Отслеживание данных при охоте на угрозы в Microsoft Sentinel

Для поиска угроз, как правило, требуется проверить множество данных журналов, которые могут содержать свидетельства вредоносной активности. В ходе этого процесса можно запомнить некоторые события, а затем вернуться к ним позднее, проанализировать в ходе проверки потенциальных гипотез и отследить всю историю компрометации.

Закладки для охоты в Microsoft Sentinel помогают выявлять угрозы. В них сохраняются запросы, выполненные в разделе Microsoft Sentinel — Журналы, а также результаты запросов, которые вы посчитали релевантными. Вы также можете записывать контекстные наблюдения и ссылаться на свои выводы, добавляя примечания и теги. Данные, добавленные в закладки, видны вам и вашим коллегам, упрощая совместную работу.

Теперь вы можете выявлять и устранять пропуски в покрытии методик MITRE ATT&CK по всем запросам об охоте, сопоставляя свои пользовательские запросы об охоте с методиками MITRE ATT&CK.

Вы также можете исследовать больше типов сущностей во время охоты с закладками, сопоставляя полный набор типов сущностей и идентификаторов, поддерживаемых Microsoft Sentinel Analytics, в своих пользовательских запросах. Это позволяет использовать закладки для изучения сущностей, возвращаемых в результатах запроса поиска, с помощью страниц сущностей, инцидентов и графа исследования. Если закладка захватывает результаты запроса поиска, она автоматически наследует метод запроса MITRE ATT&CK и сопоставления сущностей.

Если во время охоты в журналах вы обнаружите что-то, требующее срочного решения, вы можете легко создать закладку и либо повысить ее уровень до инцидента, либо добавить закладку к существующему инциденту. Дополнительные сведения об инцидентах см. в статье Исследование инцидентов с помощью Microsoft Sentinel.

Если вы нашли что-то интересное, но не срочное, вы можете создать закладку, а затем в любое время вернуться к данным, сохраненным в закладках, на вкладке Закладки области Охота. Можно использовать фильтрацию и параметры поиска для быстрого поиска конкретных данных для текущего исследования.

Можно визуализировать данные с закладками, нажав кнопку Исследовать в разделе сведений о закладке. При этом запускается процесс исследования, в ходе которого можно просматривать, изучать, визуализировать и передавать результаты с помощью интерактивной диаграммы сущностей и временной шкалы.

Кроме того, можно просматривать данные в закладках непосредственно в таблице HuntingBookmark в рабочей области Log Analytics. Пример:

Снимок экрана: просмотр таблицы закладок для охоты.

При просмотре закладок в этой таблице можно фильтровать, суммировать и объединять помеченные данные с другими источниками данных, что упрощает поиск свидетельств.

Примечание

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Добавление закладки

  1. На портале Azure перейдите в раздел Microsoft Sentinel>Управление угрозами>Поиск, чтобы выполнить запросы для поиска подозрительного или аномального поведения.

  2. Выберите один из запросов охоты, затем в области сведений о запросе (справа) выберите Выполнить запрос.

  3. Выберите Просмотр результатов запроса. Пример:

    Снимок экрана: просмотр результатов запроса из охоты Microsoft Sentinel.

    При выполнении этого действия результаты запроса отображаются на панели Журналы.

  4. В списке результатов запроса в журнале есть флажки, с помощью которых можно выбрать одну или несколько строк с интересующими вас сведениями.

  5. Выберите Добавить закладку:

    Снимок экрана: добавление закладки охоты в запрос.

  6. На панели Добавить закладку (справа) можно обновить имя закладки, а также добавить теги и примечания для идентификации выбранных элементов.

  7. Закладки можно при необходимости сопоставить с методами MITRE ATT&CK или вложенными методами. Сопоставления MITRE ATT&CK наследуются от сопоставленных значений в запросах на охоту, но их также можно создать вручную. Выберите тактику MITRE ATT&CK, связанную с нужным методом, в раскрывающемся меню в разделе "Методы тактики&" на панели "Добавление закладки". Меню будет развернуто для отображения всех методов MITRE ATT&CK, и вы сможете выбрать несколько методов и подметодов.

    Снимок экрана: сопоставление тактики и методов атаки Mitre с закладками.

  8. Теперь развернутый набор сущностей можно извлечь из результатов запроса в закладках для дальнейшего изучения. В разделе сопоставления сущностей используйте раскрывающийся список для выбора типов и идентификаторов сущностей. Затем сопоставьте столбец в результатах запроса, содержащий соответствующий идентификатор. Пример:

    Снимок экрана: сопоставление типов сущностей для закладок охоты.

    Чтобы просмотреть закладку в графе исследования, необходимо сопоставить хотя бы одну сущность. Сопоставления сущностей с созданными ранее типами сущностей учетной записи, узла, IP-адреса и URL-адресов поддерживаются, сохраняя обратную совместимость.

  9. Нажмите Сохранить , чтобы зафиксировать изменения и добавить закладку. Все данные, помещенные в закладки, передаются другим аналитикам, и это первый шаг к совместному проведению исследований.

Примечание

Результаты запроса журнала поддерживают закладки каждый раз, когда эта панель открывается из Microsoft Sentinel. Например, вы выбираете общие>журналы на панели навигации, выбираете ссылки на события в графе расследований или выбираете идентификатор оповещения из полных сведений об инциденте. Если панель Журналы открыта в другом расположении (например, непосредственно в Azure Monitor), создать закладки невозможно.

Просмотр и обновление закладок

  1. На портале Azure перейдите в раздел Microsoft Sentinel>Управление угрозами>Поиск.

  2. Перейдите на вкладку Закладки, чтобы посмотреть список закладок.

  3. Чтобы найти конкретную закладку, используйте поле поиска или параметры фильтра.

  4. Выберите отдельные закладки и просмотрите информацию о закладке в области сведений справа.

  5. Внесите необходимые изменения, которые сохранятся автоматически.

Просмотр закладок на графе исследования

  1. На портале Azure перейдите на вкладку Microsoft Sentinel>Управление угрозами>Поиск>Закладки и выберите одну или несколько закладок для исследования.

  2. В разделе сведений о закладке должна быть сопоставлена хотя бы одна сущность.

  3. Выберите Исследовать, чтобы просмотреть закладку на графе исследования.

Инструкции по использованию графа исследования см. в статье Глубокий анализ с помощью графа исследования.

Добавление закладок для нового или существующего инцидента

  1. На портале Azure перейдите на вкладку Microsoft Sentinel>Управление угрозами>Поиск>Закладки и выберите одну или несколько закладок для добавления в инцидент.

  2. Выберите Действия инцидента на панели команд:

    Снимок экрана: добавление закладок в инцидент.

  3. Выберите Создать новый инцидент или Добавить в существующий инцидент (в зависимости от ситуации). Затем сделайте следующее:

    • Для нового инцидента: при необходимости обновите сведения об инциденте, затем выберите Создать.
    • Чтобы добавить закладку к существующему инциденту, выберите один инцидент, затем выберите Добавить.

Чтобы просмотреть закладку в инциденте, перейдите в раздел Microsoft Sentinel>Управление угрозами>Инциденты и выберите инцидент с закладкой. Выберите Просмотреть все сведения, затем перейдите на вкладку Закладки.

Совет

Вместо параметра Действия инцидента на панели команд можно использовать контекстное меню (...) для одной или нескольких закладок, чтобы выбрать одну из команд: Создать новый инцидент, Добавить в существующий инцидент или Удалить из инцидента.

Просмотр данных в закладками в журналах

Для просмотра запросов с закладками, результатов или их журнала выберите закладку на вкладке Поиск>Закладки и используйте ссылки, приведенные в области сведений:

  • Просмотр исходного запроса для просмотра исходного запроса на панели Журналы.

  • Выберите Просмотр журналов закладок, чтобы просмотреть все метаданные закладки, включая сведения о том, кто выполнил обновление, обновленные значения и время обновления.

Можно также просмотреть необработанные данные для всех закладок. Для этого выберите Журналы закладок на вкладке Поиск>Закладки.

Снимок экрана: команда журналов закладок.

В этом представлении отображаются все закладки со связанными метаданными. Можно использовать запросы на языке запросов Kusto (KQL) для фильтрации и просмотра последней версии конкретной закладки.

Примечание

Между созданием закладки и ее отображением на вкладке Закладки может наблюдаться значительная задержка (в минутах).

Удаление закладки

  1. На портале Azure перейдите на вкладку Microsoft Sentinel>Управление угрозами>Поиск>Закладки и выберите одну или несколько закладок для удаления.

  2. Щелкните правой кнопкой мыши выделенные закладки и выберите параметр удаления выбранного количества закладок.

Закладка удаляется из списка на вкладке Закладка. Таблица HuntingBookmark в рабочей области Log Analytics будет по-прежнему содержать предыдущие записи закладок, но для последней записи значение SoftDelete изменится на true, что упрощает фильтрацию старых закладок. При удалении закладки сущности, связанные с другими закладками или оповещениями, не удаляются из процесса исследования.

Дальнейшие действия

Из этой статьи вы узнали, как запустить исследование для поиска угроз в Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях: