Acompanhe os dados durante a caça com o Microsoft Sentinel

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A caça a ameaças normalmente requer a revisão de montanhas de dados de log em busca de evidências de comportamento mal-intencionado. Durante esse processo, os investigadores encontram eventos que desejam lembrar, revisitar e analisar como parte da validação de possíveis hipóteses e da compreensão da história completa de um compromisso.

A busca de favoritos no Microsoft Sentinel ajuda você preservando as consultas executadas no Microsoft Sentinel - Logs, juntamente com os resultados da consulta que você considera relevantes. Também pode registar as suas observações contextuais e referir as suas descobertas ao adicionar notas e etiquetas. Os dados com marcadores são visíveis para si e para os seus colegas de equipa para uma colaboração fácil.

Agora você pode identificar e resolver lacunas na cobertura da técnica MITRE ATT&CK, em todas as consultas de caça, mapeando suas consultas de caça personalizadas para as técnicas MITRE ATT&CK.

Investigue mais tipos de entidades enquanto procura com marcadores, mapeando o conjunto completo de tipos de entidades e identificadores suportados pelo Microsoft Sentinel Analytics em suas consultas personalizadas. Use marcadores para explorar as entidades retornadas na busca de resultados de consulta usando páginas de entidade, incidentes e o gráfico de investigação. Se um marcador capturar resultados de uma consulta de caça, ele herdará automaticamente a técnica MITRE ATT&CK e os mapeamentos de entidade da consulta.

Se você encontrar algo que precisa urgentemente ser resolvido durante a caça em seus registros, você pode facilmente criar um marcador e promovê-lo para um incidente ou adicioná-lo a um incidente existente. Para obter mais informações sobre incidentes, consulte Investigar incidentes com o Microsoft Sentinel.

Se você encontrou algo que vale a pena marcar, mas que não é imediatamente urgente, você pode criar um marcador e, em seguida, revisitar seus dados favoritos a qualquer momento na guia Favoritos do painel Caça . Pode utilizar filtros e opções de pesquisa para encontrar rapidamente dados específicos para a sua investigação atual.

Você pode visualizar seus dados favoritos selecionando Investigar nos detalhes do marcador. Isso inicia a experiência de investigação na qual você pode visualizar, investigar e comunicar visualmente suas descobertas usando um diagrama de gráfico de entidade interativo e uma linha do tempo.

Como alternativa, você pode visualizar seus dados marcados diretamente na tabela HuntingBookmark no espaço de trabalho do Log Analytics. Por exemplo:

Captura de ecrã da tabela de marcadores de caça.

A visualização de marcadores da tabela permite filtrar, resumir e unir dados marcados com outras fontes de dados, facilitando a busca por evidências de corroboração.

Nota

Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Importante

O Microsoft Sentinel está disponível como parte da visualização pública da plataforma unificada de operações de segurança no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Adicionar um marcador

Crie um marcador para preservar as consultas, os resultados, as observações e as descobertas.

  1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Caça.
    Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Threat management>Hunting.

  2. Selecione uma das consultas de caça.

  3. Nos detalhes da consulta de caça, selecione Executar consulta.

  4. Selecione Exibir resultados da consulta. Por exemplo:

    Captura de ecrã a mostrar os resultados da consulta da caça ao Microsoft Sentinel.

    Esta ação abre os resultados da consulta no painel Logs .

  5. Na lista de resultados da consulta de log, use as caixas de seleção para selecionar uma ou mais linhas que contenham as informações que você achar interessantes.

  6. Selecione Adicionar marcador:

    Captura de ecrã a mostrar a adição de marcadores de caça à consulta.

  7. À direita, no painel Adicionar marcador , opcionalmente, atualize o nome do marcador, adicione tags e anotações para ajudá-lo a identificar o que era interessante sobre o item.

  8. Os marcadores podem ser opcionalmente mapeados para técnicas ou subtécnicas MITRE ATT&CK. Os mapeamentos MITRE ATT&CK são herdados de valores mapeados em consultas de caça, mas você também pode criá-los manualmente. Selecione a tática MITRE ATT&CK associada à técnica desejada no menu suspenso na seção Táticas & Técnicas do painel Adicionar marcador . O menu se expande para mostrar todas as técnicas MITRE ATT&CK, e você pode selecionar várias técnicas e subtécnicas neste menu.

    Captura de tela de como mapear táticas e técnicas de ataque Mitre para favoritos.

  9. Agora, um conjunto expandido de entidades pode ser extraído dos resultados da consulta marcada para investigação adicional. Na seção Mapeamento de entidade, use as listas suspensas para selecionar tipos de entidade e identificadores. Em seguida, mapeie a coluna nos resultados da consulta que contém o identificador correspondente. Por exemplo:

    Captura de tela para mapear tipos de entidade para caçar favoritos.

    Para visualizar o marcador no gráfico de investigação, você deve mapear pelo menos uma entidade. Há suporte para mapeamentos de entidade para tipos de entidade de conta, host, IP e URL que você criou, preservando a compatibilidade com versões anteriores.

  10. Selecione Salvar para confirmar suas alterações e adicionar o marcador. Todos os dados marcados são compartilhados com outros analistas e são um primeiro passo para uma experiência de investigação colaborativa.

Os resultados da consulta de log suportam marcadores sempre que este painel é aberto a partir do Microsoft Sentinel. Por exemplo, selecione Logs gerais>na barra de navegação, selecione links de eventos no gráfico de investigações ou selecione uma ID de alerta a partir dos detalhes completos de um incidente. Não é possível criar marcadores quando o painel Logs é aberto de outros locais, como diretamente do Azure Monitor.

Ver e atualizar marcadores

Encontre e atualize um marcador a partir do separador de marcadores.

  1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Caça.
    Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Threat management>Hunting.

  2. Selecione a guia Favoritos para exibir a lista de favoritos.

  3. Pesquise ou filtre para encontrar um marcador ou marcadores específicos.

  4. Selecione marcadores individuais para visualizar os detalhes do marcador no painel direito.

  5. Faça as alterações necessárias. As alterações são guardadas automaticamente.

Explorando marcadores no gráfico de investigação

Visualize seus dados marcados iniciando a experiência de investigação na qual você pode visualizar, investigar e comunicar visualmente suas descobertas usando um diagrama interativo de gráfico de entidade e linha do tempo.

  1. Na guia Favoritos, selecione o marcador ou favoritos que deseja investigar.

  2. Nos detalhes do marcador, certifique-se de que pelo menos uma entidade esteja mapeada.

  3. Selecione Investigar para visualizar o marcador no gráfico de investigação.

Para obter instruções sobre como usar o gráfico de investigação, consulte Usar o gráfico de investigação para aprofundar o estudo.

Adicionar marcadores a um incidente novo ou existente

Adicione marcadores a um incidente a partir do separador Marcadores na página Caça.

  1. Na guia Favoritos, selecione o marcador ou favoritos que você deseja adicionar a um incidente.

  2. Selecione Ações de incidente na barra de comandos:

    Captura de ecrã a mostrar a adição de marcadores a incidentes.

  3. Selecione Criar novo incidente ou Adicionar a incidente existente, conforme apropriado. Em seguida:

    • Para um novo incidente: Opcionalmente, atualize os detalhes do incidente e selecione Criar.
    • Para adicionar um marcador a um incidente existente: selecione um incidente e, em seguida, selecione Adicionar.

Como alternativa à opção Ações de incidente na barra de comandos, você pode usar o menu de contexto (...) para um ou mais favoritos para selecionar opções para Criar novo incidente, Adicionar a incidente existente e Remover de incidente.

Para visualizar o marcador dentro do incidente: Navegue até Incidentes de gerenciamento de ameaças>do Microsoft Sentinel>e selecione o incidente com seu marcador. Selecione Ver detalhes completos e, em seguida, selecione o separador Marcadores .

Ver dados marcados em registos

Veja consultas marcadas, resultados ou seu histórico.

  1. Selecione o marcador na guia Favoritos de>caça.

  2. Selecione os links fornecidos no painel de detalhes:

    • Exiba a consulta de origem para exibir a consulta de origem no painel Logs .

    • Exiba os logs de favoritos para ver todos os metadados de favoritos, que incluem quem fez a atualização, os valores atualizados e a hora em que a atualização ocorreu.

  3. Exiba os dados brutos de favoritos de todos os favoritos selecionando Logs de favoritos na barra de comandos na guia Favoritos de>caça:

    Captura de ecrã do comando de registos de marcadores.

Esta vista mostra todos os seus marcadores com metadados associados. Você pode usar consultas Kusto Query Language (KQL) para filtrar até a versão mais recente do marcador específico que você está procurando.

Pode haver um atraso significativo (medido em minutos) entre o momento em que você cria um marcador e quando ele é exibido na guia Favoritos .

Eliminar um marcador

A eliminação do marcador remove o marcador da lista no separador Marcador . A tabela HuntingBookmark para seu espaço de trabalho do Log Analytics continua a conter entradas de favoritos anteriores, mas a entrada mais recente altera o valor SoftDelete para true, facilitando a filtragem de favoritos antigos. A exclusão de um marcador não remove nenhuma entidade da experiência de investigação associada a outros marcadores ou alertas.

Para excluir um marcador, conclua as etapas a seguir.

  1. Na guia Favoritos de >caça, selecione o marcador ou favoritos que deseja excluir.

  2. Clique com o botão direito do mouse e selecione a opção para excluir os favoritos selecionados.

Conteúdos relacionados

Neste artigo, você aprendeu como executar uma investigação de caça usando marcadores no Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos: