemezheti az eredményeket, pontosíthatja a lekérdezéseket, és könyvjelzőket hozhat létre az információk rögzítéséhez és az egyes sorok eredményeinek további vizsgálatához.

  1. Válassza az Eredmények megtekintése gombot.
  2. Ha a Microsoft Sentinel portál egy másik részére forgat, akkor a keresési oldalról lépjen vissza az LA-napló keresési felületére, az összes LA-lekérdezési lap megmarad.
  3. Ezek a LA-lekérdezési lapok elvesznek, ha bezárja a böngészőlapot. Ha hosszú ideig szeretné megőrizni a lekérdezéseket, mentenie kell a lekérdezést, létre kell hoznia egy új keresési lekérdezést, vagy be kell másolnia egy megjegyzésbe , hogy később használhassa a vadászaton belül.

Könyvjelző hozzáadása

Ha érdekes eredményeket vagy fontos adatsorokat talál, könyvjelző létrehozásával vegye fel ezeket az eredményeket a vadászatba. További információ: Keresési könyvjelzők használata adatvizsgálatokhoz.

  1. Jelölje ki a kívánt sort vagy sorokat.

  2. Az eredménytábla fölött válassza a Könyvjelző hozzáadása lehetőséget. Képernyőkép a Könyvjelző hozzáadása panelről, amelyen a választható mezők ki vannak töltve.

  3. Nevezze el a könyvjelzőt.

  4. Állítsa be az eseményidő oszlopot.

  5. Entitásazonosítók leképezése.

  6. MITRE-taktikák és technikák beállítása.

  7. Címkék hozzáadása és jegyzetek hozzáadása.

    A könyvjelzők megőrzik az eredményt létrehozó konkrét soreredményeket, KQL-lekérdezést és időtartományt.

  8. A Létrehozás gombra kattintva hozzáadhatja a könyvjelzőt a vadászathoz.

Könyvjelzők megtekintése

  1. A könyvjelzők megtekintéséhez lépjen a vadászat könyvjelző lapjára.

    Képernyőkép egy könyvjelzőről, amelynek minden részlete látható, és megnyílik a Vadászatok akciómenü.

  2. Válasszon ki egy kívánt könyvjelzőt, és hajtsa végre a következő műveleteket:

    • Jelölje ki az entitáshivatkozásokat a megfelelő UEBA-entitáslap megtekintéséhez.
    • Nyers eredmények, címkék és jegyzetek megtekintése.
    • Válassza a Forrás lekérdezés megtekintése lehetőséget a forrás lekérdezés megtekintéséhez a Log Analyticsben.
    • A Könyvjelzőnaplók megtekintése lehetőséget választva megtekintheti a könyvjelző tartalmát a Log Analytics keresési könyvjelzőtáblájában.
    • A Vizsgálat gombra kattintva megtekintheti a könyvjelzőt és a kapcsolódó entitásokat a vizsgálati gráfban.
    • A Szerkesztés gombra kattintva frissítheti a címkéket, a MITRE-taktikákat és technikákat, valamint a jegyzeteket.

Entitások interakciója

  1. A vadászat Entitások lapjára lépve megtekintheti, keresheti és szűrheti a vadászatban szereplő entitásokat. Ez a lista a könyvjelzők entitáslistájából jön létre. Az Entitások lap automatikusan feloldja a duplikált bejegyzéseket.

  2. Válassza ki az entitásneveket a megfelelő UEBA-entitásoldal felkereséséhez.

  3. Kattintson a jobb gombbal az entitásra az entitástípusoknak megfelelő műveletek elvégzéséhez, például IP-cím hozzáadása a TI-hez vagy egy entitástípus-specifikus forgatókönyv futtatása.

    Képernyőkép az entitások helyi menüjéről.

Megjegyzések hozzáadása

A megjegyzések kiválóan alkalmasak a munkatársakkal való együttműködésre, a jegyzetek megőrzésére és a dokumentumok megállapításainak megőrzésére.

  1. A következők szerint válasszon:

  2. Írja be és formázza a megjegyzést a szerkesztési mezőbe.

  3. Adjon hozzá egy lekérdezési eredményt hivatkozásként a közreműködők számára a környezet gyors megértéséhez.

  4. A Megjegyzések gombra kattintva alkalmazhatja a megjegyzéseket.

    Képernyőkép a megjegyzés-szerkesztési mezőről, hivatkozásként az LA-lekérdezéssel.

Incidensek létrehozása

A vadászat során két lehetőség közül választhat az incidensek létrehozására.

1. lehetőség: Könyvjelzők használata.

  1. Jelöljön ki egy könyvjelzőt vagy könyvjelzőt.

  2. Válassza az Incidensműveletek gombot.

  3. Válassza az Új incidens létrehozása vagy a Hozzáadás meglévő incidenshez lehetőséget

    Képernyőkép az incidensműveletek menüről a könyvjelzők ablakából.

    • Új incidens létrehozásához kövesse az irányított lépéseket. A könyvjelzők lap előre feltöltve van a kijelölt könyvjelzőkkel.
    • Meglévő incidens hozzáadása esetén válassza ki az incidenst, és válassza az Elfogadás gombot.

2. lehetőség: A vadászati műveletek használata.

  1. Válassza a Hunts Actions menü Incidens létrehozása parancsát>, és kövesse az irányított lépéseket.

    Képernyőkép a Könyvjelzők ablak vadászati műveletek menüjéről.

  2. A Könyvjelzők hozzáadása lépés során a Könyvjelző hozzáadása művelettel válassza ki az incidenshez hozzáadni kívánt könyvjelzőket a vadászatból. Olyan könyvjelzőkre korlátozódik, amelyek nincsenek incidenshez rendelve.

  3. Az incidens létrehozása után a rendszer összekapcsolja a kapcsolódó incidensek listájában az adott vadászathoz.

Frissítés állapota

  1. Ha elegendő bizonyítékot rögzített a hipotézis érvényesítéséhez vagy érvénytelenítéséhez, frissítse a hipotézis állapotát.

    Képernyőkép a hipotézisállapot menü kiválasztásáról.

  2. Ha a vadászathoz társított összes művelet befejeződött, például elemzési szabályok, incidensek létrehozása vagy a biztonsági rések (IOC-k) hozzáadása a TI-hez, zárja be a vadászatot.

    Képernyőkép a Hunt állapotmenüjének kiválasztásáról.

Ezek az állapotfrissítések a fő vadászati oldalon láthatók, és a metrikák nyomon követésére szolgálnak.

Metrikák nyomon követése

A vadászati tevékenység kézzelfogható eredményeinek nyomon követése a Hunts lap metrikák sávjának használatával. A metrikák az ellenőrzött hipotézisek, a létrehozott új incidensek és az új elemzési szabályok számát mutatják. Ezekkel az eredményekkel kitűzheti céljait, vagy megünnepelheti a vadászprogram mérföldköveit.

Képernyőkép a keresési metrikákról.

Következő lépések

Ebben a cikkben megtanulta, hogyan futtathat egy vadászati vizsgálatot a Microsoft Sentinel vadászati funkciójával.

További információkért lásd: