Przeprowadzanie kompleksowego proaktywnego wyszukiwania zagrożeń w usłudze Microsoft Sentinel

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Proaktywne wyszukiwanie zagrożeń to proces, w którym analitycy zabezpieczeń szukają niewykrytych zagrożeń i złośliwych zachowań. Tworząc hipotezę, przeszukując dane i sprawdzając tę hipotezę, określają, na co należy podjąć działania. Akcje mogą obejmować tworzenie nowych wykryć, nową analizę zagrożeń lub tworzenie nowego zdarzenia.

Użyj kompleksowego środowiska wyszukiwania zagrożeń w usłudze Microsoft Sentinel, aby:

  • Proaktywne wyszukiwanie na podstawie określonych technik MITRE, potencjalnie złośliwych działań, ostatnich zagrożeń lub własnej hipotezy niestandardowej.
  • Użyj zapytań wyszukiwania zagrożeń generowanych przez badacza zabezpieczeń lub niestandardowych zapytań wyszukiwania zagrożeń, aby zbadać złośliwe zachowanie.
  • Przeprowadź polowania przy użyciu wielu kart utrwalonego zapytania, które umożliwiają zachowanie kontekstu w czasie.
  • Zbieranie dowodów, badanie źródeł UEBA i dodawanie adnotacji do wyników przy użyciu zakładek specyficznych dla wyszukiwania.
  • Współpracuj i dokumentuj wyniki za pomocą komentarzy.
  • Podejmij działania na podstawie wyników, tworząc nowe reguły analityczne, nowe zdarzenia, nowe wskaźniki zagrożeń i uruchamiając podręczniki.
  • Śledź nowe, aktywne i zamknięte polowania w jednym miejscu.
  • Wyświetlanie metryk na podstawie zweryfikowanych hipotez i rzeczywistych wyników.

Ważne

Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wymagania wstępne

Aby móc korzystać z funkcji polowania, musisz mieć przypisaną wbudowaną rolę usługi Microsoft Sentinel lub niestandardową rolę RBAC platformy Azure. Oto dostępne opcje:

Definiowanie hipotezy

Definiowanie hipotezy jest otwartym, elastycznym procesem i może obejmować dowolny pomysł, który chcesz zweryfikować. Typowe hipotezy obejmują:

  • Podejrzane zachowanie — zbadaj potencjalnie złośliwe działanie widoczne w twoim środowisku, aby ustalić, czy występuje atak.
  • Nowa kampania zagrożeń — wyszukaj typy złośliwych działań na podstawie nowo odnalezionych podmiotów zagrożeń, technik lub luk w zabezpieczeniach. Może to być coś, co słyszałeś w artykule z wiadomościami o zabezpieczeniach.
  • Luki wykrywania — zwiększ pokrycie wykrywania przy użyciu mapy MITRE ATT&CK, aby zidentyfikować luki.

Usługa Microsoft Sentinel zapewnia elastyczność, ponieważ zero w odpowiednim zestawie zapytań wyszukiwania zagrożeń w celu zbadania hipotezy. Podczas tworzenia wyszukiwania zainicjuj je przy użyciu wstępnie wybranych zapytań wyszukiwania lub dodaj zapytania podczas postępu. Poniżej przedstawiono zalecenia dotyczące wstępnie wybranych zapytań na podstawie najbardziej typowych hipotez.

Hipoteza — podejrzane zachowanie

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Wyszukiwanie zagrożeń.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Wyszukiwanie zagrożeń> w usłudze Microsoft Sentinel.>

  2. Wybierz kartę Zapytania . Aby zidentyfikować potencjalnie złośliwe zachowania, uruchom wszystkie zapytania.

  3. Wybierz pozycję Uruchom wszystkie zapytania poczekaj na wykonanie zapytań> . Ten proces może trochę potrwać.

  4. Wybierz pozycję Dodaj wyniki> filtru>usuń zaznaczenie pól wyboru "!", "N/A", "-" i "0" wartości Zastosuj >Zrzut ekranu przedstawia filtr opisany w kroku 3.

  5. Posortuj te wyniki według kolumny Delta wyników, aby zobaczyć, co zmieniło się ostatnio. Te wyniki zawierają wstępne wskazówki dotyczące polowania.

Hipoteza — nowa kampania zagrożeń

Centrum zawartości oferuje kampanię zagrożeń i rozwiązania oparte na domenie, które umożliwiają wyszukiwanie konkretnych ataków. W poniższych krokach zainstalujesz jeden z tych typów rozwiązań.

  1. Przejdź do centrum zawartości.

  2. Zainstaluj kampanię zagrożeń lub rozwiązanie oparte na domenie, takie jak wykrywanie luk w zabezpieczeniach Log4J lub Apache Tomcat.

    Zrzut ekranu przedstawiający centrum zawartości w widoku siatki z wybranymi rozwiązaniami Log4J i Apache.

  3. Po zainstalowaniu rozwiązania w usłudze Microsoft Sentinel przejdź do pozycji Wyszukiwanie zagrożeń.

  4. Wybierz kartę Zapytania .

  5. Wyszukaj według nazwy rozwiązania lub filtruj według nazwy źródła rozwiązania.

  6. Wybierz zapytanie i uruchom zapytanie.

Hipoteza — luki w wykrywaniu

Mapa MITRE ATT&CK pomaga zidentyfikować określone luki w zasięgu wykrywania. Użyj wstępnie zdefiniowanych zapytań wyszukiwania zagrożeń dla określonych technik MITRE ATT&CK jako punktu wyjścia do opracowania nowej logiki wykrywania.

  1. Przejdź do strony MITRE ATT&CK (wersja zapoznawcza).

  2. Usuń zaznaczenie elementów z menu rozwijanego Aktywne.

  3. Wybierz pozycję Zapytania wyszukiwania zagrożeń w filtrze Symulowane , aby zobaczyć, które techniki mają skojarzone zapytania wyszukiwania zagrożeń.

    Zrzut ekranu przedstawia stronę MITRE ATT&CK z wybraną opcją symulowanych zapytań wyszukiwania zagrożeń.

  4. Wybierz kartę z odpowiednią techniką.

  5. Wybierz link Widok obok pozycji Zapytania wyszukiwania zagrożeń w dolnej części okienka szczegółów. Ten link umożliwia przejście do filtrowanego widoku karty Zapytania na stronie Wyszukiwanie zagrożeń na podstawie wybranej techniki.

    Zrzut ekranu przedstawiający widok karty MITRE ATT&CK z linkiem widoku Zapytania wyszukiwania zagrożeń.

  6. Wybierz wszystkie zapytania dotyczące tej techniki.

Tworzenie polowania

Istnieją dwa podstawowe sposoby tworzenia polowania.

  1. Jeśli zaczniesz od hipotezy, w której wybrano zapytania, wybierz menu >rozwijane Akcje wyszukiwania Utwórz nowe polowanie. Wszystkie wybrane zapytania są klonowane dla tego nowego polowania.

    Zrzut ekranu przedstawia wybrane zapytania i wybraną opcję tworzenia nowego menu wyszukiwania.

  2. Jeśli jeszcze nie podjęto decyzji o zapytaniach, wybierz kartę > Hunts (wersja zapoznawcza), aby utworzyć puste wyszukiwanie.

    Zrzut ekranu przedstawia menu umożliwiające utworzenie pustego wyszukiwania bez wstępnie wybranych zapytań.

  3. Wypełnij pola nazwy polowania i opcjonalne. Opis jest dobrym miejscem do zwerbalizowania hipotezy. Menu rozwijane Hipoteza to miejsce, w którym ustawiasz stan hipotezy roboczej.

  4. Wybierz pozycję Utwórz , aby rozpocząć pracę.

    Zrzut ekranu przedstawiający stronę tworzenia polowania z nazwą polowania, opisem, właścicielem, stanem i stanem hipotezy.

Wyświetlanie szczegółów polowania

  1. Wybierz kartę Hunts (Wersja zapoznawcza), aby wyświetlić nowe polowanie.

  2. Wybierz link do polowania według nazwy, aby wyświetlić szczegóły i podjąć akcje.

    Zrzut ekranu przedstawiający nowe wyszukiwanie na karcie Wyszukiwanie zagrożeń.

  3. Wyświetl okienko szczegółów z nazwą polowania, opisem, zawartością, czasem ostatniej aktualizacji i czasem tworzenia.

  4. Zwróć uwagę na karty Zapytania, Zakładki i Jednostki.

    Zrzut ekranu przedstawiający szczegóły polowania.

Karta Zapytania

Karta Zapytania zawiera zapytania wyszukiwania specyficzne dla tego wyszukiwania. Te zapytania są klonami oryginałów, niezależnie od wszystkich innych w obszarze roboczym. Aktualizuj lub usuwaj je bez wpływu na ogólny zestaw zapytań wyszukiwania zagrożeń lub zapytań w innych polowaniach.

Dodawanie zapytania do polowania

  1. Wybieranie pozycji Akcje>zapytania dodaj zapytania do wyszukiwania
  2. Wybierz zapytania, które chcesz dodać. Zrzut ekranu przedstawiający menu akcji zapytania na stronie karty Zapytania.

Uruchamianie zapytań

  1. Wybierz pozycję Uruchom wszystkie zapytania lub wybierz określone zapytania, a następnie wybierz pozycję Uruchom wybrane zapytania.
  2. Wybierz pozycję Anuluj , aby anulować wykonywanie zapytań w dowolnym momencie.

Zarządzanie zapytaniami

  1. Kliknij prawym przyciskiem myszy zapytanie i wybierz jedną z następujących pozycji z menu kontekstowego:

    • Run
    • Edytuj
    • Klonowanie
    • Usuń
    • Tworzenie reguły analizy

    Zrzut ekranu przedstawiający opcje menu kontekstowego kliknij prawym przyciskiem myszy na karcie Zapytania wyszukiwania.

    Te opcje zachowują się podobnie jak w przypadku istniejącej tabeli zapytań na stronie Wyszukiwanie zagrożeń , z wyjątkiem akcji, które mają zastosowanie tylko w ramach tego wyszukiwania. Jeśli zdecydujesz się utworzyć regułę analizy, nazwa, opis i zapytanie KQL są wstępnie wypełniane w ramach tworzenia nowej reguły. Zostanie utworzony link umożliwiający wyświetlenie nowej reguły analizy znalezionej w obszarze Powiązane reguły analizy.

    Zrzut ekranu przedstawiający szczegóły polowania z powiązaną regułą analizy.

Wyświetlanie wyników

Ta funkcja umożliwia wyświetlanie wyników zapytania wyszukiwania zagrożeń w środowisku wyszukiwania w usłudze Log Analytics. W tym miejscu przeanalizuj wyniki, uściślij zapytania i utwórz zakładki, aby rejestrować informacje i dokładniej badać wyniki poszczególnych wierszy .

  1. Wybierz przycisk Wyświetl wyniki.
  2. Jeśli przewrócisz się do innej części portalu usługi Microsoft Sentinel, przejdź z powrotem do środowiska wyszukiwania dzienników la ze strony wyszukiwania, wszystkie karty zapytań la pozostaną.
  3. Te karty zapytań LA zostaną utracone, jeśli zamkniesz kartę przeglądarki. Jeśli chcesz zachować długotrwałe zapytania, musisz zapisać zapytanie, utworzyć nowe zapytanie wyszukiwania zagrożeń lub skopiować je do komentarza do późniejszego użycia w wyszukiwaniu.

Dodawanie zakładki

Po znalezieniu interesujących wyników lub ważnych wierszy danych dodaj te wyniki do wyszukiwania, tworząc zakładkę. Aby uzyskać więcej informacji, zobacz Use hunting bookmarks for data investigations (Używanie zakładek wyszukiwania zagrożeń na potrzeby badań danych).

  1. Wybierz żądany wiersz lub wiersze.

  2. Nad tabelą wyników wybierz pozycję Dodaj zakładkę. Zrzut ekranu przedstawiający okienko dodawania zakładki z wypełnionymi opcjonalnymi polami.

  3. Nazwij zakładkę.

  4. Ustaw kolumnę czasu zdarzenia.

  5. Mapuj identyfikatory jednostek.

  6. Ustaw taktykę i techniki MITRE.

  7. Dodaj tagi i dodaj notatki.

    Zakładki zachowują określone wyniki wierszy, zapytanie KQL i zakres czasu, który wygenerował wynik.

  8. Wybierz pozycję Utwórz , aby dodać zakładkę do polowania.

Wyświetlanie zakładek

  1. Przejdź do karty zakładki polowania, aby wyświetlić zakładki.

    Zrzut ekranu przedstawiający zakładkę ze wszystkimi jego szczegółami i otwartym menu akcji polowania.

  2. Wybierz żądaną zakładkę i wykonaj następujące czynności:

    • Wybierz łącza jednostek, aby wyświetlić odpowiednią stronę jednostki UEBA.
    • Wyświetlanie nieprzetworzonych wyników, tagów i notatek.
    • Wybierz pozycję Wyświetl zapytanie źródłowe, aby wyświetlić zapytanie źródłowe w usłudze Log Analytics.
    • Wybierz pozycję Wyświetl dzienniki zakładek , aby wyświetlić zawartość zakładek w tabeli zakładek wyszukiwania zagrożeń usługi Log Analytics.
    • Wybierz przycisk Zbadaj , aby wyświetlić zakładkę i powiązane jednostki na wykresie badania.
    • Wybierz przycisk Edytuj, aby zaktualizować tagi, taktykę i techniki MITRE oraz uwagi.

Interakcja z jednostkami

  1. Przejdź do karty Jednostki wyszukiwania, aby wyświetlić, wyszukać i filtrować jednostki zawarte w wyszukiwaniu. Ta lista jest generowana na podstawie listy jednostek w zakładkach. Karta Jednostki automatycznie rozpoznaje zduplikowane wpisy.

  2. Wybierz nazwy jednostek, aby odwiedzić odpowiednią stronę jednostki UEBA.

  3. Kliknij prawym przyciskiem myszy jednostkę, aby podjąć odpowiednie działania dla typów jednostek, takich jak dodanie adresu IP do ti lub uruchomienie elementu playbook specyficznego dla typu jednostki.

    Zrzut ekranu przedstawiający menu kontekstowe jednostek.

Dodawanie komentarzy

Komentarze to doskonałe miejsce do współpracy z innymi osobami, zachowywania notatek i znajdowania dokumentów.

  1. Wybierz pozycję

  2. Wpisz i sformatuj komentarz w polu edycji.

  3. Dodaj wynik zapytania jako link do współpracowników, aby szybko zrozumieć kontekst.

  4. Wybierz przycisk Komentarz, aby zastosować komentarze.

    Zrzut ekranu przedstawiający pole edycji komentarza z zapytaniem LA jako linkem.

Tworzenie zdarzeń

Podczas wyszukiwania zagrożeń istnieją dwie opcje tworzenia incydentów.

Opcja 1. Użyj zakładek.

  1. Wybierz zakładkę lub zakładki.

  2. Wybierz przycisk Akcje zdarzenia.

  3. Wybierz pozycję Utwórz nowe zdarzenie lub Dodaj do istniejącego zdarzenia

    Zrzut ekranu przedstawiający menu akcji zdarzeń w oknie zakładek.

    • W przypadku tworzenia nowego zdarzenia wykonaj kroki z przewodnikiem. Karta zakładki jest wstępnie wypełniana wybranymi zakładkami.
    • W obszarze Dodaj do istniejącego incydentu wybierz zdarzenie i wybierz przycisk Akceptuj .

Opcja 2. Użyj akcji polowania.

  1. Wybierz menu >Akcje akcji Utwórz zdarzenie i wykonaj kroki z przewodnikiem.

    Zrzut ekranu przedstawiający menu akcji polowania w oknie zakładek.

  2. W kroku Dodawanie zakładek użyj akcji Dodaj zakładkę, aby wybrać zakładki z polowania, aby dodać je do zdarzenia. Ograniczasz się do zakładek, które nie są przypisane do zdarzenia.

  3. Po utworzeniu zdarzenia zostanie on połączony z listą Powiązane incydenty dla tego polowania.

Stan aktualizacji

  1. Po uchwyceniu wystarczającej ilości dowodów, aby zweryfikować lub unieważnić hipotezę, zaktualizuj stan hipotezy.

    Zrzut ekranu przedstawiający wybór menu stanu hipotezy.

  2. Po zakończeniu wszystkich akcji skojarzonych z polowaniem, takich jak tworzenie reguł analizy, incydentów lub dodawanie wskaźników naruszenia (IOC) do ti, zamknij polowanie.

    Zrzut ekranu przedstawiający wybór menu Stanu polowania.

Te aktualizacje stanu są widoczne na głównej stronie wyszukiwania zagrożeń i są używane do śledzenia metryk.

Śledzenie metryk

Śledzenie namacalnych wyników działania wyszukiwania zagrożeń przy użyciu paska metryk na karcie Polowania . Metryki pokazują liczbę zweryfikowanych hipotez, utworzone nowe zdarzenia i utworzone nowe reguły analityczne. Użyj tych wyników, aby ustawić cele lub świętować kamienie milowe programu wyszukiwania zagrożeń.

Zrzut ekranu przedstawiający metryki wyszukiwania zagrożeń.

Następne kroki

W tym artykule przedstawiono sposób uruchamiania badania polowania za pomocą funkcji polowania w usłudze Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz: