Отслеживание данных при охоте на угрозы в Microsoft Sentinel

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Для поиска угроз, как правило, требуется проверить множество данных журналов, которые могут содержать свидетельства вредоносной активности. В ходе этого процесса можно запомнить некоторые события, а затем вернуться к ним позднее, проанализировать в ходе проверки потенциальных гипотез и отследить всю историю компрометации.

Охота на закладки в Microsoft Sentinel помогает вам сохранить запросы, которые вы выполнили в Microsoft Sentinel — logs, а также результаты запроса, которые вы считаете соответствующими. Вы также можете записывать контекстные наблюдения и ссылаться на свои выводы, добавляя примечания и теги. Данные, добавленные в закладки, видны вам и вашим коллегам, упрощая совместную работу.

Теперь вы можете определить и устранить пробелы в технике MITRE ATT&CK во всех запросах охоты, сопоставив пользовательские запросы охоты с методами MITRE ATT&CK.

Изучите дополнительные типы сущностей при поиске с закладками, сопоставляя полный набор типов сущностей и идентификаторов, поддерживаемых Microsoft Sentinel Analytics в пользовательских запросах. Используйте закладки для изучения сущностей, возвращаемых в результатах поиска, с помощью страниц сущностей, инцидентов и графа исследования. Если закладка записывает результаты из запроса охоты, он автоматически наследует метод MITRE ATT&CK запроса и сопоставления сущностей.

Если во время охоты в журналах вы обнаружите что-то, требующее срочного решения, вы можете легко создать закладку и либо повысить ее уровень до инцидента, либо добавить закладку к существующему инциденту. Дополнительные сведения об инцидентах см. в статье Исследование инцидентов с помощью Microsoft Sentinel.

Если вы нашли что-то интересное, но не срочное, вы можете создать закладку, а затем в любое время вернуться к данным, сохраненным в закладках, на вкладке Закладки области Охота. Можно использовать фильтрацию и параметры поиска для быстрого поиска конкретных данных для текущего исследования.

Можно визуализировать данные с закладками, нажав кнопку Исследовать в разделе сведений о закладке. При этом запускается процесс исследования, в ходе которого можно просматривать, изучать, визуализировать и передавать результаты с помощью интерактивной диаграммы сущностей и временной шкалы.

Кроме того, можно просматривать данные в закладках непосредственно в таблице HuntingBookmark в рабочей области Log Analytics. Например:

Снимок экрана: просмотр таблицы закладок для охоты.

При просмотре закладок в этой таблице можно фильтровать, суммировать и объединять помеченные данные с другими источниками данных, что упрощает поиск свидетельств.

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Внимание

Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Добавление закладки

Создайте закладку для сохранения запросов, результатов, наблюдений и результатов.

  1. Для Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите "Охота".
    Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Threat Management>Hunting.

  2. Выберите один из запросов охоты.

  3. В сведениях о запросе для охоты выберите "Выполнить запрос".

  4. Выберите Просмотр результатов запроса. Например:

    Снимок экрана: просмотр результатов запроса из охоты Microsoft Sentinel.

    При выполнении этого действия результаты запроса отображаются на панели Журналы.

  5. В списке результатов запроса в журнале есть флажки, с помощью которых можно выбрать одну или несколько строк с интересующими вас сведениями.

  6. Выберите Добавить закладку:

    Снимок экрана: добавление закладки охоты на запрос.

  7. На панели Добавить закладку (справа) можно обновить имя закладки, а также добавить теги и примечания для идентификации выбранных элементов.

  8. Закладки можно при необходимости сопоставить с методами mitRE ATT&CK или вложенными методами. Сопоставления MITRE ATT&CK наследуются от сопоставленных значений в поисковых запросах, но их также можно создать вручную. Выберите тактику MITRE ATT&CK, связанную с требуемой техникой, в раскрывающемся меню в разделе "Тактика и методы" области "Добавить закладку". Меню разворачивается, чтобы отобразить все методы MITRE ATT&CK, и вы можете выбрать несколько методов и вложенных методов в этом меню.

    Снимок экрана: сопоставление тактики и методов mitre Attack с закладками.

  9. Теперь развернутый набор сущностей можно извлечь из результатов запроса закладки для дальнейшего изучения. В разделе сопоставления сущностей используйте раскрывающийся список для выбора типов сущностей и идентификаторов. Затем сопоставьте столбец в результатах запроса, содержащий соответствующий идентификатор. Например:

    Снимок экрана: сопоставление типов сущностей для охоты на закладки.

    Чтобы просмотреть закладку в графе исследования, необходимо сопоставить хотя бы одну сущность. Сопоставления сущностей с созданными типами сущностей учетной записи, узла, IP-адреса и URL-адреса поддерживаются, сохраняя обратную совместимость.

  10. Нажмите кнопку "Сохранить", чтобы зафиксировать изменения и добавить закладку. Все данные, помещенные в закладки, передаются другим аналитикам, и это первый шаг к совместному проведению исследований.

Результаты запроса журнала поддерживают закладки каждый раз, когда эта панель открывается из Microsoft Sentinel. Например, вы выбираете общие>журналы на панели навигации, выберите ссылки на события в графе расследований или выберите идентификатор оповещения из полных сведений об инциденте. Если панель Журналы открыта в другом расположении (например, непосредственно в Azure Monitor), создать закладки невозможно.

Просмотр и обновление закладок

Найдите и обновите закладку на вкладке закладки.

  1. Для Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите "Охота".
    Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Threat Management>Hunting.

  2. Перейдите на вкладку Закладки, чтобы посмотреть список закладок.

  3. Поиск или фильтрация для поиска определенной закладки или закладок.

  4. Выберите отдельные закладки, чтобы просмотреть сведения о закладках в правой области.

  5. Внесите изменения по мере необходимости. Изменения сохраняются автоматически.

Просмотр закладок на графе исследования

Визуализировать данные закладок, запуская процесс исследования, в котором можно просматривать, исследовать и визуально обмениваться результатами с помощью интерактивной диаграммы диаграммы сущностей и временная шкала.

  1. На вкладке "Закладки" выберите закладку или закладки, которые вы хотите исследовать.

  2. В разделе сведений о закладке должна быть сопоставлена хотя бы одна сущность.

  3. Выберите Исследовать, чтобы просмотреть закладку на графе исследования.

Инструкции по использованию графа исследования см. в статье Глубокий анализ с помощью графа исследования.

Добавление закладок для нового или существующего инцидента

Добавьте закладки в инцидент на вкладке "Закладки" на странице "Охота ".

  1. На вкладке "Закладки" выберите закладку или закладки, которые нужно добавить в инцидент.

  2. Выберите Действия инцидента на панели команд:

    Снимок экрана: добавление закладок в инцидент.

  3. Выберите Создать новый инцидент или Добавить в существующий инцидент (в зависимости от ситуации). Затем:

    • Для нового инцидента: при необходимости обновите сведения об инциденте, затем выберите Создать.
    • Чтобы добавить закладку к существующему инциденту, выберите один инцидент, затем выберите Добавить.

Вместо параметра Действия инцидента на панели команд можно использовать контекстное меню (...) для одной или нескольких закладок, чтобы выбрать одну из команд: Создать новый инцидент, Добавить в существующий инцидент или Удалить из инцидента.

Чтобы просмотреть закладку в инциденте, перейдите в раздел Microsoft Sentinel>Управление угрозами>Инциденты и выберите инцидент с закладкой. Выберите Просмотреть все сведения, затем перейдите на вкладку Закладки.

Просмотр данных в закладками в журналах

Просмотр закладочных запросов, результатов или их журнала.

  1. Выберите закладку на вкладке "Охота>на закладки".

  2. Выберите ссылки, предоставленные в области сведений:

    • Просмотр исходного запроса для просмотра исходного запроса на панели Журналы.

    • Выберите Просмотр журналов закладок, чтобы просмотреть все метаданные закладки, включая сведения о том, кто выполнил обновление, обновленные значения и время обновления.

  3. Просмотрите необработанные данные закладки для всех закладок, выбрав "Журналы закладок" на вкладке "Охота>на закладки":

    Снимок экрана: команда журналов закладок.

В этом представлении отображаются все закладки со связанными метаданными. Запросы язык запросов Kusto (KQL) можно использовать для фильтрации до последней версии конкретной закладки, которую вы ищете.

Между созданием закладки и отображением закладки на вкладке "Закладки" может быть значительная задержка (измеряемая в минутах ).

Удаление закладки

При удалении закладки закладка удаляется из списка на вкладке "Закладка ". Таблица HuntingBookmark для рабочей области Log Analytics продолжает содержать предыдущие записи закладок, но последняя запись изменяет значение SoftDelete на true, что упрощает фильтрацию старых закладок. При удалении закладки не удаляются сущности из интерфейса исследования, связанные с другими закладками или оповещениями.

Чтобы удалить закладку, выполните следующие действия.

  1. На вкладке "Охота>на закладки" выберите закладку или закладки, которые вы хотите удалить.

  2. Щелкните правой кнопкой мыши и выберите параметр удаления выбранных закладок.

Связанный контент

Из этой статьи вы узнали, как запустить исследование для поиска угроз в Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях: