Condividi tramite

Eseguire la ricerca proattiva delle minacce end-to-end in Microsoft Sentinel

  • Si applica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

La ricerca proattiva delle minacce è un processo in cui gli analisti della sicurezza cercano minacce e comportamenti dannosi non rilevati. Creando un'ipotesi, eseguendo una ricerca sui dati e convalidando tale ipotesi, determinano su cosa agire. Le azioni possono includere la creazione di nuovi rilevamenti, nuova intelligence sulle minacce o la rotazione di un nuovo incidente.

Usare l'esperienza di ricerca end-to-end all'interno di Microsoft Sentinel per:

  • Ricerca proattiva basata su tecniche MITRE specifiche, attività potenzialmente dannose, minacce recenti o ipotesi personalizzate.
  • Usare query di ricerca generate dal ricercatore della sicurezza o query di ricerca personalizzate per analizzare il comportamento dannoso.
  • Eseguire le ricerche usando più schede di query persistenti che consentono di mantenere il contesto nel tempo.
  • Raccogliere prove, analizzare le origini UEBA e annotare i risultati usando contrassegni specifici per la ricerca.
  • Collaborare e documentare i risultati con i commenti.
  • Agire sui risultati creando nuove regole analitiche, nuovi eventi imprevisti, nuovi indicatori di minaccia ed esecuzione di playbook.
  • Tenere traccia delle tue ricerche nuove, attive e chiuse in un'unica posizione.
  • Visualizzare le metriche in base a ipotesi convalidate e risultati tangibili.

Importante

Microsoft Sentinel è disponibile a livello generale nel portale di Microsoft Defender, incluso per i clienti senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

Per usare la funzionalità di ricerca, è necessario assegnare un ruolo predefinito di Microsoft Sentinel o un ruolo personalizzato di Controllo degli accessi in base al ruolo di Azure. Ecco le opzioni disponibili:

Definire l'ipotesi

La definizione di un'ipotesi è un processo aperto e flessibile e può includere qualsiasi idea da convalidare. Le ipotesi comuni includono:

  • Comportamento sospetto: analizzare attività potenzialmente dannose visibili nell'ambiente per determinare se si verifica un attacco.
  • Nuova campagna di minacce: cercare tipi di attività dannose in base a nuovi attori di minacce, tecniche o vulnerabilità individuati. Questo potrebbe essere qualcosa di cui hai sentito parlare in un articolo delle notizie sulla sicurezza.
  • Gap di rilevamento: aumentare la copertura di rilevamento usando la mappa MITRE ATT&CK per identificare le lacune.

Microsoft Sentinel offre flessibilità pari a zero nel set corretto di query di ricerca per analizzare l'ipotesi. Quando si crea una ricerca, avviarla con query di ricerca preselezionate o aggiungere query durante lo stato di avanzamento. Ecco le raccomandazioni per le query preselezionate in base alle ipotesi più comuni.

Ipotesi: comportamento sospetto

  1. Per Microsoft Sentinel nel portale di Azure, in Gestione delle minacce selezionare Ricerca.
    Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Gestione delle minacce>Ricerca.

  2. Selezionare la scheda Query . Per identificare comportamenti potenzialmente dannosi, eseguire tutte le query.

  3. Selezionare Esegui tutte le query> in attesa dell'esecuzione delle query. Questo processo può richiedere alcuni minuti.

  4. Selezionare Aggiungi filtro>Risultati>, deselezionare le caselle di controllo con i valori "!", "N/A", "-" e "0" >ApplicaScreenshot mostra il filtro descritto nel passaggio 3.

  5. Ordinare questi risultati in base alla colonna Results Delta per visualizzare le modifiche apportate più di recente. Questi risultati forniscono indicazioni iniziali sulla ricerca.

Ipotesi: nuova campagna di minaccia

L'Hub del contenuto offre soluzioni basate su dominio e campagne di minacce per cercare attacchi specifici. Nei passaggi seguenti si installa uno di questi tipi di soluzioni.

  1. Vai al Centro Contenuti.

  2. Installare una campagna di minacce o una soluzione basata su dominio, ad esempio il rilevamento delle vulnerabilità Log4J o Apache Tomcat.

    Screenshot che mostra l'hub del contenuto nella visualizzazione griglia con le soluzioni Log4J e Apache selezionate.

  3. Dopo aver installato la soluzione, in Microsoft Sentinel passare a Ricerca.

  4. Selezionare la scheda Query .

  5. Cercare in base al nome della soluzione o filtrare in base al nome di origine della soluzione.

  6. Seleziona la query e Esegui la query.

Ipotesi: gap di rilevamento

La mappa MITRE ATT&CK consente di identificare lacune specifiche nella copertura del rilevamento. Usare query di ricerca predefinite per specifiche tecniche MITRE ATT&CK come punto di partenza per sviluppare una nuova logica di rilevamento.

  1. Passare alla pagina MITRE ATT&CK (anteprima).

  2. Deselezionare gli elementi nel menu a discesa Attivo.

  3. Selezionare Query di ricerca nel filtro simulato per verificare le tecniche associate alle query di ricerca.

    Screenshot che mostra la pagina MITRE ATT&CK con l'opzione per le query di ricerca simulate selezionate.

  4. Selezionare la scheda con la tecnica desiderata.

  5. Selezionare il collegamento Visualizza accanto a Query di ricerca nella parte inferiore del riquadro dei dettagli. Questo collegamento consente di visualizzare una visualizzazione filtrata della scheda Query nella pagina Ricerca in base alla tecnica selezionata.

    Screenshot che mostra la visualizzazione a schede MITRE ATT&CK con il collegamento per la visualizzazione delle query di ricerca.

  6. Selezionare tutte le query per tale tecnica.

Creare una ricerca

Esistono due modi principali per creare una ricerca.

  1. Se si è iniziato con un'ipotesi in base alla quale sono state selezionate query, selezionare il menu a discesa Azioni di indagine>Crea nuova indagine. Tutte le query selezionate vengono clonate per questa nuova ricerca.

    Screenshot che mostra le query selezionate e l'opzione di menu Crea Nuova Ricerca selezionata.

  2. Se non si è ancora deciso sulle query, selezionare la scheda >Nuova caccia per creare una ricerca vuota.

    La schermata mostra il menu per creare una caccia vuota senza query preselezionate.

  3. Compilare il nome della ricerca e i campi facoltativi. La descrizione è un buon posto per verbalizzare l'ipotesi. Il menu a discesa Ipotesi consente di impostare lo stato dell'ipotesi di lavoro.

  4. Selezionare Crea per iniziare.

    Screenshot che mostra la pagina di creazione della caccia con nome, descrizione, proprietario, stato e stato dell'ipotesi.

Visualizzare i dettagli della ricerca

  1. Selezionare la scheda Caccia (anteprima) per visualizzare la nuova ricerca.

  2. Selezionare il collegamento di ricerca in base al nome per visualizzare i dettagli ed eseguire azioni.

    Screenshot che mostra la nuova caccia nella scheda Caccia.

  3. Visualizzare il riquadro dei dettagli con il nome della ricerca, la descrizione, il contenuto, l'ora dell'ultimo aggiornamento e l'ora di creazione.

  4. Prendere nota delle schede per query, segnalibri ed entità.

    Screenshot che mostra i dettagli della ricerca.

Scheda Query

La scheda Query contiene query di ricerca specifiche per questa ricerca. Queste query sono cloni degli originali, indipendenti da tutte le altre nell'area di lavoro. Aggiornarle o eliminarle senza influire sul set complessivo di query o di query di ricerca in altre ricerche.

Aggiungere una query alla ricerca

  1. Selezionare Azioni query>aggiungi query alla ricerca
  2. Selezionare le query da aggiungere. La schermata mostra il menu delle azioni di query nella scheda delle query.

Esegui query

  1. Selezionare Esegui tutte le query o scegliere query specifiche e selezionare Esegui query selezionate.
  2. Selezionare Annulla per annullare l'esecuzione della query in qualsiasi momento.

Gestire le query

  1. Fare clic con il pulsante destro del mouse su una query e scegliere una delle opzioni seguenti dal menu di scelta rapida:

    • Correre
    • Redigere
    • Clone
    • Cancellare
    • Creare una regola di analisi

    Screenshot mostra le opzioni del menu contestuale nella scheda Query di una ricerca.

    Queste opzioni si comportano esattamente come la tabella query esistente nella pagina Ricerca , ad eccezione delle azioni valide solo all'interno di questa ricerca. Quando si sceglie di creare una regola di analisi, il nome, la descrizione e la query KQL vengono prepopolati nella creazione della nuova regola. Viene creato un collegamento per visualizzare la nuova regola di analisi disponibile in Regole di analisi correlate.

    Screenshot che mostra i dettagli della caccia con la regola di analisi correlata.

Visualizza risultati

Questa funzionalità consente di visualizzare i risultati delle query di ricerca nell'esperienza di ricerca di Log Analytics. Da qui, analizzare i risultati, perfezionare le query e creare segnalibri per registrare informazioni e analizzare ulteriormente i singoli risultati di riga.

  1. Selezionare il pulsante Visualizza risultati .
  2. Se si passa a un'altra parte del portale di Microsoft Sentinel, tornare all'esperienza di ricerca log LA dalla pagina di ricerca, tutte le schede delle query LA rimangono.
  3. Queste schede della query LA vengono perse se si chiude la scheda del browser. Se si desidera rendere persistenti le query a lungo termine, è necessario salvare la query, creare una nuova query di ricerca o copiarla in un commento per usarle in un secondo momento all'interno della ricerca.

Aggiungere un segnalibro

Quando si trovano risultati interessanti o righe importanti di dati, aggiungere tali risultati alla ricerca creando un contrassegno. Per altre informazioni, vedere Usare i segnalibri di ricerca per le indagini sui dati.

  1. Selezionare la riga o le righe desiderate.

  2. Sopra la tabella dei risultati selezionare Aggiungi segnalibro. Screenshot che mostra il riquadro Aggiungi segnalibro con i campi facoltativi compilati.

  3. Assegnare un nome al contrassegno.

  4. Impostare la colonna dell'ora dell'evento.

  5. Eseguire il mapping degli identificatori di entità.

  6. Impostare tattiche e tecniche MITRE.

  7. Aggiungere tag e aggiungere note.

    I contrassegni mantengono i risultati di riga specifici, la query KQL e l'intervallo di tempo che ha generato il risultato.

  8. Selezionare Crea per aggiungere il segnalibro alla ricerca.

Visualizzare i contrassegni

  1. Passare alla scheda contrassegno della ricerca per visualizzare i contrassegni.

    Screenshot che mostra un segnalibro con tutti i suoi dettagli e il menu azioni di caccia aperto.

  2. Selezionare un contrassegno desiderato ed eseguire le azioni seguenti:

    • Selezionare i collegamenti delle entità per visualizzare la pagina dell'entità UEBA corrispondente.
    • Visualizzare risultati, tag e note non elaborati.
    • Selezionare Visualizza query di origine per visualizzare la query di origine in Log Analytics.
    • Selezionare Visualizza i log dei segnalibri per visualizzare il contenuto del segnalibro nella tabella dei segnalibri di ricerca di Log Analytics.
    • Selezionare il pulsante Analizza per visualizzare il segnalibro e le entità correlate nel grafico di indagine.
    • Selezionare il pulsante Modifica per aggiornare i tag, le tattiche e le tecniche MITRE e le note.

Interagire con le entità

  1. Passare alla scheda Entità della ricerca per visualizzare, cercare e filtrare le entità contenute nella ricerca. Questo elenco viene generato dall'elenco di entità nei contrassegni. La scheda Entità risolve automaticamente le voci duplicate.

  2. Selezionare i collegamenti dei nomi per visitare la pagina dell'entità UEBA corrispondente.

  3. Fare clic con il pulsante destro del mouse sull'entità per eseguire azioni appropriate per i tipi di entità, ad esempio l'aggiunta di un indirizzo IP a TI o l'esecuzione di un playbook specifico del tipo di entità.

    Screenshot che mostra il menu di scelta rapida per le entità.

Aggiunta di commenti

I commenti sono un ottimo posto per collaborare con i colleghi, conservare le note e i risultati del documento.

  1. Selezionare

  2. Digitare e formattare il commento nella casella di modifica.

  3. Aggiungere un risultato della query come collegamento per consentire ai collaboratori di comprendere rapidamente il contesto.

  4. Selezionare il pulsante Commento per applicare i commenti.

    Screenshot che mostra la casella di modifica del commento con la query LA come link.

Creare eventi imprevisti

Sono disponibili due opzioni per la creazione di eventi imprevisti durante la ricerca.

Opzione 1: usare i contrassegni.

  1. Selezionare un contrassegno o i contrassegni.

  2. Selezionare il pulsante Azioni degli eventi imprevisti.

  3. Selezionare Crea nuovo evento imprevisto o Aggiungi a un evento imprevisto esistente

    Screenshot che mostra il menu azioni degli eventi imprevisti dalla finestra segnalibri.

    • Per Crea nuovo evento imprevisto, seguire la procedura guidata. La scheda contrassegni è prepopolata con i contrassegni selezionati.
    • Per Aggiungi a un evento imprevisto esistente, selezionare l'evento imprevisto e selezionare il pulsante Accetta .

Opzione 2: usare le azioni di ricerca.

  1. Selezionare il menu > di ricerca Crea evento imprevisto e seguire la procedura guidata.

    Screenshot che mostra il menu delle azioni di ricerca dalla finestra segnalibri.

  2. Durante il passaggio Aggiungi segnalibri, usare l'azione Aggiungi segnalibro per scegliere i segnalibri dalla caccia da aggiungere all'incidente. È possibile limitare i contrassegni non assegnati a un evento imprevisto.

  3. Dopo aver creato l'incidente, verrà collegato nell'elenco Incidenti correlati per quella ricerca.

Aggiorna stato

  1. Quando sono state acquisite prove sufficienti per convalidare o invalidare l'ipotesi, aggiornare lo stato dell'ipotesi.

    Screenshot che mostra la selezione del menu dello stato dell'ipotesi.

  2. Al termine di tutte le azioni associate alla ricerca, ad esempio la creazione di regole di analisi, eventi imprevisti o l'aggiunta di indicatori di compromissione (IOC) a TI, chiudere la ricerca.

    Screenshot che mostra la selezione del menu Stato di caccia.

Questi aggiornamenti dello stato sono visibili nella pagina principale ricerca e vengono usati per tenere traccia delle metriche.

Tenere traccia delle metriche

Tenere traccia dei risultati tangibili dell'attività di ricerca usando la barra delle metriche nella scheda Caccia . Le metriche mostrano il numero di ipotesi convalidate, nuovi eventi imprevisti creati e nuove regole analitiche create. Usare questi risultati per impostare obiettivi o celebrare le attività cardine del programma di ricerca.

Screenshot che mostra le metriche di caccia.

Passaggi successivi

In questo articolo si è appreso come eseguire un'indagine sulla ricerca con la funzionalità di ricerca in Microsoft Sentinel.

Per altre informazioni, vedi: