Opsporing van bedreigingen in Microsoft Sentinel
Als beveiligingsanalisten en onderzoekers wilt u proactief zijn over het zoeken naar beveiligingsrisico's, maar uw verschillende systemen en beveiligingsapparaten genereren bergen gegevens die moeilijk kunnen worden geparseerd en gefilterd op zinvolle gebeurtenissen. Microsoft Sentinel heeft krachtige opsporings- en queryhulpprogramma's voor het opsporen van beveiligingsrisico's in de gegevensbronnen van uw organisatie. Om beveiligingsanalisten te helpen proactief te zoeken naar nieuwe afwijkingen die niet worden gedetecteerd door uw beveiligingsapps of zelfs door uw geplande analyseregels, helpen de ingebouwde opsporingsquery's van Microsoft Sentinel u bij het stellen van de juiste vragen om problemen te vinden in de gegevens die u al in uw netwerk hebt.
Eén ingebouwde query bevat bijvoorbeeld gegevens over de meest ongebruikelijke processen die worden uitgevoerd op uw infrastructuur. U wilt niet elke keer dat ze worden uitgevoerd, een waarschuwing ontvangen. Ze kunnen heel onschuldig zijn. Maar misschien wilt u de query ter gelegenheid bekijken om te zien of er iets ongebruikelijks is.
Notitie
Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.
Belangrijk
Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Ingebouwde query's gebruiken
Het opsporingsdashboard biedt kant-en-klare queryvoorbeelden die zijn ontworpen om u op weg te helpen en vertrouwd te raken met de tabellen en de querytaal. Query's worden uitgevoerd op gegevens die zijn opgeslagen in logboektabellen, zoals voor het maken van processen, DNS-gebeurtenissen of andere gebeurtenistypen.
Ingebouwde opsporingsquery's worden continu ontwikkeld door Beveiligingsonderzoekers van Microsoft, waarbij zowel nieuwe query's als het verfijnen van bestaande query's worden toegevoegd om u te voorzien van een ingangspunt om te zoeken naar nieuwe detecties en te achterhalen waar u kunt beginnen met het zoeken naar het begin van nieuwe aanvallen.
Gebruik query's vóór, tijdens en na een inbreuk om de volgende acties uit te voeren:
Voordat er een incident optreedt: wachten op detecties is niet voldoende. Voer proactief actie uit door alle query's voor het opsporen van bedreigingen uit te voeren die betrekking hebben op de gegevens die u minstens één keer per week in uw werkruimte opneemt.
Resultaten van uw proactieve opsporing bieden vroeg inzicht in gebeurtenissen die kunnen bevestigen dat een inbreuk wordt uitgevoerd, of ten minste zwakkere gebieden in uw omgeving tonen die risico lopen en aandacht nodig hebben.
Tijdens een inbreuk: gebruik livestream om een specifieke query voortdurend uit te voeren, waarbij resultaten worden weergegeven wanneer ze binnenkomen. Gebruik livestream wanneer u gebruikersgebeurtenissen actief moet controleren, bijvoorbeeld als u wilt controleren of er nog een specifiek compromis plaatsvindt, om de volgende actie van een bedreigingsacteur te bepalen en aan het einde van een onderzoek om te bevestigen dat het compromis inderdaad voorbij is.
Na een inbreuk: Nadat er een inbreuk of een incident is opgetreden, moet u uw dekking en inzicht verbeteren om soortgelijke incidenten in de toekomst te voorkomen.
Wijzig uw bestaande query's of maak nieuwe query's om u te helpen bij vroege detectie, op basis van inzichten die zijn verkregen uit uw inbreuk of incident.
Als u een opsporingsquery hebt gedetecteerd of gemaakt die hoogwaardige inzichten biedt in mogelijke aanvallen, maakt u aangepaste detectieregels op basis van die query en geeft u deze inzichten weer als waarschuwingen voor uw reactie op beveiligingsincidenten.
Bekijk de resultaten van de query en selecteer Nieuwe waarschuwingsregel>Microsoft Sentinel-waarschuwing maken. Gebruik de wizard Analyseregels om een nieuwe regel te maken op basis van uw query. Zie Aangepaste analyseregels maken om bedreigingen te detecteren voor meer informatie.
U kunt ook opsporings- en livestreamquery's maken voor gegevens die zijn opgeslagen in Azure Data Explorer. Zie de details van het maken van query's voor meerdere resources in de Documentatie van Azure Monitor voor meer informatie.
Gebruik communityresources, zoals de GitHub-opslagplaats van Microsoft Sentinel, om meer query's en gegevensbronnen te vinden.
Het opsporingsdashboard gebruiken
Met het opsporingsdashboard kunt u al uw query's of een geselecteerde subset uitvoeren in één selectie. Selecteer Opsporing in de Microsoft Sentinel-portal.
De weergegeven tabel bevat alle query's die zijn geschreven door het team van beveiligingsanalisten van Microsoft en eventuele extra query's die u hebt gemaakt of gewijzigd. Elke query bevat een beschrijving van wat er wordt gezocht en op welk soort gegevens deze wordt uitgevoerd. Deze query's worden gegroepeerd op basis van hun MITRE ATT&CK-tactieken. De pictogrammen aan de rechterkant categoriseren het type bedreiging, zoals initiële toegang, persistentie en exfiltratie. MITRE ATT&CK-technieken worden weergegeven in de kolom Technieken en beschrijven het specifieke gedrag dat wordt geïdentificeerd door de opsporingsquery.
Gebruik het opsporingsdashboard om te bepalen waar u kunt beginnen met jagen, door te kijken naar het aantal resultaten, pieken of de wijziging in het aantal resultaten gedurende een periode van 24 uur. Sorteer en filter op favorieten, gegevensbron, MITRE ATT&CK-tactiek of -techniek, resultaten, resultaten delta of resultaat deltapercentage. Bekijk query's waarvoor nog steeds gegevensbronnen zijn verbonden en krijg aanbevelingen voor het inschakelen van deze query's.
In de volgende tabel worden gedetailleerde acties beschreven die beschikbaar zijn via het opsporingsdashboard:
| Actie | Beschrijving |
|---|---|
| Bekijk hoe query's van toepassing zijn op uw omgeving | Selecteer de knop Alle query's uitvoeren of selecteer een subset van query's met behulp van de selectievakjes links van elke rij en selecteer de knop Geselecteerde query's uitvoeren. Het uitvoeren van uw query's kan een paar seconden tot veel minuten duren, afhankelijk van het aantal geselecteerde query's, het tijdsbereik en de hoeveelheid gegevens waarop een query wordt uitgevoerd. |
| De query's weergeven die resultaten hebben geretourneerd | Nadat uw query's zijn uitgevoerd, bekijkt u de query's die resultaten hebben geretourneerd met behulp van het filter Resultaten : - Sorteer om te zien welke query's het meeste of het minste resultaat hadden. - Bekijk de query's die helemaal niet actief zijn in uw omgeving door N/B te selecteren in het resultatenfilter. - Beweeg de muisaanwijzer over het infopictogram (i) naast de N/A om te zien welke gegevensbronnen nodig zijn om deze query actief te maken. |
| Pieken in uw gegevens identificeren | Identificeer pieken in de gegevens door resultatendelta of resultatendeltapercentage te sorteren of te filteren. Vergelijkt de resultaten van de afgelopen 24 uur met de resultaten van de vorige 24-48 uur, waarbij grote verschillen of relatieve verschillen in volume worden gemarkeerd. |
| Query's weergeven die zijn toegewezen aan de MITRE ATT&CK-tactiek | De tactiekbalk MITRE ATT&CK bovenaan de tabel geeft aan hoeveel query's zijn toegewezen aan elke MITRE ATT&CK-tactiek. De tactiekbalk wordt dynamisch bijgewerkt op basis van de huidige set filters die zijn toegepast. Hiermee kunt u zien welke MITRE ATT&CK-tactieken worden weergegeven wanneer u filtert op een bepaald aantal resultaten, een hoge resultaat delta, N/A-resultaten of een andere set filters. |
| Query's weergeven die zijn toegewezen aan MITRE ATT&CK-technieken | Query's kunnen ook worden toegewezen aan MITRE ATT&CK-technieken. U kunt filteren of sorteren op MITRE ATT&CK-technieken met behulp van het techniekfilter. Door een query te openen, kunt u de techniek selecteren om de beschrijving van de MITRE ATT&CK van de techniek te bekijken. |
| Een query opslaan in uw favorieten | Query's die zijn opgeslagen in uw favorieten, worden automatisch uitgevoerd telkens wanneer de opsporingspagina wordt geopend. U kunt uw eigen opsporingsquery maken of een bestaande opsporingsquerysjabloon klonen en aanpassen. |
| Query's uitvoeren | Selecteer Query uitvoeren op de pagina met opsporingsquerydetails om de query rechtstreeks vanaf de opsporingspagina uit te voeren. Het aantal overeenkomsten wordt weergegeven in de tabel, in de kolom Resultaten . Bekijk de lijst met opsporingsquery's en de bijbehorende overeenkomsten. |
| Een onderliggende query controleren | Voer een beknopt overzicht uit van de onderliggende query in het deelvenster Querydetails. U kunt de resultaten zien door te klikken op de koppeling Queryresultaten weergeven (onder het queryvenster) of op de knop Resultaten weergeven (onderaan het deelvenster). De query opent de pagina Logboeken (Log Analytics) en onder de query kunt u de overeenkomsten voor de query bekijken. |
Een aangepaste opsporingsquery maken
Maak of wijzig een query en sla deze op als uw eigen query of deel deze met gebruikers die zich in dezelfde tenant bevinden.
Ga als volgt te werk om een nieuwe query te maken:
Selecteer Nieuwe query.
Vul alle lege velden in en selecteer Maken.
Entiteitstoewijzingen maken door entiteitstypen, id's en kolommen te selecteren.
Wijs MITRE ATT&CK-technieken toe aan uw opsporingsquery's door de tactiek, techniek en subtechniek te selecteren (indien van toepassing).
Een bestaande query klonen en wijzigen:
Selecteer in de tabel de opsporingsquery die u wilt wijzigen.
Selecteer het beletselteken (...) in de regel van de query die u wilt wijzigen en selecteer Kloonquery.
Wijzig de query en selecteer Maken.
Een bestaande aangepaste query wijzigen:
Selecteer in de tabel de opsporingsquery die u wilt wijzigen. Alleen query's die uit een aangepaste inhoudsbron kunnen worden bewerkt. Andere inhoudsbronnen moeten worden bewerkt op die bron.
Selecteer het beletselteken (...) in de regel van de query die u wilt wijzigen en selecteer Query bewerken.
Wijzig het aangepaste queryveld met de bijgewerkte query. U kunt ook de entiteitstoewijzing en -technieken wijzigen, zoals wordt uitgelegd in de sectie 'Een nieuwe query maken' van deze documentatie.
Voorbeeldquery
Een typische query begint met een tabel- of parsernaam, gevolgd door een reeks operatoren, gescheiden door een sluisteken (|).
Begin in het bovenstaande voorbeeld met de tabelnaam SecurityEvent en voeg waar nodig pijpelementen toe.
Definieer een tijdfilter om alleen records van de afgelopen zeven dagen te controleren.
Voeg een filter toe aan de query om alleen gebeurtenis-id 4688 weer te geven.
Voeg een filter toe aan de query op de opdrachtregel om alleen exemplaren van cscript.exe te bevatten.
Project alleen de kolommen die u wilt verkennen en beperken tot 1000 en selecteer Query uitvoeren.
Selecteer het groene driehoekje en voer de query uit. U kunt de query testen en uitvoeren om te zoeken naar afwijkend gedrag.
Het is raadzaam dat uw query gebruikmaakt van een ASIM-parser (Advanced Security Information Model) en niet van een ingebouwde tabel. Dit zorgt ervoor dat de query alle huidige of toekomstige relevante gegevensbronnen ondersteunt in plaats van één gegevensbron.
Bladwijzer maken
Tijdens het opsporings- en onderzoeksproces kunt u queryresultaten tegenkomen die ongebruikelijk of verdacht lijken. Maak een bladwijzer voor deze items om ze in de toekomst te raadplegen, bijvoorbeeld bij het maken of verrijken van een incident voor onderzoek. Gebeurtenissen zoals mogelijke hoofdoorzaken, indicatoren van inbreuk of andere belangrijke gebeurtenissen moeten worden gegenereerd als bladwijzer. Als een belangrijke gebeurtenis die u hebt opgegeven ernstig genoeg is om een onderzoek te rechtvaardigen, escaleert u deze naar een incident.
Markeer in de resultaten de selectievakjes voor de rijen die u wilt behouden en selecteer Bladwijzer toevoegen. Hiermee maakt u een record voor elke gemarkeerde rij, een bladwijzer, die de rijresultaten en de query bevat waarmee de resultaten zijn gemaakt. U kunt uw eigen tags en notities toevoegen aan elke bladwijzer.
- Net als bij geplande analyseregels kunt u uw bladwijzers verrijken met entiteitstoewijzingen om meerdere entiteitstypen en -id's te extraheren, en MITRE ATT&CK-toewijzingen om bepaalde tactieken en technieken te koppelen.
- Bladwijzers gebruiken standaard dezelfde entiteit en MITRE ATT&CK-techniektoewijzingen als de opsporingsquery die de resultaten met bladwijzers heeft geproduceerd.
Bekijk alle resultaten met bladwijzers door te klikken op het tabblad Bladwijzers op de hoofdpagina opsporing . Voeg tags toe aan bladwijzers om ze te classificeren voor filteren. Als u bijvoorbeeld een aanvalscampagne onderzoekt, kunt u een tag voor de campagne maken, de tag toepassen op relevante bladwijzers en vervolgens alle bladwijzers filteren op basis van de campagne.
Onderzoek één resultaten met bladwijzers door de bladwijzer te selecteren en vervolgens te klikken op Onderzoeken in het detailvenster om de onderzoekservaring te openen. U kunt ook rechtstreeks een vermelde entiteit selecteren om de bijbehorende entiteitspagina van die entiteit weer te geven.
U kunt ook een incident maken op basis van een of meer bladwijzers of een of meer bladwijzers toevoegen aan een bestaand incident. Schakel links van de bladwijzers die u wilt gebruiken een selectievakje in en selecteer vervolgens Incidentacties>Nieuw incident maken of Toevoegen aan bestaand incident. Sorteer en onderzoek het incident zoals elke andere.
Zie Bladwijzers gebruiken bij opsporing voor meer informatie.
Notebooks gebruiken om onderzoek uit te voeren
Wanneer uw opsporing en onderzoeken complexer worden, gebruikt u Microsoft Sentinel-notebooks om uw activiteiten te verbeteren met machine learning, visualisaties en gegevensanalyse.
Notebooks bieden een soort virtuele sandbox, compleet met een eigen kernel, waar u een volledig onderzoek kunt uitvoeren. Uw notebook kan de onbewerkte gegevens bevatten, de code die u op die gegevens uitvoert, de resultaten en de bijbehorende visualisaties. Sla uw notitieblokken op zodat u deze met anderen kunt delen om opnieuw te gebruiken in uw organisatie.
Notebooks kunnen handig zijn wanneer uw opsporing of onderzoek te groot wordt om gemakkelijk te onthouden, details weer te geven of wanneer u query's en resultaten wilt opslaan. Microsoft Sentinel biedt Jupyter Notebooks, een opensource-, interactieve ontwikkel- en gegevensmanipulatieomgeving die rechtstreeks is geïntegreerd op de pagina Microsoft Sentinel Notebooks om u te helpen notebooks te maken en te delen.
Zie voor meer informatie:
- Jupyter Notebook gebruiken om beveiligingsbedreigingen op te sporen
- De Documentatie voor Jupyter Project
- Introductiedocumentatie van Jupyter.
- Het Infosec Jupyter-boek
- Echte Python-zelfstudies
In de volgende tabel worden enkele methoden beschreven voor het gebruik van Jupyter-notebooks om uw processen in Microsoft Sentinel te helpen:
| Wijze | Description |
|---|---|
| Persistentie, herhaalbaarheid en backtracking van gegevens | Als u met veel query's en resultatensets werkt, hebt u waarschijnlijk een aantal dode einden. U moet bepalen welke query's en resultaten moeten worden bewaard en hoe u de nuttige resultaten in één rapport kunt verzamelen. Gebruik Jupyter Notebooks om query's en gegevens op te slaan terwijl u gaat, gebruik variabelen om query's met verschillende waarden of datums opnieuw uit te voeren of sla uw query's op om toekomstige onderzoeken opnieuw uit te voeren. |
| Scripting en programmering | Gebruik Jupyter Notebooks om programmeren toe te voegen aan uw query's, waaronder: - Declaratieve talen, zoals Kusto-querytaal (KQL) of SQL, om uw logica te coderen in één, mogelijk complexe instructie. - Procedurele programmeertalen om logica in een reeks stappen uit te voeren. Splits uw logica in stappen om tussenliggende resultaten te zien en fouten op te sporen, functionaliteit toe te voegen die mogelijk niet beschikbaar is in de querytaal en gedeeltelijke resultaten opnieuw te gebruiken in latere verwerkingsstappen. |
| Koppelingen naar externe gegevens | Hoewel Microsoft Sentinel-tabellen de meeste telemetrie- en gebeurtenisgegevens hebben, kunnen Jupyter Notebooks een koppeling maken naar gegevens die toegankelijk zijn via uw netwerk of vanuit een bestand. Met Jupyter Notebooks kunt u gegevens opnemen, zoals: - Gegevens in externe services die u niet bezit, zoals geolocatiegegevens of bedreigingsinformatiebronnen - Gevoelige gegevens die alleen in uw organisatie worden opgeslagen, zoals human resourcedatabases of lijsten met hoogwaardige assets - Gegevens die u nog niet naar de cloud hebt gemigreerd. |
| Gespecialiseerde hulpprogramma's voor gegevensverwerking, machine learning en visualisatie | Jupyter Notebooks biedt meer visualisaties, machine learning-bibliotheken en functies voor gegevensverwerking en transformatie. Gebruik bijvoorbeeld Jupyter Notebooks met de volgende Python-mogelijkheden : - pandas voor gegevensverwerking, opschoning en engineering - Matplotlib, HoloViews en Plotly voor visualisatie - NumPy en SciPy voor geavanceerde numerieke en wetenschappelijke verwerking - scikit-learn voor machine learning - TensorFlow, PyTorch en Keras voor deep learning Tip: Jupyter Notebooks ondersteunt kernels met meerdere talen. Gebruik magics om talen in hetzelfde notebook te combineren, door de uitvoering van afzonderlijke cellen met een andere taal toe te staan. U kunt bijvoorbeeld gegevens ophalen met behulp van een PowerShell-scriptcel, de gegevens in Python verwerken en JavaScript gebruiken om een visualisatie weer te geven. |
MSTIC-, Jupyter- en Python-beveiligingshulpprogramma's
Het Microsoft Threat Intelligence Center (MSTIC) is een team van Microsoft-beveiligingsanalisten en -technici die beveiligingsdetecties voor verschillende Microsoft-platforms ontwerpen en werken aan bedreigingsidentificatie en -onderzoek.
MSTIC heeft MSTICPy gebouwd, een bibliotheek voor informatiebeveiligingsonderzoeken en opsporing in Jupyter Notebooks. MSTICPy biedt herbruikbare functionaliteit waarmee het maken van notitieblokken sneller kan worden gemaakt en waarmee gebruikers gemakkelijker notitieblokken kunnen lezen in Microsoft Sentinel.
MSTICPy kan bijvoorbeeld:
- Query's uitvoeren op logboekgegevens uit meerdere bronnen.
- Verrijk de gegevens met bedreigingsinformatie, geolocaties en Azure-resourcegegevens.
- Extract Indicators of Activity (IoA) uit logboeken en pak gecodeerde gegevens uit.
- Voer geavanceerde analyses uit, zoals afwijkende sessiedetectie en tijdreeksontleding.
- Gegevens visualiseren met behulp van interactieve tijdlijnen, processtructuren en multidimensionale morphinggrafieken.
MSTICPy bevat ook enkele tijdbesparende notebookhulpprogramma's, zoals widgets die querytijdgrenzen instellen, items in lijsten selecteren en weergeven en de notebookomgeving configureren.
Zie voor meer informatie:
- MSTICPy-documentatie
- Zelfstudie: Aan de slag met Jupyter-notebooks en MSTICPy in Microsoft Sentinel
- Geavanceerde configuraties voor Jupyter-notebooks en MSTICPy in Microsoft Sentinel
Nuttige operators en functies
Opsporingsquery's zijn gebouwd in Kusto-querytaal (KQL), een krachtige querytaal met IntelliSense-taal waarmee u de kracht en flexibiliteit krijgt die u nodig hebt om de jacht naar het volgende niveau te tillen.
Het is dezelfde taal die wordt gebruikt door de query's in uw analyseregels en elders in Microsoft Sentinel. Zie Naslaginformatie over querytaal voor meer informatie.
De volgende operators zijn met name handig in opsporingsquery's van Microsoft Sentinel:
where - Filter een tabel op de subset van rijen die voldoen aan een predicaat.
summarize - Produceer een tabel waarmee de inhoud van de invoertabel wordt samengevoegd.
join : voeg de rijen van twee tabellen samen om een nieuwe tabel te vormen door overeenkomende waarden van de opgegeven kolommen uit elke tabel te vergelijken.
count : retourneert het aantal records in de invoerrecordset.
top : retourneer de eerste N-records die zijn gesorteerd op de opgegeven kolommen.
limiet : ga terug tot het opgegeven aantal rijen.
project : selecteer de kolommen die u wilt opnemen, de naam ervan wilt wijzigen of verwijderen en voeg nieuwe berekende kolommen in.
uitbreiden : berekende kolommen maken en toevoegen aan de resultatenset.
makeset : retourneert een dynamische matrix (JSON) van de set unieke waarden die Expr in de groep neemt
zoeken : rijen zoeken die overeenkomen met een predicaat in een set tabellen.
adx() - Deze functie voert query's voor meerdere resources uit van Azure Data Explorer-gegevensbronnen uit de opsporingservaring van Microsoft Sentinel en Log Analytics. Zie Query's uitvoeren op meerdere resources in Azure Data Explorer met behulp van Azure Monitor voor meer informatie.
Volgende stappen
In dit artikel hebt u geleerd hoe u een opsporingsonderzoek uitvoert met Microsoft Sentinel.
Zie voor meer informatie:
- Notebooks gebruiken om geautomatiseerde opsporingscampagnes uit te voeren
- Bladwijzers gebruiken om interessante informatie op te slaan tijdens het opsporen
Leer uit een voorbeeld van het gebruik van aangepaste analyseregels bij het bewaken van Zoom met een aangepaste connector.