Perburuan ancaman di Microsoft Azure Sentinel

• Berlaku untuk:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Sebagai analis dan penyelidik keamanan, Anda ingin menjadi proaktif dalam mencari ancaman keamanan, tetapi berbagai sistem dan peralatan keamanan Anda menghasilkan banyak sekali data yang dapat sulit diurai dan disaring menjadi peristiwa yang bermakna. Microsoft Azure Sentinel memiliki alat pencarian dan kueri berburu yang canggih untuk memburu ancaman keamanan di seluruh sumber data organisasi Anda. Untuk membantu analis keamanan terlihat secara proaktif untuk anomali baru yang tidak terdeteksi oleh aplikasi keamanan Anda atau bahkan oleh aturan analitik terjadwal Anda, kueri berburu bawaan Microsoft Sentinel memandu Anda mengajukan pertanyaan yang tepat untuk menemukan masalah dalam data yang sudah Anda miliki di jaringan Anda.

Misalnya, satu kueri bawaan menyediakan data tentang proses yang paling tidak umum yang berjalan pada infrastruktur Anda. Anda tidak ingin pemberitahuan setiap kali dijalankan. Mereka bisa sepenuhnya tidak bersalah. Tetapi Anda mungkin ingin melihat kueri sesekali untuk melihat apakah ada sesuatu yang tidak biasa.

Catatan

Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.

Penting

Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Menggunakan kueri bawaan

Dasbor berburu menyediakan contoh kueri siap pakai yang dirancang untuk membantu Anda memulai dan membiasakan Anda dengan tabel dan bahasa kueri. Kueri berjalan pada data yang disimpan dalam tabel log, seperti untuk pembuatan proses, peristiwa DNS, atau jenis peristiwa lainnya.

Kueri berburu bawaan ini dikembangkan oleh peneliti keamanan Microsoft secara terus menerus, menambahkan kueri baru dan menyempurnakan kueri yang ada untuk memberi Anda titik masuk guna mencari deteksi baru dan mencari tahu tempat Anda harus mulai berburu untuk awal serangan baru.

Gunakan kueri sebelum, selama, dan setelah terjadi penyusupan untuk mengambil tindakan berikut:

• Sebelum insiden terjadi: Menunggu deteksi tidak cukup. Ambil tindakan proaktif dengan menjalankan kueri berburu ancaman terkait data yang Anda serap ke ruang kerja setidaknya seminggu sekali.

  Hasil dari perburuan proaktif Anda memberikan wawasan awal tentang peristiwa yang mungkin mengonfirmasi bahwa kompromi sedang dalam proses, atau setidaknya menunjukkan area yang lebih lemah di lingkungan Anda yang berisiko dan perlu diperhatikan.

• Selama penyusupan: Gunakan livestream untuk menjalankan kueri tertentu secara terus menerus, yang menampilkan hasil saat masuk. Gunakan livestream ketika Anda perlu secara aktif memantau peristiwa pengguna, seperti jika Anda perlu memverifikasi apakah penyusupan tertentu masih terjadi, untuk membantu menentukan tindakan aktor ancaman berikutnya, dan menjelang akhir penyelidikan untuk mengonfirmasi bahwa penyusupan memang sudah berakhir.

• Setelah kompromi: Setelah kompromi atau insiden terjadi, pastikan untuk meningkatkan cakupan dan wawasan Anda untuk mencegah insiden serupa di masa mendatang.

  • Ubah kueri yang ada atau buat kueri baru untuk membantu deteksi dini, berdasarkan wawasan yang diperoleh dari kompromi atau insiden Anda.

  • Jika Anda menemukan atau membuat kueri perburuan yang memberikan wawasan nilai tinggi tentang kemungkinan serangan, buat aturan deteksi kustom berdasarkan kueri tersebut dan munculkan wawasan tersebut sebagai pemberitahuan kepada responden insiden keamanan Anda.

    Lihat hasil kueri, lalu pilih Aturan pemberitahuan baru>Buat pemberitahuan Microsoft Azure Sentinel. Gunakan Wizard aturan analitik untuk membuat aturan baru berdasarkan kueri Anda. Untuk informasi selengkapnya, lihat Membuat aturan analitik kustom untuk mendeteksi ancaman.

Anda juga dapat membuat kueri berburu dan livestream melalui data yang disimpan di Azure Data Explorer. Untuk informasi selengkapnya, lihat detail membuat kueri lintas sumber daya di dokumentasi Azure Monitor.

Gunakan sumber daya komunitas, seperti repositori GitHub Microsoft Sentinel untuk menemukan lebih banyak kueri dan sumber data.

Menggunakan dasbor berburu

Dasbor berburu memungkinkan Anda menjalankan semua kueri, atau subset yang dipilih, dalam pilihan tunggal. Di portal Microsoft Sentinel, pilih Berburu.

Tabel ini menampilkan daftar semua kueri yang ditulis oleh tim analis keamanan Microsoft serta kueri tambahan yang Anda buat atau ubah. Setiap kueri menyediakan deskripsi tentang apa yang diburu, dan jenis data yang dijalankan. Kueri ini dikelompokkan berdasarkan taktik MITER ATT&CK-nya. Ikon di sebelah kanan mengkategorikan jenis ancaman, seperti akses awal, persistensi, dan eksfiltrasi. Teknik ATT&CK MITER ditampilkan di kolom Teknik dan menjelaskan perilaku spesifik yang diidentifikasi oleh kueri berburu.

Gunakan dasbor berburu untuk mengidentifikasi di mana harus mulai berburu, dengan melihat jumlah hasil, lonjakan, atau perubahan jumlah hasil selama periode 24 jam. Urutkan dan filter menurut favorit, sumber data, MITRE ATT&CK taktik atau teknik, hasil, delta hasil, atau persentase delta hasil. Lihat kueri yang masih memerlukan sumber data tersambung, dan dapatkan rekomendasi tentang cara mengaktifkan kueri ini.

Tabel berikut menjelaskan tindakan terperinci yang tersedia dari dasbor berburu:

Tindakan	Deskripsi
Lihat bagaimana kueri berlaku untuk lingkungan Anda	Pilih tombol Jalankan semua kueri , atau pilih subset kueri menggunakan kotak centang di sebelah kiri setiap baris dan pilih tombol Jalankan kueri yang dipilih. Menjalankan kueri dapat memakan waktu beberapa detik hingga beberapa menit, tergantung berapa banyak kueri yang dipilih, rentang waktu, dan jumlah data yang sedang dikueri.
Tampilkan kueri yang mengembalikan hasil	Setelah kueri Anda selesai berjalan, lihat kueri yang mengembalikan hasil menggunakan filter Hasil : - Urutkan untuk melihat kueri mana yang memiliki hasil paling banyak atau paling sedikit. - Lihat kueri yang sama sekali tidak aktif di lingkungan Anda dengan memilih N/A di filter Hasil . - Arahkan kursor ke atas ikon info (i) di sebelah N/A untuk melihat sumber data mana yang diperlukan untuk mengaktifkan kueri ini.
Identifikasi lonjakan dalam data Anda	Identifikasi lonjakan data dengan menyortir atau memfilter pada Delta hasil atau Persentase delta hasil. Membandingkan hasil 24 jam terakhir dengan hasil 24-48 jam sebelumnya, menyoroti perbedaan besar atau perbedaan volume relatif.
Menampilkan kueri yang dipetakan ke taktik MITER ATT&CK	Bilah taktik MITRE ATT&CK, di bagian atas tabel, mencantumkan jumlah kueri yang dipetakan ke setiap taktik MITRE ATT&CK. Bilah taktik diperbarui secara dinamis berdasarkan kumpulan filter saat ini yang diterapkan. Memungkinkan Anda melihat taktik MITRE ATT&CK mana yang muncul saat Anda memfilter menurut jumlah hasil tertentu, delta hasil tinggi, hasil N/A , atau sekumpulan filter lainnya.
Lihat kueri yang dipetakan ke teknik MITRE ATT&CK	Kueri juga dapat dipetakan ke teknik MITRE ATT&CK. Anda dapat memfilter atau mengurutkan berdasarkan teknik MITRE ATT&CK menggunakan filter Teknik. Dengan membuka kueri, Anda dapat memilih teknik untuk melihat deskripsi MITRE ATT&CK teknik.
Simpan kueri ke favorit Anda	Kueri yang disimpan ke favorit Anda secara otomatis berjalan setiap kali halaman Berburu diakses. Anda dapat membuat kueri berburu Anda sendiri atau mengklon dan menyesuaikan templat kueri berburu yang ada.
Jalankan Kueri	Pilih Jalankan Kueri di halaman detail kueri berburu untuk menjalankan kueri secara langsung dari halaman berburu. Jumlah kecocokan ditampilkan di dalam tabel, di kolom Hasil. Tinjau daftar kueri berburu dan kecocokannya.
Tinjau kueri yang mendasarinya	Melakukan peninjauan cepat untuk kueri yang mendasarinya di panel detail kueri. Anda bisa melihat hasilnya dengan mengeklik tautan Tampilkan hasil kueri (di bawah jendela kueri) atau tombol Tampilkan Hasil (di bagian bawah panel). Kueri membuka halaman Log (Analitik Log), dan di bawah kueri, Anda dapat meninjau kecocokan untuk kueri.

Membuat kueri berburu kustom

Anda dapat membuat atau mengubah kueri dan menyimpannya sebagai kueri Anda sendiri atau membagikannya dengan pengguna yang berada di penyewa yang sama.

Untuk membuat kueri baru:

1. Pilih Kueri baru.

2. Isi semua bidang kosong dan pilih Buat.

   1. Buat pemetaan entitas dengan memilih jenis entitas, pengidentifikasi, dan kolom.

      

   2. Petakan teknik MITRE ATT&CK ke kueri berburu Anda dengan memilih taktik, teknik, dan sub-teknik (jika berlaku).

      

Untuk mengklon dan mengubah kueri yang sudah ada:

1. Dari tabel, pilih kueri berburu yang ingin Anda ubah.

2. Pilih elipsis (...) di baris kueri yang ingin Anda ubah, dan pilih Klon kueri.

   

3. Ubah kueri dan pilih Buat.

Untuk mengubah kueri kustom yang sudah ada:

1. Dari tabel, pilih kueri berburu yang ingin Anda ubah. Hanya kueri yang dari sumber konten kustom yang dapat diedit. Sumber konten lain harus diedit di sumber tersebut.

2. Pilih elipsis (...) di baris kueri yang ingin Anda ubah, dan pilih Edit kueri.

3. Ubah bidang Kueri kustom dengan kueri yang diperbarui. Anda juga dapat mengubah pemetaan dan teknik entitas seperti yang dijelaskan di bagian "Untuk membuat kueri baru" dari dokumentasi ini.

Kueri Sampel

Kueri khusus dimulai dengan tabel atau nama pengurai diikuti oleh serangkaian operator yang dipisahkan oleh karakter pipa ("|").

Dalam contoh di atas, mulai dengan nama tabel SecurityEvent dan tambahkan elemen yang disalurkan sesuai kebutuhan.

1. Tentukan filter waktu untuk hanya meninjau rekaman dari tujuh hari sebelumnya.

2. Tambahkan filter dalam kueri untuk hanya memperlihatkan ID peristiwa 4688.

3. Tambahkan filter dalam kueri pada baris perintah untuk hanya berisi instans cscript.exe.

4. Hanya proyeksikan kolom yang ingin Anda jelajahi dan batasi hasilnya menjadi 1000 lalu klik Jalankan kueri.

5. Pilih segitiga hijau dan jalankan kueri. Anda dapat menguji kueri dan menjalankannya untuk mencari perilaku anomali.

Kami menyarankan agar kueri Anda menggunakan pengurai Advanced Security Information Model (ASIM) dan bukan tabel bawaan. Ini memastikan bahwa kueri akan mendukung sumber data relevan saat ini atau masa depan daripada satu sumber data.

Membuat marka buku

Selama proses perburuan dan investigasi, Anda mungkin menemukan hasil kueri yang terlihat tidak biasa atau mencurigakan. Tandai item ini untuk merujuk kembali ke item tersebut di masa mendatang, seperti saat membuat atau memperkaya insiden untuk penyelidikan. Peristiwa seperti penyebab akar potensial, indikator penyusupan, atau peristiwa penting lainnya harus diangkat sebagai marka buku. Jika peristiwa utama yang Anda tandai cukup parah untuk menjamin penyelidikan, tingkatkan ke insiden.

• Dalam hasil Anda, tandai kotak centang untuk baris apa pun yang ingin Anda simpan, dan pilih Tambahkan marka buku. Ini membuat catatan untuk setiap baris bertanda, marka buku, yang berisi hasil baris dan kueri yang membuat hasil. Anda dapat menambahkan tag dan catatan Anda sendiri ke setiap marka buku.

  • Seperti aturan analitik terjadwal, Anda dapat memperkaya marka buku Anda dengan pemetaan entitas untuk mengekstrak beberapa jenis dan pengidentifikasi entitas, dan pemetaan MITRE ATT&CK untuk mengaitkan taktik dan teknik tertentu.
  • Marka buku default untuk menggunakan entitas yang sama dan pemetaan teknik MITRE ATT&CK sebagai kueri berburu yang menghasilkan hasil marka buku.

• Anda dapat melihat semua temuan yang diberi marka buku dengan mengklik tab Marka buku di halaman utama Berburu. Tambahkan tag ke marka buku untuk mengklasifikasikannya untuk pemfilteran. Misalnya, jika Anda sedang menyelidiki kampanye serangan, Anda dapat membuat tag untuk kampanye, menerapkan tag ke bookmark yang relevan, lalu memfilter semua bookmark berdasarkan kampanye.

• Selidiki satu hasil yang diberi marka buku dengan memilih marka buku, lalu mengklik Selidiki di panel detail untuk membuka pengalaman penyelidikan. Anda juga dapat langsung memilih entitas yang terdaftar untuk melihat halaman entitas terkait entitas tersebut.

  Anda juga dapat membuat insiden dari satu atau beberapa marka buku, atau menambahkan satu atau beberapa marka buku ke insiden yang ada. Pilih kotak centang di sebelah kiri marka buku yang ingin Anda gunakan, lalu pilih Tindakan insiden>Buat insiden baru atau Tambahkan ke insiden yang sudah ada. Urutkan dan selidiki insiden sebagaimana pada insiden lainnya.

Untuk informasi selengkapnya tentang marka buku, lihat Menggunakan marka buku untuk berburu.

Menggunakan notebook untuk mendukung penyelidikan

Ketika perburuan dan investigasi Anda menjadi lebih kompleks, gunakan notebook Microsoft Azure Sentinel untuk meningkatkan aktivitas Anda dengan pembelajaran mesin, visualisasi, dan analisis data.

Notebooks menyediakan semacam kotak pasir virtual, lengkap dengan kernel sendiri, di mana Anda dapat melakukan penyelidikan lengkap. Notebook Anda dapat menyertakan data mentah, kode yang Anda jalankan pada data itu, hasil, dan visualisasinya. Simpan notebook Anda sehingga Anda dapat membagikannya dengan orang lain untuk digunakan kembali di organisasi Anda.

Notebook mungkin berguna ketika perburuan atau penyelidikan Anda menjadi terlalu besar untuk diingat dengan mudah, melihat detail, atau saat Anda perlu menyimpan kueri dan hasil. Untuk membantu Anda membuat dan berbagi notebook, Microsoft Sentinel menyediakan Jupyter Notebooks, lingkungan sumber terbuka, pengembangan interaktif, dan manipulasi data, terintegrasi langsung di halaman Notebook Microsoft Sentinel.

Untuk informasi selengkapnya, lihat:

• Gunakan Jupyter Notebook untuk memburu ancaman keamanan
• Dokumentasi Project Jupyter
• Dokumentasi pengantar Jupyter.
• Buku Infosec Jupyter
• Tutorial Python nyata

Tabel berikut ini menjelaskan beberapa metode penggunaan notebook Jupyter untuk membantu proses Anda di Microsoft Azure Sentinel:

Metode	Deskripsi
Kegigihan data, pengulangan, dan backtracking	Jika Anda bekerja dengan banyak pertanyaan dan set hasil, Anda mungkin memiliki beberapa jalan buntu. Anda perlu memutuskan kueri dan hasil mana yang akan disimpan, dan cara mengakumulasi hasil yang berguna dalam satu laporan. Gunakan Notebooks Jupyter untuk menyimpan kueri dan data saat Anda pergi, gunakan variabel untuk menjalankan ulang kueri dengan nilai atau tanggal yang berbeda, atau menyimpan kueri Anda untuk ditayangkan ulang pada penyelidikan di masa mendatang.
Pembuatan skrip dan pemrograman	Gunakan Jupyter Notebooks untuk menambahkan pemrograman ke kueri Anda, termasuk: - Bahasa deklaratif seperti Kusto Query Language (KQL) atau SQL, untuk menyandikan logika Anda dalam satu pernyataan, mungkin kompleks. Bahasa pemrograman - prosedural, untuk menjalankan logika dalam serangkaian langkah. Pisahkan logika Anda menjadi langkah-langkah untuk membantu Anda melihat dan men-debug hasil perantara, menambahkan fungsionalitas yang mungkin tidak tersedia dalam bahasa kueri, dan menggunakan kembali hasil parsial dalam langkah-langkah pemrosesan nanti.
Link ke data eksternal	Sementara tabel Microsoft Azure Sentinel memiliki sebagian besar telemetri dan data peristiwa, Jupyter Notebook dapat menautkan ke data apa pun yang dapat diakses melalui jaringan Anda atau dari file. Menggunakan Jupyter Notebooks memungkinkan Anda menyertakan data seperti: Data dalam layanan eksternal yang tidak Anda miliki, seperti data geolokasi atau sumber intelijen ancaman Data sensitif yang disimpan hanya di dalam organisasi Anda, seperti basis data sumber daya manusia atau daftar aset bernilai tinggi - Data yang belum Anda migrasikan ke cloud.
Pemrosesan data khusus, pembelajaran mesin, dan alat visualisasi	Jupyter Notebooks menyediakan lebih banyak visualisasi, pustaka pembelajaran mesin, serta fitur pemrosesan dan transformasi data. Misalnya, gunakan Jupyter Notebooks dengan kemampuan Python berikut: - panda untuk pemrosesan data, pembersihan, dan rekayasa - Matplotlib, HoloViews, dan Plotly untuk visualisasi - NumPy dan SciPy untuk pemrosesan numerik dan ilmiah tingkat lanjut - scikit-learn untuk pembelajaran mesin - TensorFlow, PyTorch, dan Keras untuk pembelajaran mendalam Tips: Jupyter Notebooks mendukung beberapa kernel bahasa. Gunakan sihir untuk mencampur bahasa dalam buku catatan yang sama, dengan memungkinkan eksekusi sel individu menggunakan bahasa lain. Misalnya, Anda dapat mengambil data menggunakan sel skrip PowerShell, memproses data di Python, dan menggunakan JavaScript untuk merender visualisasi.

Alat keamanan MSTIC, Jupyter, dan Python

Microsoft Threat Intelligence Center (MSTIC) adalah tim analis dan insinyur keamanan Microsoft yang menulis deteksi keamanan untuk beberapa platform Microsoft dan bekerja pada identifikasi dan penyelidikan ancaman.

MSTIC membangun MSTICPy, sebuah pustaka untuk penyelidikan keamanan informasi dan berburu di Jupyter Notebooks. MSTICPy menyediakan fungsi yang dapat digunakan kembali yang bertujuan untuk mempercepat pembuatan notebook, dan memudahkan pengguna untuk membaca notebook di Microsoft Azure Sentinel.

Misalnya, MSTICPy dapat:

• Membuat kueri data log dari beberapa sumber.
• Memperkaya data dengan inteligensi ancaman, geolokasi, dan data sumber daya Azure.
• Mengekstrak Indikator Aktivitas (IoA) dari log, dan membongkar data yang dikodekan.
• Melakukan analisis canggih seperti deteksi sesi anomali dan dekomposisi deret waktu.
• Memvisualisasikan data menggunakan garis waktu interaktif, pohon proses, dan Grafik Morph multi-dimensi.

MSTICPy juga mencakup beberapa alat notebook hemat waktu, seperti widget yang mengatur batas waktu kueri, memilih dan menampilkan item dari daftar, dan mengonfigurasi lingkungan notebook.

Untuk informasi selengkapnya, lihat:

• Dokumentasi MSTICPy
• Tutorial: Memulai notebook Jupyter dan MSTICPy di Microsoft Sentinel
• Konfigurasi lanjutan untuk notebook Jupyter dan MSTICPy di Microsoft Sentinel

Operator dan fungsi yang bermanfaat

Kueri berburu dibangun dalam Bahasa Kueri Kusto (KQL), sebuah bahasa kueri canggih dengan bahasa IntelliSense yang memberi Anda kemampuan dan fleksibilitas yang diperlukan untuk melakukan pemburuan dengan lebih baik.

Ini adalah bahasa yang sama yang digunakan oleh kueri dalam aturan analitik Anda dan di tempat lain di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Referensi Bahasa Kueri.

Operator berikut sangat bermanfaat dalam kueri berburu Microsoft Azure Sentinel:

• where - Memfilter tabel ke subset baris yang memenuhi predikat.

• summarize - Menghasilkan tabel yang menggabungkan konten tabel input.

• join - Gabungkan baris dua tabel untuk membentuk tabel baru dengan mencocokkan nilai kolom yang ditentukan dari setiap tabel.

• count - Mengembalikan jumlah rekaman dalam kumpulan rekaman input.

• top - Mengembalikan catatan N pertama yang diurutkan berdasarkan kolom yang ditentukan.

• limit - Mengembalikan hingga jumlah baris yang ditentukan.

• project - Memilih kolom yang akan disertakan, mengganti nama atau menghapus, dan menyisipkan kolom komputasi baru.

• extend - Membuat kolom terhitung dan menambahkannya ke tataan hasil.

• makeset - Mengembalikan array dinamis (JSON) dari sekumpulan nilai berbeda yang diperlukan Expr dalam grup

• find - Menemukan baris yang cocok dengan predikat di satu set tabel.

• adx() - Fungsi ini melakukan kueri lintas sumber daya sumber data Azure Data Explorer dari pengalaman berburu Microsoft Azure Sentinel dan Analitik Log. Untuk informasi selengkapnya, lihat Kueri lintas sumber daya Azure Data Explorer dengan menggunakan Azure Monitor.

Langkah berikutnya

Dalam artikel ini, Anda belajar cara menjalankan penyelidikan berburu dengan Microsoft Azure Sentinel.

Untuk informasi selengkapnya, lihat:

• Menggunakan buku catatan untuk menjalankan kampanye pemburuan otomatis
• Menggunakan bookmark untuk menyimpan informasi menarik saat mendeteksi ancaman

Belajar dari contoh penggunaan aturan analitik kustom saat memantau Zoom dengan konektor kustom.