Menjelajahi perburuan tingkat lanjut
Perburuan tingkat lanjut adalah alat pemburu ancaman berbasis kueri yang memungkinkan Anda menjelajahi data mentah hingga 30 hari. Anda dapat secara proaktif memeriksa peristiwa di jaringan Anda untuk menemukan indikator dan entitas ancaman. Akses fleksibel ke data memungkinkan perburuan yang tanpa batas untuk ancaman yang diketahui dan potensial.
Anda dapat menggunakan kueri pemburu ancaman yang sama untuk membuat aturan deteksi kustom. Aturan-aturan ini berjalan secara otomatis untuk memeriksa lalu menanggapi dugaan aktivitas pelanggaran, mesin yang salah dikonfigurasi, dan temuan lainnya. Kemampuan berburu tingkat lanjut mendukung kueri yang memeriksa kumpulan data yang lebih luas dari:
Microsoft Defender untuk Titik Akhir
Microsoft Defender untuk Office 365
Microsoft Defender untuk Cloud Apps
Microsoft Defender untuk Identitas
Untuk menggunakan perburuan tingkat lanjut, aktifkan Microsoft Defender XDR.
Kesegaran data dan frekuensi pembaruan
Data perburuan tingkat lanjut dapat dikategorikan ke dalam dua jenis yang berbeda, masing-masing dikonsolidasikan secara berbeda.
Data peristiwa atau aktivitas—mengisi tabel tentang pemberitahuan, peristiwa keamanan, peristiwa sistem, dan penilaian rutin. Perburuan tingkat lanjut menerima data ini segera setelah sensor yang mengumpulkannya berhasil mengirimkannya ke layanan cloud yang sesuai. Misalnya, Anda dapat membuat kueri data peristiwa dari sensor yang sehat di stasiun kerja atau pengontrol domain segera setelah tersedia di Pertahanan Microsoft untuk Titik Akhir dan Pertahanan Microsoft untuk Identitas.
Data entitas—mengisi tabel dengan informasi tentang pengguna dan perangkat. Data ini berasal dari sumber data yang relatif statis dan sumber dinamis, seperti entri Direktori Aktif dan log peristiwa. Untuk menyediakan data baru, tabel diperbarui dengan informasi baru setiap 15 menit, menambahkan baris yang mungkin tidak terisi penuh. Setiap 24 jam, data dikonsolidasikan untuk menyisipkan rekaman yang berisi kumpulan data terbaru dan paling komprehensif tentang setiap entitas.
Zona waktu
Informasi waktu dalam perburuan tingkat lanjut berada di zona UTC.
Skema data
Skema perburuan tingkat lanjut terdiri dari beberapa tabel yang menyediakan informasi peristiwa atau informasi tentang perangkat, peringatan, identitas, dan jenis entitas lainnya. Untuk membuat kueri yang menjangkau beberapa tabel secara efektif, Anda perlu memahami tabel dan kolom dalam skema perburuan tingkat lanjut.
Mendapatkan informasi skema
Saat membuat kueri, gunakan referensi skema bawaan untuk mendapatkan informasi berikut dengan cepat tentang setiap tabel dalam skema:
Deskripsi tabel—jenis data yang terdapat dalam tabel dan sumber data tersebut.
Kolom—semua kolom dalam tabel.
Jenis tindakan—nilai yang mungkin dalam kolom Jenis Tindakan yang mewakili jenis peristiwa yang didukung oleh tabel. Informasi ini disediakan hanya untuk tabel yang berisi informasi peristiwa.
Sampel kueri—contoh kueri yang menampilkan bagaimana tabel dapat digunakan.
Mengakses referensi skema
Untuk mengakses referensi skema dengan cepat, pilih tindakan Lihat referensi di samping nama tabel dalam representasi skema. Anda juga dapat memilih Referensi skema untuk mencari tabel.
Mempelajari tabel skema
Referensi berikut mencantumkan semua tabel dalam skema. Setiap nama tabel tertaut ke halaman yang menjelaskan nama kolom untuk tabel itu. Nama tabel dan kolom juga tercantum di pusat keamanan sebagai bagian dari representasi skema pada layar perburuan tingkat lanjut.
Nama tabel | Deskripsi |
---|---|
AlertEvidence | File, alamat IP, URL, pengguna, atau perangkat yang terkait dengan peringatan |
AlertInfo | Peringatan dari Pertahanan Microsoft untuk Titik Akhir, Pertahanan Microsoft untuk Office 365, Microsoft Cloud App Security, dan Pertahanan Microsoft untuk Identitas, termasuk informasi keparahan dan kategorisasi ancaman |
CloudAppEvents | Peristiwa yang melibatkan akun dan objek di Office 365 serta aplikasi dan layanan cloud lainnya |
DeviceEvents | Beberapa jenis peristiwa, termasuk peristiwa yang dipicu oleh kontrol keamanan seperti Windows Defender Antivirus dan perlindungan eksploitasi |
DeviceFileCertificateInfo | Informasi sertifikat dari file yang ditandatangani diperoleh dari peristiwa verifikasi sertifikat di titik akhir |
DeviceFileEvents | Pembuatan file, modifikasi, dan kejadian sistem file lainnya |
DeviceImageLoadEvents | Kejadian pemuatan DLL |
Info Perangkat | Informasi komputer, termasuk informasi OS |
AcaraLogonPerangkat | Proses masuk dan aktivitas autentikasi lainnya pada perangkat |
Acara Jaringan Perangkat | Koneksi jaringan dan Kejadian terkait |
DeviceNetworkInfo | Properti jaringan perangkat, termasuk adaptor fisik, alamat IP dan MAC, serta jaringan dan domain yang terhubung |
DeviceProcessEvents | Pembuatan proses dan kejadian terkait |
DeviceRegistryEvents | Pembuatan dan modifikasi entri registri |
DeviceTvmSecureConfigurationAssessment | Peristiwa penilaian Manajemen Ancaman & Kerentanan, yang menunjukkan status berbagai konfigurasi keamanan pada perangkat |
DeviceTvmSecureConfigurationAssessmentKB | Basis pengetahuan tentang berbagai konfigurasi keamanan yang digunakan oleh Manajemen Ancaman & Kerentanan untuk menilai perangkat; mencakup pemetaan ke berbagai standar dan tolok ukur |
DeviceTvmSoftwareInventory | Inventaris aplikasi yang diinstal pada perangkat, termasuk informasi versi dan status akhir dukungan |
DeviceTvmSoftwareVulnerabilities | Kerentanan aplikasi ditemukan pada perangkat dan daftar pembaruan keamanan yang tersedia untuk mengatasi setiap kerentanan |
DeviceTvmSoftwareVulnerabilitiesKB | Basis pengetahuan tentang kerentanan yang diungkapkan secara publik, termasuk apakah kode eksploitasi tersedia untuk umum |
EmailAttachmentInfo | Informasi tentang file yang dilampirkan ke email |
EmailEvents | Peristiwa email Microsoft 365, termasuk pengiriman email dan pemblokiran acara |
EmailPostDeliveryEvents | Peristiwa keamanan yang terjadi pasca-pengiriman, setelah Microsoft 365 mengirimkan email ke kotak surat penerima |
EmailUrlInfo | Informasi tentang URL pada email |
IdentityDirectoryEvents | Peristiwa yang melibatkan pengendali domain lokal yang menjalankan Active Directory (AD). Tabel ini mencakup berbagai peristiwa terkait identitas dan peristiwa sistem pada pengendali domain. |
IdentityInfo | Informasi akun dari berbagai sumber, termasuk ID Microsoft Entra |
IdentityLogonEvents | Peristiwa autentikasi di Active Directory dan layanan online Microsoft |
IdentityQueryEvents | Kueri untuk objek Active Directory, seperti pengguna, grup, perangkat, dan domain |
Deteksi kustom
Dengan deteksi kustom, Anda dapat secara proaktif memantau dan merespons berbagai peristiwa dan status sistem, termasuk aktivitas pelanggaran yang dicurigai dan titik akhir yang salah dikonfigurasi. Hal ini bisa dilakukan oleh aturan deteksi yang dapat disesuaikan yang secara otomatis memicu peringatan dan tindakan respons.
Deteksi kustom bekerja dengan perburuan tingkat lanjut, yang menyediakan bahasa kueri yang kuat dan fleksibel yang mencakup serangkaian informasi peristiwa dan sistem yang luas dari jaringan Anda. Anda dapat mengaturnya untuk berjalan secara berkala, menghasilkan peringatan dan mengambil tindakan respons setiap kali ada kecocokan.
Deteksi kustom menyediakan:
Pemberitahuan untuk deteksi berbasis aturan yang dibangun dari kueri perburuan tingkat lanjut
Tindakan respons otomatis yang berlaku untuk file dan perangkat
Buat aturan deteksi
Untuk membuat aturan deteksi:
1. Siapkan kueri.
Di Pusat Keamanan Pertahanan Microsoft, masuk ke Perburuan tingkat lanjut dan pilih kueri yang sudah ada atau buat kueri baru. Saat menggunakan kueri baru, jalankan kueri untuk mengidentifikasi kesalahan dan memahami kemungkinan hasil.
Penting
Untuk mencegah layanan mengembalikan terlalu banyak pemberitahuan, setiap aturan dibatasi untuk menghasilkan hanya 100 pemberitahuan setiap kali dijalankan. Sebelum membuat aturan, sesuaikan kueri Anda untuk menghindari pemberitahuan untuk aktivitas normal sehari-hari.
Untuk menggunakan kueri untuk aturan deteksi kustom, kueri harus mengembalikan kolom berikut:
Tanda Waktu
DeviceId
ReportId
Kueri sederhana, seperti yang tidak menggunakan proyek atau meringkas operator untuk menyesuaikan atau mengagregasi hasil, biasanya mengembalikan kolom umum ini.
Ada berbagai cara untuk memastikan kueri yang lebih kompleks mengembalikan kolom ini. Misalnya, jika Anda lebih suka mengagregasi dan menghitung berdasarkan DeviceId, Anda masih dapat mengembalikan Tanda Waktu dan ReportId dengan mendapatkannya dari peristiwa terbaru yang melibatkan setiap perangkat.
Kueri sampel di bawah ini menghitung jumlah perangkat unik (DeviceId) dengan deteksi antivirus dan menggunakannya hanya untuk menemukan perangkat tersebut dengan lebih dari lima deteksi. Untuk mengembalikan Tanda Waktu terbaru dan ReportId yang sesuai, ia menggunakan operator ringkasan dengan fungsi arg_max.
DeviceEvents
| where Timestamp > ago(7d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5
2. Buat aturan baru dan berikan detail pemberitahuan.
Dengan kueri di editor kueri, pilih Buat aturan deteksi dan tentukan detail pemberitahuan berikut ini:
Nama deteksi—nama aturan deteksi
Frekuensi—interval untuk menjalankan kueri dan mengambil tindakan. Lihat panduan tambahan di bawah ini
Judul pemberitahuan—judul ditampilkan dengan pemberitahuan yang dipicu oleh aturan
Keparahan—potensi risiko komponen atau aktivitas yang diidentifikasi oleh aturan.
Kategori—jenis komponen atau aktivitas ancaman, jika ada.
Teknik MITER ATT&CK—satu atau lebih teknik serangan yang diidentifikasi oleh aturan seperti yang didokumentasikan dalam kerangka kerja MITER ATT&CK. Bagian ini tidak tersedia dengan kategori peringatan tertentu, seperti perangkat lunak jahat, ransomware, aktivitas mencurigakan, dan perangkat lunak yang tidak diinginkan
Deskripsi—informasi selengkapnya tentang komponen atau aktivitas yang diidentifikasi oleh aturan
Tindakan yang direkomendasikan—tindakan tambahan yang mungkin dilakukan responden sebagai respons terhadap pemberitahuan
3. Frekuensi aturan
Saat disimpan, aturan deteksi kustom baru segera berjalan dan memeriksa kecocokan dari data 30 hari terakhir. Aturan kemudian berjalan lagi pada interval tetap dan durasi lookback berdasarkan frekuensi yang Anda pilih:
Setiap 24 jam—berjalan setiap 24 jam, memeriksa data dari 30 hari terakhir
Setiap 12 jam—berjalan setiap 12 jam, memeriksa data dari 48 jam terakhir
Setiap 3 jam—berjalan setiap 3 jam, memeriksa data dari 12 jam terakhir
Setiap jam—berjalan per jam, memeriksa data dari 4 jam terakhir
Berkelanjutan (NRT)—berjalan terus menerus, memeriksa data dari peristiwa saat dikumpulkan dan diproses mendekati real-time (NRT)
Pilih frekuensi yang cocok dengan seberapa dekat Anda ingin memantau deteksi, dan pertimbangkan kapasitas organisasi Anda untuk merespons pemberitahuan.
Catatan
Mengatur deteksi kustom untuk dijalankan dalam frekuensi Berkelanjutan (NRT) memungkinkan Anda meningkatkan kemampuan organisasi Untuk mengidentifikasi ancaman lebih cepat.
4. Pilih entitas yang terpengaruh.
Identifikasi kolom dalam hasil kueri di mana Anda berharap menemukan entitas utama yang terpengaruh atau terkena dampak. Misalnya, kueri mungkin mengembalikan ID perangkat dan pengguna. Mengidentifikasi kolom mana yang mewakili entitas utama yang terkena dampak membantu layanan menggabungkan pemberitahuan yang relevan, menghubungkan insiden, dan menargetkan respons tindakan.
Anda hanya dapat memilih satu kolom untuk setiap tipe entitas. Kolom yang tidak dikembalikan oleh kueri Anda tidak dapat dipilih.
5. Tentukan tindakan.
Aturan deteksi kustom Anda dapat secara otomatis melakukan tindakan pada file atau perangkat yang dikembalikan oleh kueri.
Tindakan pada perangkat
Tindakan ini diterapkan ke perangkat di kolom DeviceId dari hasil kueri:
Mengisolasi perangkat—menerapkan isolasi jaringan penuh, mencegah perangkat terhubung ke aplikasi atau layanan apa pun, kecuali untuk layanan Pertahanan untuk Titik Akhir.
Kumpulkan paket investigasi—mengumpulkan informasi perangkat dalam file ZIP.
Jalankan pemindaian antivirus—melakukan pemindaian penuh Antivirus Pertahanan Microsoft di perangkat
Memulai investigasi—memulai investigasi otomatis di perangkat
Tindakan pada file
Tindakan ini diterapkan ke file di SHA1 atau kolom InitiatingProcessSHA1 dari hasil kueri:
Izinkan/Blokir—secara otomatis menambahkan file ke daftar indikator kustom Anda sehingga selalu diizinkan untuk dijalankan atau diblokir agar tidak berjalan. Anda dapat mengatur cakupan tindakan ini agar hanya dilakukan pada grup perangkat yang dipilih. Cakupan ini tidak tergantung dari ruang lingkup aturan.
File karantina—menghapus file dari lokasinya saat ini dan menempatkan salinannya di karantina
6. Atur cakupan peraturan.
Atur lingkup untuk menentukan perangkat mana yang dicakup oleh aturan:
Semua perangkat
Grup perangkat tertentu
Hanya data dari perangkat dalam lingkup yang akan dikueri. Selain itu, tindakan hanya akan diambil pada perangkat tersebut.
7. Tinjau dan aktifkan peraturan.
Setelah meninjau aturan, pilih Buat untuk menyimpannya. Aturan deteksi kustom segera berjalan. Ini berjalan lagi berdasarkan frekuensi yang dikonfigurasi untuk memeriksa kecocokan, menghasilkan pemberitahuan, dan mengambil tindakan respons.