Przeprowadzanie kompleksowego proaktywnego wyszukiwania zagrożeń w Microsoft Sentinel

Aktywne wyszukiwanie zagrożeń to proces, w którym analitycy zabezpieczeń szukają niewykrytych zagrożeń i złośliwych zachowań. Tworząc hipotezę, przeszukując dane i walidując tę hipotezę, określają, na czym należy działać. Akcje mogą obejmować tworzenie nowych wykryć, nową analizę zagrożeń lub tworzenie nowego incydentu.

Użyj kompleksowego środowiska wyszukiwania zagrożeń w Microsoft Sentinel, aby:

• Proaktywne wyszukiwanie na podstawie określonych technik MITRE, potencjalnie złośliwych działań, ostatnich zagrożeń lub własnej hipotezy niestandardowej.
• Użyj zapytań zagrożeń generowanych przez badacza zabezpieczeń lub niestandardowych zapytań dotyczących wyszukiwania zagrożeń w celu zbadania złośliwego zachowania.
• Przeprowadzaj polowania przy użyciu wielu kart utrwalonych zapytań, które umożliwiają zachowanie kontekstu w czasie.
• Zbieraj dowody, badaj źródła UEBA i adnotuj wyniki przy użyciu zakładek specyficznych dla polowania.
• Współpracuj i dokumentuj wyniki za pomocą komentarzy.
• Działaj zgodnie z wynikami, tworząc nowe reguły analityczne, nowe incydenty, nowe wskaźniki zagrożeń i uruchomione podręczniki.
• Śledź nowe, aktywne i zamknięte polowania w jednym miejscu.
• Wyświetlanie metryk na podstawie zweryfikowanych hipotez i namacalnych wyników.

Ważna

Po 31 marca 2027 r. Microsoft Sentinel nie będą już obsługiwane w Azure Portal i będą dostępne tylko w portalu Microsoft Defender. Wszyscy klienci korzystający z Microsoft Sentinel w Azure Portal zostaną przekierowane do portalu usługi Defender i będą używać Microsoft Sentinel tylko w portalu usługi Defender.

Jeśli nadal używasz Microsoft Sentinel w Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia płynnego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez Microsoft Defender.

Wymagania wstępne

Aby można było korzystać z funkcji wyszukiwania, musisz mieć przypisaną wbudowaną rolę Microsoft Sentinel lub niestandardową rolę rbac Azure. Poniżej przedstawiono opcje:

• Przypisz wbudowane przypisanie roli współautora Microsoft Sentinel.
  Aby dowiedzieć się więcej na temat ról w Microsoft Sentinel, zobacz Role i uprawnienia w Microsoft Sentinel.

• Przypisz niestandardową rolę rbac Azure z odpowiednimi uprawnieniami w obszarze Microsoft.SecurityInsights/hunts.

Aby uzyskać więcej informacji, zobacz Role i uprawnienia na platformie Microsoft Sentinel.

Definiowanie hipotezy

Definiowanie hipotezy jest procesem otwartym, elastycznym i może zawierać dowolny pomysł, który chcesz zweryfikować. Typowe hipotezy obejmują:

• Podejrzane zachowanie — zbadaj potencjalnie złośliwe działania widoczne w twoim środowisku, aby ustalić, czy doszło do ataku.
• Nowa kampania zagrożeń — poszukaj typów złośliwych działań opartych na nowo odnalezionych podmiotach zagrożeń, technikach lub lukach w zabezpieczeniach. Może to być coś, o czym słyszałeś w artykule z wiadomościami o zabezpieczeniach.
• Luki w wykrywaniu — zwiększ zasięg wykrywania przy użyciu mapy usługi MITRE ATT&CK, aby zidentyfikować luki.

Microsoft Sentinel zapewnia elastyczność w miarę wyzerowania w odpowiednim zestawie zapytań dotyczących wyszukiwania zagrożeń w celu zbadania hipotezy. Podczas tworzenia wyszukiwania zainicjuj je przy użyciu wstępnie wybranych zapytań wyszukiwania zagrożeń lub dodaj zapytania w miarę postępów. Poniżej przedstawiono zalecenia dotyczące wstępnie wybranych zapytań opartych na najbardziej typowych hipotezach.

Hipoteza — podejrzane zachowanie

1. W przypadku Microsoft Sentinel w Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Wyszukiwanie zagrożeń.
   W Microsoft Sentinel w portalu usługi Defender wybierz pozycję Microsoft Sentinel>Zarządzanie wyszukiwaniem>zagrożeń.

2. Wybierz kartę Zapytania . Aby zidentyfikować potencjalnie złośliwe zachowania, uruchom wszystkie zapytania.

3. Wybierz pozycję Uruchom wszystkie zapytania> , czekając na wykonanie zapytań. Ten proces może trochę potrwać.

4. Wybierz pozycję Dodaj filtr>Wyniki> usuń zaznaczenie pól wyboru "!", "N/A", "-" i "0" >Zastosuj

5. Posortuj te wyniki według kolumny Delta wyników , aby zobaczyć, co ostatnio się zmieniło. Wyniki te zawierają wstępne wskazówki dotyczące polowania.

Hipoteza — nowa kampania zagrożeń

Centrum zawartości oferuje kampanię zagrożeń i rozwiązania oparte na domenie do wyszukiwania konkretnych ataków. W poniższych krokach zainstalujesz jedno z tych typów rozwiązań.

1. Przejdź do Centrum zawartości.

2. Zainstaluj kampanię zagrożeń lub rozwiązanie oparte na domenie, takie jak log4J Vulnerability Detection lub Apache Tomcat.

   

3. Po zainstalowaniu rozwiązania w Microsoft Sentinel przejdź do obszaru Wyszukiwanie zagrożeń.

4. Wybierz kartę Zapytania .

5. Wyszukaj według nazwy rozwiązania lub przefiltruj według nazwy źródła rozwiązania.

6. Wybierz zapytanie i uruchom zapytanie.

Hipoteza — luki w wykrywaniu

Mapa mitre att&CK pomaga zidentyfikować określone luki w zasięgu wykrywania. Użyj wstępnie zdefiniowanych zapytań wyszukiwania zagrożeń dla określonych technik&CK MITRE ATT jako punktu wyjścia do opracowania nowej logiki wykrywania.

1. Przejdź do strony MITRE ATT&CK (wersja zapoznawcza ).

2. Usuń zaznaczenie elementów z menu rozwijanego Aktywne.

3. Wybierz pozycję Zapytania wyszukiwania zagrożeń w filtrze Symulowane , aby zobaczyć, które techniki mają skojarzone zapytania wyszukiwania zagrożeń.

   

4. Wybierz kartę z odpowiednią techniką.

5. Wybierz link Widok obok pozycji Zapytania wyszukiwania zagrożeń w dolnej części okienka szczegółów. Ten link prowadzi do przefiltrowanego widoku karty Zapytania na stronie Wyszukiwanie zagrożeń w oparciu o wybraną technikę.

   

6. Wybierz wszystkie zapytania dotyczące tej techniki.

Tworzenie wyszukiwania

Istnieją dwa podstawowe sposoby tworzenia polowania.

1. Jeśli rozpoczęto pracę z hipotezą, w której wybrano zapytania, wybierz menu > rozwijane Akcje wyszukiwaniaUtwórz nowe wyszukiwanie. Wszystkie wybrane zapytania zostaną sklonowane na potrzeby tego nowego wyszukiwania.

   

2. Jeśli nie podjęto jeszcze decyzji o zapytaniach, wybierz kartę >Polowania (wersja zapoznawcza)Nowe wyszukiwanie, aby utworzyć puste polowanie.

   

3. Wypełnij nazwę wyszukiwania i pola opcjonalne. Opis jest dobrym miejscem do zwerywilizowania hipotezy. Menu rozwijane Hipoteza to miejsce, w którym ustawiasz stan hipotezy roboczej.

4. Wybierz pozycję Utwórz , aby rozpocząć pracę.

   

Wyświetlanie szczegółów wyszukiwania

1. Wybierz kartę Polowania (wersja zapoznawcza), aby wyświetlić nowe wyszukiwanie.

2. Wybierz link wyszukiwania według nazwy, aby wyświetlić szczegóły i podjąć akcje.

   

3. Wyświetl okienko szczegółów z nazwą hunta, opisem, zawartością, godziną ostatniej aktualizacji i godziną utworzenia.

4. Zanotuj karty zapytań, zakładek i jednostek.

   

Karta Zapytania

Karta Zapytania zawiera zapytania wyszukiwania zagrożeń specyficzne dla tego wyszukiwania. Te zapytania są klonami oryginałów, niezależnie od wszystkich innych w obszarze roboczym. Zaktualizuj lub usuń je bez wpływu na ogólny zestaw zapytań lub zapytań wyszukiwania zagrożeń w innych polowaniach.

Dodawanie zapytania do wyszukiwania

1. Wybierz pozycję Akcje> zapytaniadodaj zapytania do wyszukiwania
2. Wybierz zapytania, które chcesz dodać.

Uruchamianie zapytań

1. Wybierz pozycję Uruchom wszystkie zapytania lub wybierz określone zapytania i wybierz pozycję Uruchom wybrane zapytania.
2. Wybierz pozycję Anuluj , aby anulować wykonywanie zapytania w dowolnym momencie.

Zarządzanie zapytaniami

1. Kliknij prawym przyciskiem myszy zapytanie i wybierz jedną z następujących opcji z menu kontekstowego:

   • Uruchom
   • Edytuj
   • Klon
   • Usuń
   • Tworzenie reguły analizy

   

   Te opcje zachowują się tak samo jak istniejąca tabela zapytań na stronie Wyszukiwanie zagrożeń , z wyjątkiem akcji stosowanych tylko w ramach tego wyszukiwania. Gdy zdecydujesz się utworzyć regułę analizy, nazwa, opis i zapytanie KQL są wstępnie wypełniane podczas tworzenia nowej reguły. Zostanie utworzony link umożliwiający wyświetlenie nowej reguły analizy znajdującej się w obszarze Powiązane reguły analizy.

   

Wyświetlanie wyników

Ta funkcja umożliwia wyświetlanie wyników zapytań wyszukiwania zagrożeń w środowisku wyszukiwania usługi Log Analytics. W tym miejscu przeanalizuj wyniki, uściślij zapytania i utwórz zakładki w celu rejestrowania informacji i dalszego badania wyników poszczególnych wierszy.

1. Wybierz przycisk Wyświetl wyniki .
2. Jeśli przestawisz się do innej części portalu Microsoft Sentinel, a następnie przejdź z powrotem do środowiska wyszukiwania dziennika LA ze strony wyszukiwania, wszystkie karty zapytań LA pozostaną.
3. Te karty zapytań LA zostaną utracone po zamknięciu karty przeglądarki. Jeśli chcesz utrwalić zapytania na dłuższą metę, musisz zapisać zapytanie, utworzyć nowe zapytanie wyszukiwania zagrożeń lub skopiować je do komentarza do późniejszego użycia w ramach wyszukiwania.

Dodawanie zakładki

Gdy znajdziesz interesujące wyniki lub ważne wiersze danych, dodaj te wyniki do wyszukiwania, tworząc zakładkę. Aby uzyskać więcej informacji, zobacz Używanie zakładek wyszukiwania zagrożeń do badania danych.

1. Wybierz żądany wiersz lub wiersze.

2. Nad tabelą wyników wybierz pozycję Dodaj zakładkę.

3. Nadaj zakładce nazwę.

4. Ustaw kolumnę czasu zdarzenia.

5. Mapowanie identyfikatorów jednostek.

6. Ustaw taktykę i techniki MITRE.

7. Dodaj tagi i dodaj notatki.

   Zakładki zachowują określone wyniki wierszy, zapytanie KQL i zakres czasu, które wygenerowały wynik.

8. Wybierz pozycję Utwórz , aby dodać zakładkę do wyszukiwania.

Wyświetlanie zakładek

1. Przejdź do karty zakładki wyszukiwania, aby wyświetlić zakładki.

   

2. Wybierz odpowiednią zakładkę i wykonaj następujące akcje:

   • Wybierz łącza jednostek, aby wyświetlić odpowiednią stronę jednostki UEBA.
   • Wyświetl nieprzetworzone wyniki, tagi i notatki.
   • Wybierz pozycję Wyświetl zapytanie źródłowe , aby wyświetlić zapytanie źródłowe w usłudze Log Analytics.
   • Wybierz pozycję Wyświetl dzienniki zakładek , aby wyświetlić zawartość zakładki w tabeli zakładek wyszukiwania zagrożeń w usłudze Log Analytics.
   • Wybierz przycisk Zbadaj , aby wyświetlić zakładkę i powiązane jednostki na grafie badania.
   • Wybierz przycisk Edytuj , aby zaktualizować tagi, taktykę i techniki MITRE oraz notatki.

Interakcja z jednostkami

1. Przejdź do karty Jednostki wyszukiwania, aby wyświetlać, wyszukiwać i filtrować jednostki zawarte w wyszukiwaniu. Ta lista jest generowana na podstawie listy jednostek w zakładkach. Karta Jednostki automatycznie rozpoznaje zduplikowane wpisy.

2. Wybierz nazwy jednostek, aby odwiedzić odpowiednią stronę jednostki UEBA.

3. Kliknij prawym przyciskiem myszy jednostkę, aby wykonać akcje odpowiednie dla typów jednostek, takie jak dodanie adresu IP do interfejsu TI lub uruchomienie podręcznika określonego typu jednostki.

   

Dodawanie komentarzy

Komentarze to doskonałe miejsce do współpracy ze współpracownikami, zachowywania notatek i ustaleń dokumentów.

1. Wybierz

2. Wpisz i sformatuj komentarz w polu edycji.

3. Dodaj wynik zapytania jako link dla współpracowników, aby szybko zrozumieć kontekst.

4. Wybierz przycisk Komentarz , aby zastosować komentarze.

   

Tworzenie zdarzeń

Istnieją dwie opcje tworzenia zdarzeń podczas wyszukiwania zagrożeń.

Opcja 1. Używanie zakładek.

1. Wybierz zakładkę lub zakładki.

2. Wybierz przycisk Akcje zdarzenia.

3. Wybierz pozycję Utwórz nowe zdarzenie lub Dodaj do istniejącego zdarzenia

   

   • Aby utworzyć nowe zdarzenie, wykonaj kroki z przewodnikiem. Karta Zakładki jest wstępnie wypełniona wybranymi zakładkami.
   • W obszarze Dodaj do istniejącego zdarzenia wybierz zdarzenie i wybierz przycisk Akceptuj .

Opcja 2. Użyj akcji polowania.

1. Wybierz menu >Akcje wyszukiwania akcjiUtwórz zdarzenie i postępuj zgodnie z instrukcjami.

   

2. W kroku Dodawanie zakładek użyj akcji Dodaj zakładkę , aby wybrać zakładki z wyszukiwania, aby dodać je do zdarzenia. Ograniczasz się do zakładek, które nie są przypisane do zdarzenia.

3. Po utworzeniu incydentu zostanie on połączony z listą Powiązanych zdarzeń dla tego polowania.

Stan aktualizacji

1. Po przechwyceniu wystarczającej ilości dowodów, aby zweryfikować lub unieważnić hipotezę, zaktualizuj stan hipotezy.

   

2. Po zakończeniu wszystkich akcji związanych z wyszukiwaniem, takich jak tworzenie reguł analizy, zdarzeń lub dodawanie wskaźników naruszenia zabezpieczeń (IOC) do usługi TI, zamknij wyszukiwanie.

   

Te aktualizacje stanu są widoczne na głównej stronie wyszukiwania zagrożeń i służą do śledzenia metryk.

Śledzenie metryk

Śledź namacalne wyniki działania wyszukiwania zagrożeń przy użyciu paska metryk na karcie Polowania . Metryki pokazują liczbę zweryfikowanych hipotez, utworzone nowe zdarzenia i nowe reguły analityczne. Użyj tych wyników, aby ustawić cele lub świętować kamienie milowe programu wyszukiwania zagrożeń.

Następne kroki

W tym artykule przedstawiono sposób prowadzenia badania zagrożeń za pomocą funkcji polowań w Microsoft Sentinel.

Więcej informacji można znaleźć w następujących artykułach:

• Wyszukiwanie zagrożeń za pomocą Microsoft Sentinel
• Omówienie możliwości Microsoft Sentinel w zakresie badania incydentów i zarządzania sprawami
• Nawigowanie i badanie zdarzeń