Поделиться через


Поиск угроз в Microsoft Sentinel

Аналитики информационной безопасности должны действовать на упреждение при поиске угроз безопасности, однако различные системы и устройства безопасности генерируют огромный массив данных, которые бывает трудно анализировать и фильтровать для выявления осмысленных событий. Для поиска угроз безопасности в источниках данных организации в Microsoft Sentinel предусмотрены мощные инструменты поиска, охоты и запросов. Чтобы помочь аналитикам безопасности заранее искать новые аномалии, которые не обнаружены вашими приложениями безопасности или даже вашими запланированными правилами аналитики, охота на запросы поможет вам задать правильные вопросы, чтобы найти проблемы в данных, которые уже есть в вашей сети.

Например, один из необязаемых запросов предоставляет данные о самых редких процессах, выполняемых в вашей инфраструктуре. Вы не хотите, чтобы оповещение каждый раз, когда они выполняются. Они могут быть совершенно невинными. Но вы можете взглянуть на запрос иногда, чтобы увидеть, есть ли что-нибудь необычное.

Внимание

Microsoft Sentinel теперь общедоступен на платформе унифицированных операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Охота в Microsoft Sentinel (предварительная версия)

При охоте в Microsoft Sentinel искать неотмеченные угрозы и вредоносные действия путем создания гипотезы, поиска данных, проверки этой гипотезы и действия при необходимости. Создайте новые аналитические правила, аналитику угроз и инциденты на основе ваших результатов.

Capabilities Description
Определение гипотезы Чтобы определить гипотезу, найдите вдохновение на карте MITRE, последние результаты охоты, решения концентратора контента или создайте собственные пользовательские охоты.
Изучение запросов и результатов закладок После определения гипотезы перейдите на вкладку "Запросы на охоту". Выберите запросы, связанные с гипотезой и новой охотой, чтобы приступить к работе. Выполните запросы, связанные с охотой, и изучите результаты с помощью интерфейса журналов. Результаты закладки непосредственно в охоте, чтобы заметить результаты, извлечь идентификаторы сущностей и сохранить соответствующие запросы.
Изучение и принятие мер Изучение еще более глубоко с помощью страниц сущностей UEBA. Запустите определенные сборники схем сущностей в закладках. Используйте встроенные действия для создания новых аналитических правил, индикаторов угроз и инцидентов на основе результатов.
Отслеживание результатов Запишите результаты охоты. Проверьте, проверена ли ваша гипотеза. Оставьте подробные заметки в комментариях. Охота автоматически связывает новые аналитические правила и инциденты. Отслеживайте общее влияние программы охоты с помощью панели метрик.

Сведения о начале работы см. в статье "Поведение комплексной упреждающей охоты на угрозы" в Microsoft Sentinel.

Запросы слежения

В Microsoft Sentinel выберите вкладку "Охота>на запросы", чтобы запустить все запросы или выбранное подмножество. На вкладке "Запросы" перечислены все запросы охоты, установленные с решениями безопасности из центра содержимого, и все дополнительные запросы, созданные или измененные. Каждый запрос содержит описание цели охоты и сведения о типах данных, на которых он выполняется. Эти запросы группируются по тактике MITRE ATT&CK. Значки справа классифицируют тип угрозы, например первоначальный доступ, сохраняемость и кража данных. Методы MITRE ATT&CK показаны в столбце "Методы" и описывают конкретное поведение, определяемое запросом охоты.

Microsoft Sentinel начинает охоту

Используйте вкладку "Запросы", чтобы определить, где начать охоту, глядя на количество результатов, пики или изменение количества результатов в течение 24-часового периода. Сортировка и фильтрация по избранному, источнику данных, тактике или методу MITRE ATT&CK, результатам, разностным результатам или проценту разностных результатов. Просмотрите запросы, которые по-прежнему нуждаются в подключенных источниках данных, и получите рекомендации по включению этих запросов.

В следующей таблице подробно описаны действия, доступные на панели мониторинга "Охота".

Действие Description
Просмотр сведений о том, как запросы применяются к вашей среде Нажмите кнопку "Выполнить все запросы" или выберите подмножество запросов с помощью флажков слева от каждой строки и нажмите кнопку "Выполнить выбранные запросы".

Выполнение запросов может занять от нескольких секунд до нескольких минут в зависимости от их количества, диапазона времени и объема запрашиваемых данных.
Просмотр запросов, которые вернули результаты После выполнения запросов просмотрите запросы, возвращающие результаты с помощью фильтра результатов :
— Отсортируйте данные, чтобы понять, для каких запросов было возвращено меньше или больше всего результатов.
— Просмотрите запросы, которые не являются активными в вашей среде, выбрав N/A в фильтре результатов .
Наведите указатель мыши на значок сведений (i) рядом со значением Н/Д, чтобы узнать, какие источники данных необходимы для активации этого запроса.
Выявление пиковых значений в данных Определите пиковые значения в данных путем сортировки или фильтрации по признаку Results delta (Разница в результатах) или Results delta percentage (Доля разницы в результатах).

Сравнивает результаты последних 24 часов с результатами предыдущих 24-48 часов, подчеркивая любые большие различия или относительные различия в томе.
Просмотр запросов, сопоставленных с тактикой MITRE ATT&CK Панель приемов MITRE ATT&CK в верхней части таблицы содержит сведения о том, сколько запросов связано с каждым приемом MITRE ATT&CK. Содержимое панели динамически обновляется на основе текущего набора примененных фильтров.

Позволяет увидеть, какие тактики MITRE ATT&CK отображаются при фильтрации по заданному количеству результатов, высокой разностности результатов, результатов N/A или любого другого набора фильтров.
Просмотр запросов, сопоставленных с приемами MITRE ATT&CK Запросы также можно сопоставлять с приемами MITRE ATT&CK. Для фильтрации или сортировки по приемам MITRE ATT&CK используется фильтр Technique (Прием). Открыв запрос, вы можете выбрать метод, чтобы просмотреть описание метода MITRE ATT&CK.
Сохранение запроса в избранном Запросы, сохраненные в избранном, автоматически запускаются каждый раз при открытии страницы Hunting (Охота). Можно создать собственный запрос охоты или клонировать и настроить существующий шаблон запроса.
Выполнение запросов ВыберитеВыполнить запрос на странице сведения о запросе охоты, чтобы выполнить запрос непосредственно со страницы охоты. Количество результатов отображается в таблице в столбце Results (Результаты). Просмотрите список запросов охоты и их совпадений.
Проверка базового запроса Выполните быструю проверку базового запроса в области сведений о запросе. Чтобы просмотреть результаты, щелкните ссылку View query results (Просмотреть результаты запроса) под окном запроса или нажмите кнопку View Results (Просмотреть результаты) внизу области. Запрос открывает страницу журналов (Log Analytics) и под запросом можно просмотреть совпадения для запроса.

Используйте запросы до, во время и после компрометации, чтобы выполнить следующие действия:

  • Прежде чем происходит инцидент: ожидание обнаружения недостаточно. Примите упреждающее меры, по крайней мере раз в неделю выполняя все запросы охоты на угрозы, связанные с данными, которые вы принимаете в рабочую область.

    Результаты упреждающей охоты предоставляют раннее представление о событиях, которые могут подтвердить, что компромисс находится в процессе, или, по крайней мере, показать слабые области в вашей среде, которые находятся под угрозой и нуждаются в внимания.

  • Во время компрометации. Используйте потоковую передачу в реальном времени для постоянного выполнения определенного запроса, предоставляющего результаты по мере их появления. Используйте потоковую передачу в реальном времени, когда необходимо активно отслеживать события пользователей. Например, если требуется проверить, имеет ли место определенная компрометация, чтобы определить следующее действие субъекта-угрозы, или если необходимо убедиться, что компрометация действительно прекращена, на этапе завершения расследования.

  • После компрометации: после компрометации или инцидента обязательно улучшайте охват и аналитические сведения, чтобы предотвратить аналогичные инциденты в будущем.

    • Измените существующие запросы или создайте новые, чтобы помочь в раннем обнаружении на основе аналитических сведений, полученных от компрометации или инцидента.

    • Если вы обнаружили или создали запрос на поиск, предоставляющий высокую ценность для возможных атак, создайте настраиваемые правила обнаружения на основе этого запроса и обнаружьте эти аналитические сведения в качестве оповещений для реагирования на инциденты безопасности.

      Просмотрите результаты запроса и выберите Новое правило генерации оповещений>Создать оповещение Microsoft Sentinel. Используйте мастер правил аналитики для создания нового правила на основе запроса. Дополнительные сведения см. в разделе Создание настраиваемых правил аналитики для обнаружения угроз.

Вы также можете создавать запросы охоты и трансляции по данным, хранящимся в Azure Data Explorer. Дополнительные сведения см. в разделе о создании перекрестных запросов ресурсов в документации Azure Monitor.

Чтобы найти дополнительные запросы и источники данных, перейдите в центр содержимого в Microsoft Sentinel или обратитесь к ресурсам сообщества, таким как репозиторий Microsoft Sentinel GitHub.

Запросы на поиск в поле

Многие решения по безопасности включают запросы на поиск в поле. После установки решения, включающего запросы охоты из концентратора контента, запросы из поля для этого решения отображаются на вкладке "Запросы охоты". Запросы выполняются на данных, хранящихся в таблицах журнала, например для создания процессов, событий DNS или других типов событий.

Многие доступные запросы охоты разрабатываются исследователями по безопасности Майкрософт на постоянной основе. Они добавляют новые запросы в решения безопасности и настраивают существующие запросы, чтобы обеспечить вам точку входа для поиска новых обнаружения и атак.

Пользовательские запросы охоты

Создайте или измените запрос и сохраните его в качестве собственного запроса или поделитесь им с пользователями, которые находятся в том же клиенте. В Microsoft Sentinel создайте настраиваемый запрос охоты на вкладке "Запросы охоты>".

Дополнительные сведения см. в статье "Создание пользовательских запросов охоты" в Microsoft Sentinel.

Сеансы livestream

Создание интерактивных сеансов, которые позволяют тестировать только что созданные запросы в качестве событий, получать уведомления от сеансов при обнаружении совпадения и запускать исследования при необходимости. Сеанс с потоковой передачей в реальном времени можно быстро создать с помощью любого запроса Log Analytics.

  • Проверка созданных запросов при возникновении событий

    Можно проверять и корректировать запросы без конфликтов относительно текущих правил, которые активно применяются к событиям. После подтверждения того, что созданные запросы работают должным образом, можно легко повысить их уровень до пользовательских правил генерации оповещений, выбрав параметр, который повышает уровень сеанса до уровня оповещения.

  • Получение уведомления при возникновении угрозы

    Вы можете сравнить веб-каналы данных об угрозах с агрегированными данными журнала и получать уведомления в случае соответствия. Веб-каналы данных об угрозах — это непрерывные потоки данных, связанных с потенциальными или текущими угрозами, поэтому уведомление может указывать на потенциальную угрозу для организации. Создайте сеанс трансляции вместо настраиваемого правила генерации оповещений, чтобы получать уведомления о потенциальной проблеме без дополнительных затрат на обслуживание настраиваемого правила генерации оповещений.

  • Выполнение исследований

    Если существует активное исследование, которое включает в себя ресурс, например узел или пользователь, просмотрите конкретное (или любое) действие в данных журнала, как это происходит в этом ресурсе. Будьте уведомлены при возникновении этого действия.

Дополнительные сведения см. в разделе "Обнаружение угроз" с помощью потоковой трансляции охоты в Microsoft Sentinel.

Закладки для отслеживания данных

Для поиска угроз, как правило, требуется проверить множество данных журналов, которые могут содержать свидетельства вредоносной активности. В ходе этого процесса можно запомнить некоторые события, а затем вернуться к ним позднее, проанализировать в ходе проверки потенциальных гипотез и отследить всю историю компрометации.

Во время охоты и расследования вы можете столкнуться с результатами запроса, которые выглядят необычными или подозрительными. Добавьте эти элементы в закладки, чтобы вернуться к ним в будущем, например при создании или обогащении инцидента для расследования. Такие события, как выявление потенциальной первопричины или признаков компрометации либо другие важные события, должны быть представлены в виде закладки. Если ключевое событие, которое вы закладыли, достаточно серьезно, чтобы гарантировать расследование, добавьте его в инцидент.

  • В результатах установите флажки для всех строк, которые необходимо сохранить, и выберите Добавить закладку. Это создает запись для каждой помеченной строки, закладки, которая содержит результаты строки и запрос, создавший результаты. К каждой закладке можно добавить собственные теги и примечания.

    • Как и в случае с правилами запланированной аналитики, вы можете дополнить закладки сопоставлениями сущностей для извлечения нескольких типов сущностей и идентификаторов, а также сопоставления MITRE ATT&CK для связывания конкретных тактик и методов.
    • Закладки по умолчанию используют те же сущности и методы MITRE ATT&CK, что и поисковый запрос, создающий результаты закладки.
  • Просмотрите все результаты, отмеченные закладками, открыв вкладку Закладки на главной странице Охота. Добавьте к закладкам теги, чтобы классифицировать их для фильтрации. Например, если вы изучаете кампанию атак, можно создать тег для этой кампании, применить его к соответствующим закладкам, а затем отфильтровать все закладки по кампании.

  • Проведите расследование по отдельному набору результатов, добавленных в закладки. Для этого выберите закладку и нажмите кнопку Исследовать в области сведений, в результате чего откроется процесс расследования. Просмотр, изучение и визуальное взаимодействие результатов с помощью интерактивной диаграммы диаграммы сущностей и временной шкалы. Вы также можете напрямую выбрать указанную сущность, чтобы просмотреть соответствующую страницу такой сущности.

    Можно также создать инцидент из одной или нескольких закладок или добавить одну или несколько закладок в существующий инцидент. Установите флажок слева от всех закладок, которые необходимо использовать, а затем выберите Действия инцидента>Создать инцидент или Добавить в существующий инцидент. Рассмотрите и расследуйте такой инцидент, как любой другой.

  • Просмотрите данные закладок непосредственно в таблице HuntingBookmark в рабочей области Log Analytics. Например:

    Снимок экрана: таблица закладок охоты в рабочей области Log Analytics.

    При просмотре закладок в этой таблице можно фильтровать, суммировать и объединять помеченные данные с другими источниками данных, что упрощает поиск свидетельств.

Сведения о начале использования закладок см. в статье "Отслеживание данных во время охоты с помощью Microsoft Sentinel".

Записные книжки для анализа данных

Если охота и исследования усложняются, используйте записные книжки Microsoft Sentinel, чтобы воспользоваться средствами машинного обучения, визуализаций и анализа данных.

Записные книжки предоставляют в своем роде виртуальную песочницу с собственным ядром, в которой можно выполнять комплексное исследование. Записная книжка может включать необработанные данные, код для выполнения с этими данными, результаты и визуализации. Сохраните записные книжки, чтобы вы могли использовать их совместно с другими пользователями в организации.

Записные книжки могут оказаться полезными, когда поиск или исследование становится слишком большим, чтобы легко запоминать, просматривать сведения или сохранять запросы и результаты. Для создания и совместного использования записных книжек Microsoft Sentinel предоставляет Jupyter Notebook, среду интерактивной разработки и обработки данных, интегрированную непосредственно на страницу записных книжек Microsoft Sentinel.

Дополнительные сведения см. в разделе:

В следующей таблице описаны некоторые методы использования записных книжек Jupyter для поддержки процессов в Microsoft Sentinel:

Метод Description
Сохраняемость данных, повторяемость и обратное отслеживание Если вы работаете с большим количеством запросов и наборов результатов, вы с большой вероятностью столкнетесь с некоторыми тупиками. Необходимо решить, какие запросы и результаты сохранить, а также как накапливать полезные результаты в одном отчете.

Используйте записные книжки Jupyter Notebook для сохранения запросов и данных в ходе работы, используйте переменные для повторного запуска запросов с разными значениями или датами либо сохраняйте запросы для повторного запуска в будущих исследованиях.
Скрипты и программирование Используйте Записные книжки Jupyter для добавления программирования в запросы, в том числе:

- Декларативные языки, например язык запросов Kusto (KQL) или SQL, для кодирования логики в одной (возможно, сложной) инструкции.
- Языки процедурного программирования для выполнения логики в серии шагов.

Разделите логику на шаги, которые помогут вам увидеть и отладить промежуточные результаты, добавить функциональные возможности, которые могут быть недоступны на языке запросов, и повторно использовать частичные результаты в последующих шагах обработки.
Ссылки на внешние данные Хотя таблицы-метки Microsoft Sentinel содержат значительную часть данных телеметрии и событий, записные книжки Jupyter Notebook могут связаться с любыми данными, которые доступны по сети или из файла. Использование Записных книжек Jupyter позволяет включать такие данные, как:

— Данные во внешних службах, которыми вы не владеете, например данные о географическом расположении или источники анализа угроз.
— Конфиденциальные данные, которые хранятся только в вашей организации, например базы данных отдела кадров или списки ценных активов.
— Данные, которые еще не перенесены в облако.
Специализированные средства обработки данных, машинного обучения и визуализации Jupyter Notebook предоставляет больше визуализаций, библиотек машинного обучения и функций обработки и преобразования данных.

Например, используйте записные книжки Jupyter Notebook со следующими возможностями Python:
- pandas для обработки данных, очистки и проектирования.
- Matplotlib, HoloViews и Plotly для визуализации.
- NumPy и SciPy для расширенной обработки числовых и научных данных.
- scikit-learn для машинного обучения.
- TensorFlow, PyTorch и Keras для глубокого обучения.

Совет. Записные книжки Jupyter Notebook поддерживают ядра нескольких языков. Магические команды позволяют использовать разные языки в одной записной книжке, разрешая выполнение отдельных ячеек на других языках. Например, можно получить данные с помощью ячейки со скриптом PowerShell, обработать данные в Python и отобразить визуализацию с помощью JavaScript.

Средства безопасности MSTIC, Jupyter и Python

Центр аналитики угроз Майкрософт (MSTIC) — это команда аналитиков безопасности и инженеров Майкрософт, которые разрабатывают обнаружения безопасности для нескольких платформ Майкрософт и работают над идентификацией и исследованием угроз.

Команда MSTIC создала MSTICPy, библиотеку для исследования безопасности и охоты в записных книжках Jupyter Notebook. MSTICPy предоставляет пригодные для использования функции, которые ускоряют создание записных книжек и упрощают пользователям чтение записных книжек в Microsoft Sentinel.

Например, MSTICPy может:

  • Отправлять запросы к данным журналов из нескольких источников.
  • Обогащать данные с помощью аналитики угроз, данных геолокации и данных ресурсов Azure.
  • Извлекать индикаторы действий (IoA) из журналов и распаковывать закодированные данные.
  • Выполнять сложный анализ, например обнаружение аномальных сеансов и разложение временных рядов.
  • Визуализировать данные с помощью интерактивных временных шкал, деревьев процессов и многомерных морфологических чартов.

MSTICPy также включает некоторые средства, ускоряющие работу с записными книжками, например мини-приложения, которые задают границы времени запросов, отбирают и отображают записи из списков и настраивают среду записных книжек.

Дополнительные сведения см. в разделе:

Полезные операторы и функции

В основе запросов охоты лежит язык запросов Kusto (KQL), функциональный язык запросов на базе IntelliSense, высокотехнологичность и гибкость которого позволяет вывести поиск угроз на новый уровень.

Это тот же язык, который используется в запросах правил аналитики и в других местах в Microsoft Sentinel. Дополнительные сведения см. в справочнике по языку запросов.

В запросах охоты Microsoft Sentinel особенно полезны следующие операторы:

  • where: фильтрация таблицы до подмножества строк, которые удовлетворяют предикату.

  • summarize: создание таблицы, которая объединяет содержимое входной таблицы.

  • join — объединение строк двух таблиц для формирования новой таблицы путем сопоставления значений указанных столбцов из каждой таблицы.

  • count: возврат количества записей во входном наборе.

  • top: возврат первых N записей, отсортированных по указанным столбцам.

  • limit: возврат не более указанного числа строк.

  • project: выбор столбцов для включения, переименования или удаления и вставка новых вычисляемых столбцов.

  • extend: создание вычисляемых столбцов и их добавление в результирующий набор.

  • makeset: возврат динамического массива (JSON) с набором различных значений, которые выражение Expr принимает в группе.

  • find: поиск строк, соответствующих предикату, в наборе таблиц.

  • adx() — эта функция выполняет межресурсные запросы источников данных Azure Data Explorer из интерфейса охоты Microsoft Sentinel и Log Analytics. Дополнительные сведения см. в статье Запросы между несколькими ресурсами Azure Data Explorer с использованием Azure Monitor.