Udostępnij za pośrednictwem

Przeprowadzanie kompleksowego proaktywnego wyszukiwania zagrożeń w usłudze Microsoft Sentinel

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Proaktywne wyszukiwanie zagrożeń to proces, w którym analitycy zabezpieczeń szukają niewykrytych zagrożeń i złośliwych zachowań. Tworząc hipotezę, przeszukując dane i sprawdzając tę hipotezę, określają, na co należy podjąć działania. Akcje mogą obejmować tworzenie nowych wykryć, nową analizę zagrożeń lub tworzenie nowego zdarzenia.

Użyj kompleksowego środowiska wyszukiwania zagrożeń w usłudze Microsoft Sentinel, aby:

  • Proaktywne wyszukiwanie na podstawie określonych technik MITRE, potencjalnie złośliwych działań, ostatnich zagrożeń lub własnej hipotezy niestandardowej.
  • Użyj zapytań wyszukiwania zagrożeń generowanych przez badacza zabezpieczeń lub niestandardowych zapytań wyszukiwania zagrożeń, aby zbadać złośliwe zachowanie.
  • Przeprowadź polowania przy użyciu wielu kart utrwalonego zapytania, które umożliwiają zachowanie kontekstu w czasie.
  • Zbieranie dowodów, badanie źródeł UEBA i dodawanie adnotacji do wyników przy użyciu zakładek specyficznych dla wyszukiwania.
  • Współpracuj i dokumentuj wyniki za pomocą komentarzy.
  • Podejmij działania na podstawie wyników, tworząc nowe reguły analityczne, nowe zdarzenia, nowe wskaźniki zagrożeń i uruchamiając podręczniki.
  • Śledź nowe, aktywne i zamknięte polowania w jednym miejscu.
  • Wyświetlanie metryk na podstawie zweryfikowanych hipotez i rzeczywistych wyników.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.

Począwszy od lipca 2026 r., usługa Microsoft Sentinel będzie obsługiwana tylko w portalu usługi Defender, a wszyscy pozostali klienci korzystający z witryny Azure Portal będą automatycznie przekierowywani.

Zalecamy, aby wszyscy klienci korzystający z usługi Microsoft Sentinel na platformie Azure zaczęli planować przejście do portalu usługi Defender w celu uzyskania pełnego ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz Planning your move to Microsoft Defender portal for all Microsoft Sentinel customers (Planowanie przeniesienia do portalu usługi Microsoft Defender dla wszystkich klientów usługi Microsoft Sentinel).

Wymagania wstępne

Aby móc korzystać z funkcji polowania, musisz mieć przypisaną wbudowaną rolę usługi Microsoft Sentinel lub niestandardową rolę RBAC platformy Azure. Oto dostępne opcje:

Definiowanie hipotezy

Definiowanie hipotezy jest otwartym, elastycznym procesem i może obejmować dowolny pomysł, który chcesz zweryfikować. Typowe hipotezy obejmują:

  • Podejrzane zachowanie — zbadaj potencjalnie złośliwe działanie widoczne w twoim środowisku, aby ustalić, czy występuje atak.
  • Nowa kampania zagrożeń — wyszukaj typy złośliwych działań na podstawie nowo odnalezionych podmiotów zagrożeń, technik lub luk w zabezpieczeniach. Może to być coś, co słyszałeś w artykule z wiadomościami o zabezpieczeniach.
  • Luki wykrywania — zwiększ pokrycie wykrywania przy użyciu mapy MITRE ATT&CK, aby zidentyfikować luki.

Usługa Microsoft Sentinel zapewnia elastyczność, ponieważ zero w odpowiednim zestawie zapytań wyszukiwania zagrożeń w celu zbadania hipotezy. Podczas tworzenia wyszukiwania zainicjuj je przy użyciu wstępnie wybranych zapytań wyszukiwania lub dodaj zapytania podczas postępu. Poniżej przedstawiono zalecenia dotyczące wstępnie wybranych zapytań na podstawie najbardziej typowych hipotez.

Hipoteza — podejrzane zachowanie

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Wyszukiwanie zagrożeń.
    W portalu usługi Defender dla Microsoft Sentinel, wybierz Microsoft Sentinel, >, Wyszukiwanie.

  2. Wybierz kartę Zapytania . Aby zidentyfikować potencjalnie złośliwe zachowania, uruchom wszystkie zapytania.

  3. Wybierz pozycję Uruchom wszystkie zapytania poczekaj na wykonanie zapytań>. Ten proces może trochę potrwać.

  4. Wybierz Dodaj filtr>Wyniki> usuń zaznaczenie pól wyboru i wartości "!", "N/A", "-", i "0" >ZastosujZrzut ekranu przedstawia filtr opisany w kroku 3.

  5. Posortuj te wyniki według kolumny Delta wyników , aby zobaczyć, co zmieniło się ostatnio. Te wyniki zawierają wstępne wskazówki dotyczące polowania.

Hipoteza — nowa kampania zagrożeń

Centrum zawartości oferuje kampanię zagrożeń i rozwiązania oparte na domenie, które umożliwiają wyszukiwanie konkretnych ataków. W poniższych krokach zainstalujesz jeden z tych typów rozwiązań.

  1. Przejdź do centrum zawartości.

  2. Zainstaluj kampanię zagrożeń lub rozwiązanie oparte na domenie, takie jak wykrywanie luk w zabezpieczeniach Log4J lub Apache Tomcat.

    Zrzut ekranu przedstawiający centrum zawartości w widoku siatki z wybranymi rozwiązaniami Log4J i Apache.

  3. Po zainstalowaniu rozwiązania w usłudze Microsoft Sentinel przejdź do Hunting.

  4. Wybierz kartę Zapytania .

  5. Wyszukaj według nazwy rozwiązania lub filtruj według nazwy źródła rozwiązania.

  6. Wybierz zapytanie i uruchom zapytanie.

Hipoteza — luki w wykrywaniu

Mapa MITRE ATT&CK pomaga zidentyfikować określone luki w zasięgu wykrywania. Użyj wstępnie zdefiniowanych zapytań wyszukiwania zagrożeń dla określonych technik MITRE ATT&CK jako punktu wyjścia do opracowania nowej logiki wykrywania.

  1. Przejdź do strony MITRE ATT&CK (wersja zapowiedziowa).

  2. Usuń zaznaczenie elementów z menu rozwijanego Aktywne.

  3. Wybierz Zapytania łowieckie w filtrze Symulowane, aby zobaczyć, które techniki mają skojarzone zapytania łowieckie.

    Zrzut ekranu przedstawia stronę MITRE ATT&CK z wybraną opcją symulowanych zapytań dotyczących polowania na zagrożenia.

  4. Wybierz kartę z odpowiednią techniką.

  5. Wybierz link Widok obok Zapytania łowieckie w dolnej części okienka szczegółów. Ten link umożliwia przejście do filtrowanego widoku karty Zapytania na stronie Polowanie na podstawie wybranej techniki.

    Zrzut ekranu przedstawia widok kart MITRE ATT&CK z linkiem do widoku zapytań do wyszukiwania zagrożeń.

  6. Wybierz wszystkie zapytania dotyczące tej techniki.

Tworzenie polowania

Istnieją dwa podstawowe sposoby tworzenia polowania.

  1. Jeśli zaczniesz od hipotezy, w której wybrano zapytania, wybierz menu rozwijane >Utwórz nowe polowanie. Wszystkie wybrane zapytania są klonowane dla tego nowego polowania.

    Zrzut ekranu przedstawia wybrane zapytania i wybraną opcję tworzenia nowego menu wyszukiwania.

  2. Jeśli jeszcze nie zdecydowałeś się na zapytania, wybierz kartę Hunts (wersja zapoznawcza)>Nowe polowanie aby utworzyć puste polowanie.

    Zrzut ekranu przedstawia menu umożliwiające utworzenie pustego wyszukiwania bez wstępnie wybranych zapytań.

  3. Wypełnij pola nazwy polowania i opcjonalne. Opis jest dobrym miejscem do zwerbalizowania hipotezy. Menu rozwijane Hipoteza to miejsce, w którym ustawiasz stan hipotezy roboczej.

  4. Wybierz pozycję Utwórz , aby rozpocząć pracę.

    Zrzut ekranu przedstawiający stronę tworzenia polowania z nazwą polowania, opisem, właścicielem, stanem i stanem hipotezy.

Wyświetlanie szczegółów polowania

  1. Przejdź do karty Hunts (Wersja zapoznawcza) aby wyświetlić nowe polowanie.

  2. Wybierz link do polowania według nazwy, aby wyświetlić szczegóły i podjąć akcje.

    Zrzut ekranu przedstawiający nowe polowanie na karcie Polowanie.

  3. Wyświetl okienko szczegółów z nazwą polowania, opisem, zawartością, czasem ostatniej aktualizacji i czasem tworzenia.

  4. Zwróć uwagę na karty Zapytania, Zakładki i Jednostki.

    Zrzut ekranu przedstawiający szczegóły polowania.

Karta Zapytania

Zakładka Zapytania zawiera zapytania myśliwskie specyficzne dla tego wyszukiwania. Te zapytania są klonami oryginałów, niezależnie od wszystkich innych w obszarze roboczym. Aktualizuj lub usuwaj je bez wpływu na ogólny zestaw zapytań wyszukiwania zagrożeń lub zapytań w innych polowaniach.

Dodawanie zapytania do polowania

  1. Wybierz Akcje zapytań>dodaj zapytania do śledzenia
  2. Wybierz zapytania, które chcesz dodać. Zrzut ekranu przedstawiający menu akcji zapytania na stronie karty Zapytania.

Uruchamianie zapytań

  1. Wybierz pozycję Uruchom wszystkie zapytania lub wybierz określone zapytania, a następnie wybierz pozycję Uruchom wybrane zapytania.
  2. Wybierz pozycję Anuluj , aby anulować wykonywanie zapytań w dowolnym momencie.

Zarządzanie zapytaniami

  1. Kliknij prawym przyciskiem myszy zapytanie i wybierz jedną z następujących pozycji z menu kontekstowego:

    • Biegać
    • Redagować
    • Klon
    • Usunąć
    • Tworzenie reguły analizy

    Zrzut ekranu przedstawiający opcje menu kontekstowego po kliknięciu prawym przyciskiem myszy na karcie Zapytania.

    Te opcje zachowują się tak samo, jak istniejąca tabela zapytań na stronie Wyszukiwanie zagrożeń, z tym że działania mają zastosowanie wyłącznie w trakcie tego wyszukiwania. Jeśli zdecydujesz się utworzyć regułę analizy, nazwa, opis i zapytanie KQL są wstępnie wypełniane w ramach tworzenia nowej reguły. Zostanie utworzony link umożliwiający wyświetlenie nowej reguły analizy znalezionej w obszarze Powiązane reguły analizy.

    Zrzut ekranu przedstawiający szczegóły polowania z powiązaną regułą analizy.

Wyświetlanie wyników

Ta funkcja umożliwia wyświetlanie wyników zapytania wyszukiwania zagrożeń w środowisku wyszukiwania w usłudze Log Analytics. W tym miejscu przeanalizuj wyniki, uściślij zapytania i utwórz zakładki, aby rejestrować informacje i dokładniej badać wyniki poszczególnych wierszy.

  1. Wybierz przycisk Wyświetl wyniki .
  2. Jeśli przewrócisz się do innej części portalu usługi Microsoft Sentinel, przejdź z powrotem do środowiska wyszukiwania dzienników la ze strony wyszukiwania, wszystkie karty zapytań la pozostaną.
  3. Te karty zapytań LA zostaną utracone, jeśli zamkniesz kartę przeglądarki. Jeśli chcesz zachować długotrwałe zapytania, musisz zapisać zapytanie, utworzyć nowe zapytanie wyszukiwania zagrożeń lub skopiować je do komentarza do późniejszego użycia w wyszukiwaniu.

Dodawanie zakładki

Po znalezieniu interesujących wyników lub ważnych wierszy danych dodaj te wyniki do wyszukiwania, tworząc zakładkę. Aby uzyskać więcej informacji, zobacz Używanie zakładek wyszukiwania zagrożeń na potrzeby badań danych.

  1. Wybierz żądany wiersz lub wiersze.

  2. Nad tabelą wyników wybierz pozycję Dodaj zakładkę. Zrzut ekranu przedstawiający okienko dodawania zakładki z wypełnionymi opcjonalnymi polami.

  3. Nazwij zakładkę.

  4. Ustaw kolumnę czasu zdarzenia.

  5. Mapuj identyfikatory jednostek.

  6. Ustaw taktykę i techniki MITRE.

  7. Dodaj tagi i dodaj notatki.

    Zakładki zachowują określone wyniki wierszy, zapytanie KQL i zakres czasu, który wygenerował wynik.

  8. Wybierz pozycję Utwórz , aby dodać zakładkę do polowania.

Wyświetlanie zakładek

  1. Przejdź do karty zakładki polowania, aby wyświetlić zakładki.

    Zrzut ekranu przedstawiający zakładkę ze wszystkimi jej szczegółami i otwartym menu działań polowania.

  2. Wybierz żądaną zakładkę i wykonaj następujące czynności:

    • Wybierz łącza jednostek, aby wyświetlić odpowiednią stronę jednostki UEBA.
    • Wyświetlanie nieprzetworzonych wyników, tagów i notatek.
    • Wybierz pozycję Wyświetl zapytanie źródłowe , aby wyświetlić zapytanie źródłowe w usłudze Log Analytics.
    • Wybierz pozycję Wyświetl dzienniki zakładek , aby wyświetlić zawartość zakładek w tabeli zakładek wyszukiwania zagrożeń usługi Log Analytics.
    • Wybierz przycisk Zbadaj , aby wyświetlić zakładkę i powiązane jednostki na wykresie badania.
    • Wybierz przycisk Edytuj , aby zaktualizować tagi, taktykę i techniki MITRE oraz uwagi.

Interakcja z jednostkami

  1. Przejdź do karty Jednostki wyszukiwania, aby wyświetlić, wyszukać i filtrować jednostki zawarte w wyszukiwaniu. Ta lista jest generowana na podstawie listy jednostek w zakładkach. Karta Jednostki automatycznie rozpoznaje zduplikowane wpisy.

  2. Wybierz nazwy jednostek, aby odwiedzić odpowiednią stronę jednostki UEBA.

  3. Kliknij prawym przyciskiem myszy jednostkę, aby podjąć odpowiednie działania dla typów jednostek, takich jak dodanie adresu IP do ti lub uruchomienie elementu playbook specyficznego dla typu jednostki.

    Zrzut ekranu przedstawiający menu kontekstowe jednostek.

Dodawanie komentarzy

Komentarze to doskonałe miejsce do współpracy z innymi osobami, zachowywania notatek i znajdowania dokumentów.

  1. Wybierz pozycję

  2. Wpisz i sformatuj komentarz w polu edycji.

  3. Dodaj wynik zapytania jako link do współpracowników, aby szybko zrozumieć kontekst.

  4. Wybierz przycisk Komentarz, aby dodać komentarze.

    Zrzut ekranu przedstawiający pole edycji komentarza z zapytaniem LA jako linkem.

Tworzenie zdarzeń

Podczas wyszukiwania zagrożeń istnieją dwie opcje tworzenia incydentów.

Opcja 1. Użyj zakładek.

  1. Wybierz zakładkę lub zakładki.

  2. Wybierz przycisk Akcje zdarzenia.

  3. Wybierz pozycję Utwórz nowe zdarzenie lub Dodaj do istniejącego zdarzenia

    Zrzut ekranu przedstawiający menu akcji zdarzeń w oknie zakładek.

    • W przypadku utwórz nowe zdarzenie, postępuj zgodnie z instrukcjami. Karta zakładki jest wstępnie wypełniana wybranymi zakładkami.
    • W obszarze Dodaj do istniejącego incydentu wybierz zdarzenie i wybierz przycisk Akceptuj .

Opcja 2. Użyj akcji polowania.

  1. Wybierz z menu Akcje>Utwórz zdarzenie i wykonaj kroki z przewodnika.

    Zrzut ekranu przedstawiający menu akcji polowania w oknie zakładek.

  2. W kroku Dodawanie zakładek użyj akcji Dodaj zakładkę , aby wybrać zakładki z polowania, aby dodać je do zdarzenia. Ograniczasz się do zakładek, które nie są przypisane do zdarzenia.

  3. Po utworzeniu zdarzenia zostanie on połączony z listą Powiązane incydenty dla tego polowania.

Stan aktualizacji

  1. Po uchwyceniu wystarczającej ilości dowodów, aby zweryfikować lub unieważnić hipotezę, zaktualizuj stan hipotezy.

    Zrzut ekranu przedstawiający wybór menu stanu hipotezy.

  2. Po zakończeniu wszystkich akcji skojarzonych z polowaniem, takich jak tworzenie reguł analizy, incydentów lub dodawanie wskaźników naruszenia (IOC) do ti, zamknij polowanie.

    Zrzut ekranu przedstawiający wybór menu Stanu polowania.

Te aktualizacje stanu są widoczne na głównej stronie Hunting i są używane do śledzenia metryk.

Śledzenie metryk

Śledzenie namacalnych wyników polowań przy użyciu wskaźników na karcie Polowania. Metryki pokazują liczbę zweryfikowanych hipotez, nowe incydenty i utworzone reguły analityczne. Użyj tych wyników, aby ustawić cele lub świętować kamienie milowe programu wyszukiwania zagrożeń.

Zrzut ekranu pokazuje metryki łowiectwa.

Następne kroki

W tym artykule przedstawiono sposób uruchamiania badania polowania za pomocą funkcji polowania w usłudze Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz: