Ricerca delle minacce in Microsoft Sentinel
Gli analisti e gli investigatori della sicurezza vogliono essere proattivi per la ricerca di minacce alla sicurezza, ma i vari sistemi e appliance di sicurezza generano montagne di dati che possono essere difficili da analizzare e filtrare in eventi significativi. Microsoft Sentinel offre potenti strumenti di ricerca e query per cercare minacce alla sicurezza nelle origini dati dell'organizzazione. Per aiutare gli analisti della sicurezza a cercare in modo proattivo nuove anomalie che non vengono rilevate dalle app di sicurezza o anche dalle regole di analisi pianificate, le query di ricerca consentono di porre le domande giuste per individuare i problemi nei dati già presenti nella rete.
Ad esempio, una query predefinita fornisce dati sui processi più comuni in esecuzione nell'infrastruttura. Non si vuole un avviso ogni volta che vengono eseguiti. Potrebbero essere del tutto innocenti. È tuttavia consigliabile esaminare la query in occasione per verificare se c'è qualcosa di insolito.
Importante
Microsoft Sentinel è disponibile come parte della piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Microsoft Sentinel nel portale di Defender è ora supportato per l'uso in produzione. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Caccia in Microsoft Sentinel (anteprima)
Con le ricerche in Microsoft Sentinel, cercare minacce e comportamenti dannosi non rilevati creando un'ipotesi, cercando dati, convalidando tale ipotesi e agire quando necessario. Creare nuove regole analitiche, intelligence sulle minacce e eventi imprevisti in base ai risultati.
| Funzionalità | Descrizione |
|---|---|
| Definire un'ipotesi | Per definire un'ipotesi, trovare ispirazione dalla mappa MITRE, i risultati delle query di ricerca recenti, le soluzioni hub del contenuto o generare ricerche personalizzate. |
| Analizzare le query e i risultati dei segnalibri | Dopo aver definito un'ipotesi, passare alla scheda Query della pagina Ricerca. Selezionare le query correlate all'ipotesi e Nuova ricerca per iniziare. Eseguire query correlate alla ricerca e analizzare i risultati usando l'esperienza dei log. Aggiungere un segnalibro direttamente alla ricerca per annotare i risultati, estrarre gli identificatori di entità e conservare le query pertinenti. |
| Analizzare e intervenire | Esaminare ancora più a fondo usando le pagine di entità UEBA. Eseguire playbook specifici dell'entità nelle entità con segnalibro. Usare le azioni predefinite per creare nuove regole analitiche, indicatori di minaccia e eventi imprevisti in base ai risultati. |
| Tenere traccia dei risultati | Registrare i risultati della ricerca. Tenere traccia se l'ipotesi viene convalidata o meno. Lasciare note dettagliate nei commenti. La ricerca collega automaticamente nuove regole analitiche e eventi imprevisti. Tenere traccia dell'impatto complessivo del programma di ricerca con la barra delle metriche. |
Per iniziare, vedere Eseguire la ricerca proattiva delle minacce end-to-end in Microsoft Sentinel.
Query di ricerca
In Microsoft Sentinel selezionare la scheda Query di ricerca>per eseguire tutte le query o un subset selezionato. Nella scheda Query sono elencate tutte le query di ricerca installate con soluzioni di sicurezza dall'hub contenuto e qualsiasi query aggiuntiva creata o modificata. Per ogni query è disponibile una descrizione dell'oggetto della ricerca e del tipo di dati su cui viene eseguita. Queste query sono raggruppate in base alle tattiche MITRE ATT&CK. Le icone a destra classificano il tipo di minaccia, ad esempio l'accesso iniziale, la persistenza e l'esfiltrazione. Le tecniche MITRE ATT&CK sono illustrate nella colonna Tecniche e descrivono il comportamento specifico identificato dalla query di ricerca.
Usare la scheda query per identificare dove iniziare la ricerca, esaminando il conteggio dei risultati, i picchi o la modifica nel conteggio dei risultati in un periodo di 24 ore. Ordinare e filtrare in base a preferiti, origine dati, tattica o tecnica MITRE ATT&CK, risultati, delta risultati o percentuale delta dei risultati. Visualizza le query che necessitano ancora di origini dati connesse e ottieni raccomandazioni su come abilitare queste query.
La tabella seguente descrive le azioni dettagliate disponibili nel dashboard di ricerca:
| Azione | Descrizione |
|---|---|
| vedi in che modo le query si applicano all'ambiente | Seleziona il pulsante Esegui tutte le query oppure un subset di query usando le caselle di controllo a sinistra di ogni riga e, quindi, il pulsante Esegui query selezionate. L'esecuzione delle query può richiedere da pochi secondi a molti minuti, a seconda del numero di query selezionate, dell'intervallo di tempo e della quantità di dati sottoposti a query. |
| Visualizza le query che hanno restituito risultati | Al termine dell'esecuzione delle query, visualizza le query che hanno restituito risultati usando il filtro Risultati: - Ordina per visualizzare quali query hanno il maggior o minor numero di risultati. - Visualizzare le query non attive nell'ambiente selezionando N/A nel filtro Risultati . - Passa il puntatore del mouse sull'icona delle informazioni (i) accanto all'N/A per vedere quali origini dati sono necessarie per rendere attiva la query. |
| Identifica i picchi nei dati | Identifica i picchi nei dati ordinando o filtrando in base al delta dei risultati o alla percentuale delta dei risultati. Confronta i risultati delle ultime 24 ore con i risultati delle 24-48 ore precedenti, evidenziando eventuali grandi differenze o differenze relative nel volume. |
| Visualizzare le query localizzate sulla mappa alla tattica MITRE ATT&CK | La barra tattica MITRE ATT&CK, nella parte superiore della tabella, elenca il numero di query mappate a ogni tattica MITRE ATTCK. La barra tattica viene aggiornata dinamicamente in base al set corrente di filtri applicati. Consente di visualizzare le tattiche MITRE ATT&CK visualizzate quando si filtra in base a un determinato conteggio dei risultati, a un delta di risultati elevato, a risultati N/A o a qualsiasi altro set di filtri. |
| Visualizzare le query mappate alle tecniche MITRE ATT&CK | È anche possibile eseguire il mapping delle query alle tecniche MITRE ATT&CK. È possibile filtrare o ordinare in base alle tecniche MITRE ATT&CK usando il filtro Tecnica. Aprendo una query, è possibile selezionare la tecnica per visualizzare la descrizione MITRE ATT&CK della tecnica. |
| Salva una query nei preferiti | Le query salvate nei preferiti vengono eseguite automaticamente ogni volta che si accede alla pagina di ricerca. Puoi creare una query di ricerca personalizzata o clonare e personalizzare un modello di query di ricerca esistente. |
| Esegui query | Seleziona Esegui query nella pagina dei dettagli della query di ricerca per eseguire la query direttamente dalla pagina di ricerca. Il numero di corrispondenze viene visualizzato all'interno della tabella, nella colonna Risultati. Esamina l'elenco delle query di ricerca e le relative corrispondenze. |
| Esamina una query sottostante | Esegui una rapida revisione della query sottostante nel riquadro dei dettagli della query. Puoi visualizzare i risultati facendo clic sul collegamento Visualizza risultati query (sotto la finestra della query) o sul pulsante Visualizza risultati (nella parte inferiore del riquadro). La query apre la pagina Log (Log Analytics) e, sotto la query, è possibile esaminare le corrispondenze per la query. |
Usare le query prima, durante e dopo una compromissione per eseguire le azioni seguenti:
Prima che si verifichi un evento imprevisto: l'attesa dei rilevamenti non è sufficiente. Agire in modo proattivo eseguendo le query di ricerca delle minacce correlate ai dati inseriti nell'area di lavoro almeno una volta alla settimana.
I risultati della ricerca proattiva forniscono informazioni iniziali sugli eventi che potrebbero confermare che una compromissione è in corso o almeno mostrare aree più deboli nell'ambiente che sono a rischio e richiedono attenzione.
Durante una compromissione: usare livestream per eseguire costantemente una query specifica, presentando i risultati man mano che arrivano. Usare livestream quando è necessario monitorare attivamente gli eventi utente, ad esempio se è necessario verificare se è ancora in corso una compromissione specifica, per determinare l'azione successiva di un attore di minaccia e verso la fine di un'indagine per verificare che la compromissione sia effettivamente finita.
Dopo una compromissione: dopo una compromissione o un evento imprevisto, assicurarsi di migliorare la copertura e le informazioni dettagliate per evitare eventi imprevisti simili in futuro.
Modificare le query esistenti o crearne di nuove per facilitare il rilevamento anticipato, in base alle informazioni dettagliate ottenute dalla compromissione o dall'evento imprevisto.
Se è stata individuata o creata una query di ricerca che fornisce informazioni dettagliate di valore elevato sui possibili attacchi, creare regole di rilevamento personalizzate basate su tale query e visualizzare tali informazioni come avvisi ai risponditori degli eventi imprevisti di sicurezza.
Visualizza i risultati della query e seleziona Nuova regola di avviso>Crea avviso di Microsoft Sentinel. Usa la Procedura guidata per la regola di analisi per creare una nuova regola basata sulla query. Per altre informazioni, vedere Creare regole di analisi personalizzate per rilevare le minacce.
Puoi anche creare query di ricerca e livestream sui dati archiviati in Esplora dati di Azure. Per altre informazioni, vedere i dettagli sulla costruzione di query tra risorse nella documentazione di Monitoraggio di Azure.
Per trovare altre query e origini dati, passare all'hub contenuto in Microsoft Sentinel o fare riferimento a risorse della community come il repository GitHub di Microsoft Sentinel.
Query di ricerca predefinite
Molte soluzioni di sicurezza includono query di ricerca predefinite. Dopo aver installato una soluzione che include le query di ricerca dall'hub contenuto, le query predefinite per tale soluzione vengono visualizzate nella scheda Query di ricerca. Le query vengono eseguite sui dati archiviati nelle tabelle di log, ad esempio per la creazione di processi, gli eventi DNS o altri tipi di eventi.
Molte query di ricerca disponibili vengono sviluppate dai ricercatori microsoft per la sicurezza su base continua. Aggiungono nuove query alle soluzioni di sicurezza e ottimizzano le query esistenti per fornire un punto di ingresso per cercare nuovi rilevamenti e attacchi.
Query di ricerca personalizzate
Creare o modificare una query e salvarla come query personalizzata o condividerla con gli utenti che si trovano nello stesso tenant. In Microsoft Sentinel creare una query di ricerca personalizzata dalla scheda Query di ricerca>.
Per altre informazioni, vedere Creare query di ricerca personalizzate in Microsoft Sentinel.
Sessioni livestream
Creare sessioni interattive che consentono di testare le query appena create man mano che si verificano eventi, ricevere notifiche dalle sessioni quando viene trovata una corrispondenza e avviare le indagini, se necessario. È possibile creare rapidamente una sessione livestream usando qualsiasi query di Log Analytics.
Testare le query appena create man mano che si verificano eventi
È possibile testare e regolare le query senza conflitti con le regole correnti applicate attivamente agli eventi. Dopo aver verificato che queste nuove query funzionino come previsto, è facile alzarle di livello a regole di avviso personalizzate selezionando un'opzione che eleva la sessione a un avviso.
Ricevere una notifica quando si verificano minacce
È possibile confrontare i feed di dati delle minacce con i dati di log aggregati e ricevere una notifica quando si verifica una corrispondenza. I feed di dati delle minacce sono flussi continui di dati correlati a potenziali minacce o minacce correnti, pertanto la notifica potrebbe indicare una potenziale minaccia per l'organizzazione. Creare una sessione livestream anziché una regola di avviso personalizzata per ricevere una notifica di un potenziale problema senza i sovraccarichi della gestione di una regola di avviso personalizzata.
Avviare indagini
Se è presente un'indagine attiva che coinvolge un asset, ad esempio un host o un utente, visualizzare attività specifiche (o qualsiasi) nei dati di log man mano che si verificano su tale asset. Ricevere una notifica quando si verifica l'attività.
Per altre informazioni, vedere Rilevare le minacce usando la ricerca livestream in Microsoft Sentinel.
Segnalibri per tenere traccia dei dati
La ricerca delle minacce richiede in genere la revisione di montagne di dati di log alla ricerca di prove di comportamenti dannosi. Durante questo processo, gli investigatori trovano eventi che vogliono ricordare, rivedere e analizzare come parte di convalidare potenziali ipotesi e comprendere la storia completa di un compromesso.
Durante il processo di ricerca e analisi, è possibile che si verifichino risultati di query che sembrano insoliti o sospetti. Aggiungere un segnalibro a questi elementi per farvi riferimento in futuro, ad esempio durante la creazione o l'arricchimento di un evento imprevisto per l'indagine. Eventi come potenziali cause radice, indicatori di compromissione o altri eventi rilevanti devono essere generati come segnalibro. Se un evento chiave a cui è stato aggiunto un segnalibro è sufficientemente grave da giustificare un'indagine, inoltrarlo a un evento imprevisto.
Nei risultati contrassegnare le caselle di controllo per le righe che si desidera mantenere e selezionare Aggiungi segnalibro. Viene creato per un record per ogni riga contrassegnata, un segnalibro, che contiene i risultati della riga e la query che ha creato i risultati. È possibile aggiungere tag e note personalizzati a ogni segnalibro.
- Come per le regole di analisi pianificate, è possibile arricchire i segnalibri con mapping di entità per estrarre più tipi di entità e identificatori e mapping MITRE ATT&CK per associare tattiche e tecniche specifiche.
- Per impostazione predefinita, i segnalibri usano la stessa entità e mapping di tecnica MITRE ATT&CK della query di ricerca che ha prodotto i risultati con segnalibro.
Visualizzare tutti i risultati con segnalibri facendo clic sulla scheda Segnalibri nella pagina principale di ricerca . Aggiungere tag ai segnalibri per classificarli per il filtro. Ad esempio, se stai analizzando una campagna di attacco, puoi creare un tag per la campagna, applicare il tag a qualsiasi segnalibro pertinente e quindi filtrare tutti i segnalibri in base alla campagna.
Esaminare una singola ricerca con segnalibro selezionando il segnalibro e quindi facendo clic su Ricerca nel riquadro dei dettagli per aprire l'esperienza di indagine. Visualizzare, analizzare e comunicare visivamente i risultati usando un diagramma interattivo del grafo di entità e una sequenza temporale. È anche possibile selezionare direttamente un'entità elencata per visualizzare la pagina di entità corrispondente dell'entità.
È anche possibile creare un evento imprevisto da uno o più segnalibri o aggiungere uno o più segnalibri a un evento imprevisto esistente. Selezionare una casella di controllo a sinistra di tutti i segnalibri da usare e quindi selezionare Azioni>evento imprevisto Crea nuovo evento imprevisto o Aggiungi a un evento imprevisto esistente. Valutare e analizzare l'evento imprevisto come qualsiasi altro.
Visualizzare i dati con segnalibro direttamente nella tabella HuntingBookmark nell'area di lavoro Log Analytics. Ad esempio:
La visualizzazione di segnalibri dalla tabella consente di filtrare, riepilogare e unire dati con segnalibri con altre origini dati, semplificando la ricerca di prove corroboranti.
Per iniziare a usare i segnalibri, vedere Tenere traccia dei dati durante la ricerca con Microsoft Sentinel.
Notebook per potenziare le indagini
Quando la ricerca e le indagini diventano più complesse, usare i notebook di Microsoft Sentinel per migliorare l'attività con Machine Learning, visualizzazioni e analisi dei dati.
I notebook offrono una sorta di sandbox virtuale, completa del proprio kernel, in cui è possibile eseguire un'indagine completa. Il notebook può includere i dati non elaborati, il codice eseguito su tali dati, i risultati e le relative visualizzazioni. Salvare i notebook in modo che sia possibile condividerli con altri utenti da riutilizzare nell'organizzazione.
I notebook possono essere utili quando la ricerca o l'indagine diventa troppo grande per ricordare facilmente, visualizzare i dettagli o quando è necessario salvare query e risultati. Per creare e condividere notebook, Microsoft Sentinel offre Jupyter Notebook, un ambiente open source, interattivo e di manipolazione dei dati, integrato direttamente nella pagina Notebook di Microsoft Sentinel.
Per altre informazioni, vedi:
- Usare Jupyter Notebook per cercare le minacce alla sicurezza
- Documentazione di Jupyter Project
- Documentazione introduttiva di Jupyter.
- Libro Jupyter infosec
- Esercitazioni su Real Python
La tabella seguente descrive alcuni metodi di uso dei notebook di Jupyter per facilitare i processi in Microsoft Sentinel:
| metodo | Descrizione |
|---|---|
| Persistenza, ripetibilità e backtracking dei dati | Se si lavora con molte query e set di risultati, è probabile che si verifichino alcuni dead-end. È necessario decidere quali query e risultati conservare e come accumulare i risultati utili in un singolo report. Usare Jupyter Notebooks per salvare query e dati man mano che si passa, usare le variabili per rieseguire query con valori o date diversi o salvare le query per rieseguire le indagini future. |
| Scripting e programmazione | Usare Jupyter Notebooks per aggiungere programmazione alle query, tra cui: - Linguaggi dichiarativi come Linguaggio di query Kusto (KQL) o SQL, per codificare la logica in un'unica istruzione, possibilmente complessa. - Linguaggi di programmazione procedurali , per eseguire la logica in una serie di passaggi. Suddividere la logica in passaggi per visualizzare ed eseguire il debug di risultati intermedi, aggiungere funzionalità che potrebbero non essere disponibili nel linguaggio di query e riutilizzare i risultati parziali nei passaggi di elaborazione successivi. |
| Collegamenti a dati esterni | Sebbene le tabelle di Microsoft Sentinel dispongano della maggior parte dei dati di telemetria e degli eventi, Jupyter Notebook può collegarsi a tutti i dati accessibili tramite la rete o da un file. L'uso di Jupyter Notebook consente di includere dati come: - Dati in servizi esterni di cui non si è proprietari, ad esempio dati di georilevazione o origini di intelligence sulle minacce - Dati sensibili archiviati solo all'interno dell'organizzazione, ad esempio database delle risorse umane o elenchi di asset di valore elevato - Dati di cui non è ancora stata eseguita la migrazione al cloud. |
| Strumenti specializzati per l'elaborazione dei dati, l'apprendimento automatico e la visualizzazione | Jupyter Notebooks offre più visualizzazioni, librerie di Machine Learning e funzionalità di elaborazione e trasformazione dei dati. Ad esempio, usare Jupyter Notebook con le funzionalità Python seguenti: - Pandas per l'elaborazione, la pulizia e la progettazione dei dati - Matplotlib, HoloViews e Plotly per la visualizzazione - NumPy e SciPy per l'elaborazione numerica e scientifica avanzata - scikit-learn per Machine Learning - TensorFlow, PyTorch e Keras per l'apprendimento avanzato Suggerimento: Jupyter Notebooks supporta più kernel del linguaggio. Usare magics per combinare linguaggi all'interno dello stesso notebook, consentendo l'esecuzione di singole celle usando un altro linguaggio. Ad esempio, è possibile recuperare i dati usando una cella di script di PowerShell, elaborare i dati in Python e usare JavaScript per eseguire il rendering di una visualizzazione. |
Strumenti di sicurezza MSTIC, Jupyter e Python
Microsoft Threat Intelligence Center (MSTIC) è un team di analisti e tecnici della sicurezza Microsoft che creano rilevamenti di sicurezza per diverse piattaforme Microsoft e lavorano sull'identificazione e l'analisi delle minacce.
MSTIC ha creato MSTICPy, una libreria per le indagini sulla sicurezza delle informazioni e la ricerca in Jupyter Notebooks. MSTICPy offre funzionalità riutilizzabili che puntano a velocizzare la creazione di notebook e semplificano la lettura dei notebook in Microsoft Sentinel.
Ad esempio, MSTICPy può:
- Eseguire query sui dati di log da più origini.
- Arricchire i dati con intelligence sulle minacce, georilevazioni e dati delle risorse di Azure.
- Estrarre indicatori di attività (IoA) dai log e decomprimere i dati codificati.
- Eseguire analisi sofisticate, ad esempio il rilevamento di sessioni anomale e la scomposizione di serie temporali.
- Visualizzare i dati usando sequenze temporali interattive, alberi di elaborazione e grafici morphing multidimensionali.
MSTICPy include anche alcuni strumenti notebook che consentono di risparmiare tempo, ad esempio widget che impostano limiti di tempo di query, selezionano e visualizzano elementi dagli elenchi e configurano l'ambiente del notebook.
Per altre informazioni, vedi:
- Documentazione di MSTICPy
- Notebook di Jupyter con funzionalità di ricerca di Microsoft Sentinel
- Configurazioni avanzate per notebook jupyter e MSTICPy in Microsoft Sentinel
Operatori e funzioni utili
Le query di ricerca sono compilate in Linguaggio di query Kusto (KQL), un linguaggio di query potente con il linguaggio IntelliSense che offre la potenza e la flessibilità necessarie per eseguire la ricerca al livello successivo.
È lo stesso linguaggio usato dalle query nelle regole di analisi e altrove in Microsoft Sentinel. Per altre informazioni, vedere Informazioni di riferimento sul linguaggio di query.
Gli operatori seguenti sono particolarmente utili nelle query di ricerca di Microsoft Sentinel:
where : consente di filtrare una tabella nel subset di righe che soddisfano un predicato.
summarize : consente di produrre una tabella che aggrega il contenuto della tabella di input.
join : unire le righe di due tabelle per formare una nuova tabella associando i valori delle colonne specificate da ogni tabella.
count : restituisce il numero di record nel set di record di input.
top : restituisce i primi N record ordinati in base alle colonne specificate.
limit: restituisce fino al numero specificato di righe.
project : selezionare le colonne da includere, rinominare o eliminare e inserire nuove colonne calcolate.
extend : creare colonne calcolate e aggiungerle al set di risultati.
makeset : restituisce una matrice dinamica (JSON) del set di valori distinct accettati da Expr nel gruppo
find : trovare righe che corrispondono a un predicato in un set di tabelle.
adx(): questa funzione esegue query tra risorse di Azure Esplora dati origini dati dall'esperienza di ricerca di Microsoft Sentinel e Log Analytics. Per altre informazioni, vedere Query tra risorse di Azure Esplora dati usando Monitoraggio di Azure.
Articoli correlati
- Notebook di Jupyter con funzionalità di ricerca di Microsoft Sentinel
- Tenere traccia dei dati durante la ricerca con Microsoft Sentinel
- Rilevare le minacce usando livestream di ricerca in Microsoft Sentinel
- Informazioni su come usare regole di analisi personalizzate durante il monitoraggio di Zoom con un connettore personalizzato.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per