Поделиться через

Проведение комплексной упреждающей охоты на угрозы в Microsoft Sentinel

  • Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Упреждающая охота на угрозы — это процесс, в котором аналитики безопасности ищут незамеченные угрозы и вредоносные действия. Создавая гипотезу, просматривая данные и проверяя данную гипотезу, они определяют, на что действовать. Действия могут включать создание новых обнаружений, новую аналитику угроз или создание нового инцидента.

Используйте полный интерфейс охоты в Microsoft Sentinel, чтобы:

  • Упреждающий поиск на основе конкретных методов MITRE: потенциально вредоносной активности, недавних угроз или собственной пользовательской гипотезы.
  • Используйте запросы на охоту, созданные исследователем безопасности, или пользовательские запросы охоты, чтобы исследовать вредоносное поведение.
  • Проводите ваши активности с помощью нескольких вкладок с сохранёнными запросами, которые позволяют поддерживать контекст на протяжении времени.
  • Соберите доказательства, изучите источники UEBA и аннотируйте свои выводы с помощью специальных закладок для поиска.
  • Совместная работа и документирование результатов с комментариями.
  • Действовать на основе результатов путем создания новых аналитических правил, новых инцидентов, новых индикаторов угроз и выполнения сборников схем.
  • Следите за новыми, активными и закрытыми охотами в одном месте.
  • Просмотр метрик на основе проверенных гипотез и реальных результатов.

Внимание

После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.

Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.

Предварительные условия

Чтобы использовать возможность охоты, вам необходимо, чтобы вам была назначена либо встроенная роль Microsoft Sentinel, либо пользовательская роль RBAC Azure. Вот ваши варианты.

Дополнительные сведения см. в статье "Роли и разрешения" на платформе Microsoft Sentinel.

Определение гипотезы

Определение гипотезы является открытым, гибким процессом и может включать любую идею, которую вы хотите проверить. Распространенные гипотезы включают:

  • Подозрительное поведение. Анализ потенциально вредоносных действий, видимых в вашей среде, чтобы определить, происходит ли атака.
  • Новая кампания по угрозе. Найдите типы вредоносных действий на основе недавно обнаруженных субъектов угроз, методов или уязвимостей. Это то, о чём вы могли слышать в статье новостей о безопасности.
  • Пробелы в обнаружении. Увеличьте охват обнаружения с помощью карты MITRE ATT&CK для выявления пробелов.

Microsoft Sentinel обеспечивает гибкость по мере того, как вы сосредотачиваетесь на правильном наборе поисковых запросов для изучения вашей гипотезы. При создании охоты инициируйте её с предварительно выбранными запросами поиска или добавляйте запросы по мере осуществления. Ниже приведены рекомендации по предварительно выбранным запросам на основе наиболее распространенных гипотез.

Гипотеза — подозрительное поведение

  1. Для Microsoft Sentinel на портале Azure в разделе "Управление угрозами" выберите "Охота".
    Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Threat Management>Hunting.

  2. Перейдите на вкладку "Запросы ". Чтобы определить потенциально вредоносное поведение, выполните все запросы.

  3. Выберите «Выполнить все запросы»> и дождитесь выполнения запросов. Этот процесс может занять некоторое время.

  4. Выберите Добавить фильтр>Результаты> снимите отметки с флажков "!", "N/A", "-", и "0" >ПрименитьСнимок экрана, на котором показан фильтр, описанный в шаге 3.

  5. Сортируйте эти результаты по столбцу Results Delta , чтобы узнать, что изменилось в последнее время. Эти результаты предоставляют первоначальные рекомендации по охоте.

Гипотеза — новая кампания угроз

Контент-хаб предлагает решения для кампаний угроз и на основе доменного анализа для поиска и выявления конкретных атак. На следующих шагах необходимо установить один из этих типов решений.

  1. Перейдите в Центр содержимого.

  2. Установите кампанию угроз или решение на основе домена, например обнаружение уязвимостей Log4J или Apache Tomcat.

    Скриншот показывает центр содержимого в виде сетки с выбранными решениями Log4J и Apache.

  3. После установки решения в Microsoft Sentinel перейдите в службу "Охота".

  4. Перейдите на вкладку "Запросы ".

  5. Выполните поиск по имени решения или фильтрации по имени источника решения.

  6. Выберите запрос и выполните запрос.

Гипотеза — пробелы в обнаружении

Карта MITRE ATT&CK помогает определить определенные пробелы в охвате обнаружения. Используйте предопределенные запросы охоты для конкретных методов MITRE ATT&CK в качестве отправной точки для разработки новой логики обнаружения.

  1. Перейдите на страницу MITRE ATT&CK (предварительная версия).

  2. Снять выбор элементов в раскрывающемся меню "Активное".

  3. Выберите запросы поиска в фильтре "Имитация", чтобы увидеть, какие техники связаны с запросами поиска.

    Снимок экрана показывает страницу MITRE ATT&CK с выбранным параметром для моделируемых запросов охоты.

  4. Выберите карточку с нужным методом.

  5. Выберите ссылку "Просмотр" рядом с "Поисковые запросы" в нижней части панели сведений. Эта ссылка открывает отфильтрованный вид вкладки "Запросы" на странице "Охота" в зависимости от выбранного метода.

    Снимок экрана: представление карточки MITRE ATT&CK со ссылкой

  6. Выберите все запросы для этого метода.

Создание охоты

Существует два основных способа создания охоты.

  1. Если вы начали с гипотезы, в которой вы выбрали запросы, выберите раскрывающееся меню ">" создать новую охоту. Все выбранные запросы клонируются для этой новой охоты.

    Снимок экрана: выбранные запросы и выбранный параметр меню

  2. Если вы еще не определились с запросами, выберите вкладку "Охота (предварительная версия)", затем >, чтобы создать новую пустую охоту.

    Снимок экрана: меню для создания пустого поиска без предварительно выбранных запросов.

  3. Заполните имя охоты и необязательные поля. Описание — хорошее место для формулирования вашей гипотезы. Выпадающее меню Гипотеза — это место, где вы задаете статус вашей рабочей гипотезы.

  4. Нажмите кнопку "Создать" , чтобы приступить к работе.

    Снимок экрана: страница настройки охоты с именем, описанием, владельцем, статусом и состоянием гипотезы.

Просмотр сведений о охоте

  1. Перейдите на вкладку "Охота" (предварительная версия), чтобы просмотреть новую охоту.

  2. Выберите ссылку охоты по имени, чтобы просмотреть сведения и выполнить действия.

    Снимок экрана: новая охота на вкладке

  3. Просмотрите область сведений с именем охоты, описанием, содержимым, временем последнего обновления и временем создания.

  4. Обратите внимание на вкладки для запросов, закладок и сущностей.

    Снимок экрана: сведения о охоте.

Вкладка "Запросы"

Вкладка "Запросы" содержит запросы охоты, относящиеся к этой охоте. Эти запросы являются клонами исходных данных, независимо от всех остальных в рабочей области. Обновите или удалите их, не влияя на общий набор запросов охоты или запросов в других охотах.

Добавьте запрос к поиску

  1. Выбор действий запросов>добавляет запросы для поиска
  2. Выберите запросы, которые нужно добавить. Снимок экрана: меню действий запроса на странице вкладок запросов.

Выполнение запросов

  1. Выберите "Выполнить все запросы" или выберите определенные запросы и выберите "Выполнить выбранные запросы".
  2. Выберите "Отмена", чтобы отменить выполнение запроса в любое время.

Управление запросами

  1. Щелкните правой кнопкой мыши запрос и выберите одно из следующих элементов в контекстном меню:

    • Беги
    • Редактировать
    • Клон
    • Удалить
    • Создание правила аналитики

    Снимок экрана показывает параметры контекстного меню, вызываемого правой кнопкой мыши, на вкладке

    Эти варианты работают так же, как и существующая таблица запросов на странице "Поиск", за исключением действий, применяемых только в рамках этого поиска. При выборе создания правила аналитики имя, описание и запрос KQL предварительно заполнены в процессе создания нового правила. Создается ссылка для просмотра нового правила аналитики, найденного в разделе Связанные правила аналитики.

    Снимок экрана: сведения об охоте с соответствующим правилом аналитики.

Показать результаты

Эта функция позволяет вам видеть результаты запросов охоты в интерфейсе поиска Log Analytics. Отсюда проанализируйте результаты, уточните запросы и создайте закладки для записи сведений и дальнейшего изучения отдельных результатов по строкам.

  1. Нажмите кнопку "Просмотреть результаты ".
  2. Если перейти к другой части портала Microsoft Sentinel, перейдите обратно к интерфейсу поиска по журналам LA на странице охоты, все вкладки запросов LA остаются.
  3. Если закрыть вкладку браузера, эти вкладки запросов LA будут потеряны. Если вы хотите сохранить запросы в долгосрочной перспективе, необходимо сохранить запрос, создать новый поисковый запрос или скопировать его в комментарий для последующего использования в охоте.

Добавление закладки

При поиске интересных результатов или важных строк данных добавьте эти результаты к процессу поиска, создав закладку. Дополнительные сведения см. в разделе "Использование закладок для поиска данных".

  1. Выберите нужную строку или строки.

  2. Над таблицей результатов выберите "Добавить закладку". Снимок экрана: добавление области закладки с заполненными необязательными полями.

  3. Назовите закладку.

  4. Задайте столбец времени события.

  5. Сопоставление идентификаторов сущностей.

  6. Задайте тактику и методы MITRE.

  7. Добавьте теги и добавьте заметки.

    Закладки сохраняют результаты конкретной строки, запрос KQL и диапазон времени, который сгенерировал результат.

  8. Нажмите кнопку "Создать", чтобы добавить закладку в охоту.

Просмотр закладок

  1. Перейдите на вкладку "Закладки" в разделе охоты, чтобы просмотреть ваши закладки.

    Снимок экрана, показывающий закладку со всеми её сведениями и открытое меню действий.

  2. Выберите нужную закладку и выполните следующие действия:

    • Выберите ссылки объектов, чтобы просмотреть соответствующую страницу объекта UEBA.
    • Просмотр необработанных результатов, тегов и заметок.
    • Выберите "Просмотреть исходный запрос ", чтобы просмотреть исходный запрос в Log Analytics.
    • Выберите "Просмотреть журналы закладок" , чтобы просмотреть содержимое закладки в таблице закладок для поиска Log Analytics.
    • Нажмите кнопку "Исследовать ", чтобы просмотреть закладку и связанные сущности в графе исследования.
    • Нажмите кнопку "Изменить ", чтобы обновить теги, тактику и методы MITRE и заметки.

Взаимодействие с сущностями

  1. Перейдите на вкладку Entities вашей охоты, чтобы просматривать, искать и фильтровать сущности, содержащиеся в вашей охоте. Этот список создается из списка сущностей в закладках. Вкладка "Сущности" автоматически разрешает дублирующиеся записи.

  2. Выберите имена сущностей, чтобы посетить соответствующую страницу сущности UEBA.

  3. Щелкните правой кнопкой мыши на сущности, чтобы выполнить действия, соответствующие типам этих сущностей, например, добавить IP-адрес в интеллектуальную систему безопасности или запустить плейбук, специфичный для типа сущности.

    Снимок экрана: контекстное меню для сущностей.

Добавление комментариев

Комментарии являются отличным местом для совместной работы с коллегами, сохранения заметок и выводов документов.

  1. Выберите

  2. Введите и отформатируйте комментарий в поле редактирования.

  3. Добавьте результат запроса в качестве ссылки для участников совместной работы, чтобы быстро понять контекст.

  4. Нажмите кнопку "Комментарий ", чтобы применить комментарии.

    Снимок экрана: поле редактирования примечаний с запросом LA в качестве ссылки.

Создание инцидентов

Существует два варианта создания инцидентов во время охоты.

Вариант 1. Использование закладок.

  1. Выберите закладку или закладки.

  2. Выберите кнопку "Действия инцидента".

  3. Выберите "Создать новый инцидент" или "Добавить в существующий инцидент"

    Снимок экрана: меню действий из окна закладок.

    • Для создания нового инцидента выполните инструкции. Вкладка "Закладки" предварительно заполнена выбранными закладками.
    • Чтобы добавить к существующему инциденту, выберите инцидент и нажмите кнопку "Принять ".

Вариант 2. Использование действий охоты.

  1. Выберите меню "Действия охоты>, чтобы создать инцидент, и выполните инструкции.

    Снимок экрана: меню действий «hunts» из окна закладок.

  2. На этапе добавления закладок используйте действие добавить закладки, чтобы выбрать их из результатов охоты и добавить в инцидент. Вы ограничены закладками, которые не привязаны к инциденту.

  3. После создания инцидента, он будет добавлен в список связанных инцидентов для этого поиска.

Обновить статус

  1. Когда вы собрали достаточно доказательств для проверки или опровержения гипотезы, обновите статус гипотезы.

    Снимок экрана: выбор меню состояния гипотезы.

  2. Когда все действия, связанные с охотой, завершены, например создание правил аналитики, инцидентов или добавление индикаторов компрометации (IOCs) в TI, закройте охоту.

    Снимок экрана: выбор меню состояния

Эти обновления состояния отображаются на главной странице охоты и используются для отслеживания метрик.

Отслеживание метрик

Отслеживайте реальные результаты охоты с помощью панели метрик на вкладке "Охота ". Метрики показывают количество проверенных гипотез, созданных новых инцидентов и созданных новых правил аналитики. Используйте эти результаты, чтобы задать цели или отпраздновать вехи программы охоты.

Снимок экрана: метрики охоты.

Следующие шаги

В этой статье вы узнали, как запустить исследование охоты с функцией охоты в Microsoft Sentinel.

Дополнительные сведения см. в разделе:

  • Last updated on