Hotjakt i Microsoft Sentinel
Som säkerhetsanalytiker och utredare vill du vara proaktiv när det gäller att leta efter säkerhetshot, men dina olika system och säkerhetsutrustning genererar berg av data som kan vara svåra att parsa och filtrera till meningsfulla händelser. Microsoft Sentinel har kraftfulla sök- och frågeverktyg för jakt efter säkerhetshot i organisationens datakällor. För att hjälpa säkerhetsanalytiker att proaktivt leta efter nya avvikelser som inte identifieras av dina säkerhetsappar eller till och med av dina schemalagda analysregler, hjälper jaktfrågor dig att ställa rätt frågor för att hitta problem i de data som du redan har i nätverket.
En out of the box-fråga innehåller till exempel data om de mest ovanliga processerna som körs i infrastrukturen. Du vill inte ha en avisering varje gång de körs. De kan vara helt oskyldiga. Men du kanske vill ta en titt på frågan ibland för att se om det finns något ovanligt.
Viktigt!
Microsoft Sentinel är tillgängligt som en del av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Microsoft Sentinel i Defender-portalen stöds nu för produktionsanvändning. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Jakter i Microsoft Sentinel (förhandsversion)
Med jakter i Microsoft Sentinel kan du söka efter oupptäckta hot och skadliga beteenden genom att skapa en hypotes, söka igenom data, verifiera den hypotesen och agera när det behövs. Skapa nya analysregler, hotinformation och incidenter baserat på dina resultat.
| Funktioner | beskrivning |
|---|---|
| Definiera en hypotes | För att definiera en hypotes kan du hitta inspiration från MITRE-kartan, de senaste jaktfrågeresultaten, lösningar för innehållshubben eller generera egna anpassade jakter. |
| Undersöka frågor och bokmärkesresultat | När du har definierat en hypotes går du till fliken Frågor på jaktsidan. Välj de frågor som är relaterade till din hypotes och Ny jakt för att komma igång. Kör jaktrelaterade frågor och undersöka resultaten med hjälp av loggupplevelsen. Bokmärkesresultat direkt till din jakt för att kommentera dina resultat, extrahera entitetsidentifierare och bevara relevanta frågor. |
| Undersöka och vidta åtgärder | Undersök ännu djupare med hjälp av UEBA-entitetssidor. Kör entitetsspecifika spelböcker på bokmärkta entiteter. Använd inbyggda åtgärder för att skapa nya analysregler, hotindikatorer och incidenter baserat på resultat. |
| Spåra dina resultat | Registrera resultatet av din jakt. Spåra om din hypotes har verifierats eller inte. Lämna detaljerade anteckningar i kommentarerna. Hunts länkar automatiskt nya analysregler och incidenter. Spåra den övergripande effekten av ditt jaktprogram med måttfältet. |
Information om hur du kommer igång finns i Genomföra proaktiv hotjakt från slutpunkt till slutpunkt i Microsoft Sentinel.
Jaktfrågor
I Microsoft Sentinel väljer du fliken Jaktfrågor> för att köra alla dina frågor eller en vald delmängd. På fliken Frågor visas alla jaktfrågor som är installerade med säkerhetslösningar från innehållshubben och eventuella extra frågor som du har skapat eller ändrat. Varje fråga innehåller en beskrivning av vad den jagar efter och vilken typ av data den körs på. Dessa frågor grupperas efter deras MITRE ATT&CK-taktik. Ikonerna till höger kategoriserar typen av hot, till exempel inledande åtkomst, beständighet och exfiltrering. MITRE ATT&CK-tekniker visas i kolumnen Tekniker och beskriver det specifika beteende som identifieras av jaktfrågan.
Använd fliken frågor för att identifiera var du ska börja jaga, genom att titta på resultatantal, toppar eller ändring i resultatantal under en 24-timmarsperiod. Sortera och filtrera efter favoriter, datakälla, MITRE ATT&CK-taktik eller -teknik, resultat, deltaresultat eller resultatdeltaprocent. Visa frågor som fortfarande behöver datakällor anslutna och få rekommendationer om hur du aktiverar dessa frågor.
I följande tabell beskrivs detaljerade åtgärder som är tillgängliga från jaktinstrumentpanelen:
| Åtgärd | beskrivning |
|---|---|
| Se hur frågor gäller för din miljö | Välj knappen Kör alla frågor eller välj en delmängd frågor med kryssrutorna till vänster om varje rad och välj knappen Kör valda frågor. Det kan ta allt från några sekunder till många minuter att köra dina frågor, beroende på hur många frågor som väljs, tidsintervallet och mängden data som efterfrågas. |
| Visa de frågor som returnerade resultat | När dina frågor har körts kan du visa de frågor som returnerade resultat med hjälp av resultatfiltret : – Sortera för att se vilka frågor som hade flest eller minst resultat. – Visa de frågor som inte alls är aktiva i din miljö genom att välja N/A i resultatfiltret . – Hovra över informationsikonen (i) bredvid N/A för att se vilka datakällor som krävs för att göra den här frågan aktiv. |
| Identifiera toppar i dina data | Identifiera toppar i data genom att sortera eller filtrera efter resultatdelta eller resultatdeltaprocent. Jämför resultatet för de senaste 24 timmarna med resultaten från de föregående 24–48 timmarna, vilket visar eventuella stora skillnader eller relativa skillnader i volymen. |
| Visa frågor som mappats till MITRE ATT&CK-taktiken | Taktikfältet MITRE ATT&CK, längst upp i tabellen, visar hur många frågor som mappas till varje MITRE ATT&CK-taktik. Taktikfältet uppdateras dynamiskt baserat på den aktuella uppsättningen filter som används. Gör att du kan se vilka MITRE ATT&CK-taktiker som visas när du filtrerar efter ett givet resultatantal, ett delta med högt resultat, N/A-resultat eller någon annan uppsättning filter. |
| Visa frågor som mappats till MITRE ATT&CK-tekniker | Frågor kan också mappas till MITRE ATT&CK-tekniker. Du kan filtrera eller sortera efter MITRE ATT&CK-tekniker med hjälp av teknikfiltret . Genom att öppna en fråga kan du välja tekniken för att se MITRE ATT&CK-beskrivningen av tekniken. |
| Spara en fråga till dina favoriter | Frågor som sparas till dina favoriter körs automatiskt varje gång sidan Jakt öppnas. Du kan skapa en egen jaktfråga eller klona och anpassa en befintlig jaktfrågemall. |
| Köra frågor | Välj Kör fråga på informationssidan för jaktfråga för att köra frågan direkt från jaktsidan. Antalet matchningar visas i tabellen i kolumnen Resultat . Granska listan över jaktfrågor och deras matchningar. |
| Granska en underliggande fråga | Utför en snabb genomgång av den underliggande frågan i frågeinformationsfönstret. Du kan se resultatet genom att klicka på länken Visa frågeresultat (under frågefönstret) eller knappen Visa resultat (längst ned i fönstret). Frågan öppnar sidan Loggar (Log Analytics) och under frågan kan du granska matchningarna för frågan. |
Använd frågor före, under och efter en kompromiss för att vidta följande åtgärder:
Innan en incident inträffar: Det räcker inte att vänta på identifieringar. Vidta proaktiva åtgärder genom att köra hotjaktsfrågor relaterade till de data som du matar in på din arbetsyta minst en gång i veckan.
Resultat från din proaktiva jakt ger tidig insikt i händelser som kan bekräfta att en kompromiss pågår, eller åtminstone visa svagare områden i din miljö som är i riskzonen och behöver uppmärksamhet.
Under en kompromiss: Använd livestream för att köra en specifik fråga hela tiden och presentera resultat när de kommer in. Använd livestream när du aktivt behöver övervaka användarhändelser, till exempel om du behöver kontrollera om en specifik kompromiss fortfarande pågår, för att fastställa en hotskådespelares nästa åtgärd och mot slutet av en undersökning för att bekräfta att kompromissen verkligen är över.
Efter en kompromiss: När en kompromiss eller en incident har inträffat bör du förbättra din täckning och insikt för att förhindra liknande incidenter i framtiden.
Ändra dina befintliga frågor eller skapa nya för att hjälpa till med tidig identifiering, baserat på insikter från din kompromiss eller incident.
Om du har identifierat eller skapat en jaktfråga som ger värdefulla insikter om möjliga attacker skapar du anpassade identifieringsregler baserat på frågan och visar dessa insikter som aviseringar till dina säkerhetsincidenter.
Visa frågans resultat och välj Ny aviseringsregel>Skapa Microsoft Sentinel-avisering. Använd guiden Analysregel för att skapa en ny regel baserat på din fråga. Mer information finns i Skapa anpassade analysregler för att identifiera hot.
Du kan också skapa jakt- och livestream-frågor över data som lagras i Azure Data Explorer. Mer information finns i information om hur du skapar frågor mellan resurser i Azure Monitor-dokumentationen.
Om du vill hitta fler frågor och datakällor går du till innehållshubben i Microsoft Sentinel eller läser communityresurser som Microsoft Sentinel GitHub-lagringsplats.
Frågor om jakt direkt
Många säkerhetslösningar omfattar färdiga jaktfrågor. När du har installerat en lösning som innehåller jaktfrågor från innehållshubben visas de färdiga frågorna för lösningen på fliken Jaktfrågor. Frågor körs på data som lagras i loggtabeller, till exempel för att skapa processer, DNS-händelser eller andra händelsetyper.
Många tillgängliga jaktfrågor utvecklas kontinuerligt av Microsofts säkerhetsforskare. De lägger till nya frågor till säkerhetslösningar och finjusterar befintliga frågor för att ge dig en startpunkt för att leta efter nya identifieringar och attacker.
Anpassade jaktfrågor
Skapa eller redigera en fråga och spara den som en egen fråga eller dela den med användare som finns i samma klientorganisation. I Microsoft Sentinel skapar du en anpassad jaktfråga från fliken Jaktfrågor>.
Mer information finns i Skapa anpassade jaktfrågor i Microsoft Sentinel.
Livestream-sessioner
Skapa interaktiva sessioner som låter dig testa nyligen skapade frågor när händelser inträffar, få meddelanden från sessionerna när en matchning hittas och starta undersökningar om det behövs. Du kan snabbt skapa en livestream-session med hjälp av en Log Analytics-fråga.
Testa nyligen skapade frågor när händelser inträffar
Du kan testa och justera frågor utan konflikter med aktuella regler som tillämpas aktivt på händelser. När du har bekräftat att de nya frågorna fungerar som förväntat är det enkelt att höja upp dem till anpassade aviseringsregler genom att välja ett alternativ som höjer sessionen till en avisering.
Få ett meddelande när hot inträffar
Du kan jämföra hotdataflöden med aggregerade loggdata och meddelas när en matchning inträffar. Hotdataflöden är pågående dataströmmar som är relaterade till potentiella eller aktuella hot, så meddelandet kan tyda på ett potentiellt hot mot din organisation. Skapa en livestream-session i stället för en anpassad aviseringsregel som ska meddelas om ett potentiellt problem utan att behöva underhålla en anpassad aviseringsregel.
Starta undersökningar
Om det finns en aktiv undersökning som involverar en tillgång, till exempel en värd eller användare, kan du visa specifik (eller någon) aktivitet i loggdata när den inträffar på den tillgången. Meddelas när den aktiviteten inträffar.
Mer information finns i Identifiera hot med hjälp av jakt-livestream i Microsoft Sentinel.
Bokmärken för att hålla reda på data
Hotjakt kräver vanligtvis granskning av berg av loggdata som letar efter bevis på skadligt beteende. Under den här processen hittar utredare händelser som de vill komma ihåg, gå tillbaka till och analysera som en del av valideringen av potentiella hypoteser och förstå hela historien om en kompromiss.
Under jakt- och undersökningsprocessen kan du stöta på frågeresultat som ser ovanliga eller misstänkta ut. Bokmärke dessa objekt för att referera tillbaka till dem i framtiden, till exempel när du skapar eller berikar en incident för undersökning. Händelser som potentiella rotorsaker, indikatorer för kompromettering eller andra viktiga händelser bör genereras som ett bokmärke. Om en nyckelhändelse som du har bokmärkt är tillräckligt allvarlig för att motivera en undersökning eskalerar du den till en incident.
Markera kryssrutorna för alla rader som du vill bevara i dina resultat och välj Lägg till bokmärke. Detta skapar för en post för varje markerad rad, ett bokmärke, som innehåller radresultatet och frågan som skapade resultatet. Du kan lägga till egna taggar och anteckningar i varje bokmärke.
- Precis som med schemalagda analysregler kan du utöka dina bokmärken med entitetsmappningar för att extrahera flera entitetstyper och identifierare samt MITRE ATT&CK-mappningar för att associera specifika taktiker och tekniker.
- Bokmärken använder som standard samma entitets- och MITRE ATT&CK-teknikmappningar som jaktfrågan som gav bokmärkta resultat.
Visa alla bokmärkta resultat genom att klicka på fliken Bokmärken på huvudsidan Jakt . Lägg till taggar i bokmärken för att klassificera dem för filtrering. Om du till exempel undersöker en attackkampanj kan du skapa en tagg för kampanjen, tillämpa taggen på eventuella relevanta bokmärken och sedan filtrera alla bokmärken baserat på kampanjen.
Undersök en enda bokmärkessökning genom att välja bokmärket och sedan klicka på Undersök i informationsfönstret för att öppna undersökningsupplevelsen. Visa, undersöka och visuellt kommunicera dina resultat med hjälp av ett interaktivt diagram över entitetsdiagram och tidslinje. Du kan också välja en entitet som visas direkt för att visa entitetens motsvarande entitetssida.
Du kan också skapa en incident från ett eller flera bokmärken eller lägga till ett eller flera bokmärken i en befintlig incident. Markera en kryssruta till vänster om alla bokmärken som du vill använda och välj sedan Incidentåtgärder>Skapa ny incident eller Lägg till i befintlig incident. Sortera och undersöka incidenten som alla andra.
Visa dina bokmärkta data direkt i tabellen HuntingBookmark på Log Analytics-arbetsytan. Till exempel:
Om du visar bokmärken från tabellen kan du filtrera, sammanfatta och koppla bokmärkta data till andra datakällor, vilket gör det enkelt att leta efter bevis som bekräftar dem.
Information om hur du börjar använda bokmärken finns i Hålla reda på data under jakt med Microsoft Sentinel.
Notebook-filer till power investigations
När din jakt och dina undersökningar blir mer komplexa använder du Microsoft Sentinel-notebook-filer för att förbättra din aktivitet med maskininlärning, visualiseringar och dataanalys.
Notebook-filer tillhandahåller en typ av virtuell sandbox-miljö, komplett med en egen kernel, där du kan utföra en fullständig undersökning. Din notebook-fil kan innehålla rådata, den kod som du kör på dessa data, resultaten och deras visualiseringar. Spara dina notebook-filer så att du kan dela dem med andra för återanvändning i din organisation.
Notebook-filer kan vara användbara när din jakt eller undersökning blir för stor för att enkelt komma ihåg, visa information eller när du behöver spara frågor och resultat. För att hjälpa dig att skapa och dela notebook-filer tillhandahåller Microsoft Sentinel Jupyter Notebooks, en miljö med öppen källkod, interaktiv utveckling och datamanipulering, som är integrerad direkt på sidan Microsoft Sentinel Notebooks .
Mer information finns i:
- Använda Jupyter Notebook för att söka efter säkerhetshot
- Dokumentation om Jupyter Project
- Introduktionsdokumentation för Jupyter.
- The Infosec Jupyter Book
- Verkliga Python-självstudier
I följande tabell beskrivs några metoder för att använda Jupyter Notebooks för att hjälpa dina processer i Microsoft Sentinel:
| Metod | beskrivning |
|---|---|
| Datapersistence, repeterbarhet och backtracking | Om du arbetar med många frågor och resultatuppsättningar kommer du förmodligen att ha några återvändsgränder. Du måste bestämma vilka frågor och resultat som ska behållas och hur du ska samla de användbara resultaten i en enda rapport. Använd Jupyter Notebooks för att spara frågor och data allt eftersom, använda variabler för att köra frågor med olika värden eller datum eller spara dina frågor för att köra om framtida undersökningar. |
| Skript och programmering | Använd Jupyter Notebooks för att lägga till programmering i dina frågor, inklusive: - Deklarativa språk som Kusto-frågespråk (KQL) eller SQL för att koda din logik i en enda, möjligen komplex, instruktion. - Programmeringsspråk för procedurer för att köra logik i en serie steg. Dela upp logiken i steg som hjälper dig att se och felsöka mellanliggande resultat, lägga till funktioner som kanske inte är tillgängliga i frågespråket och återanvända partiella resultat i senare bearbetningssteg. |
| Länkar till externa data | Även om Microsoft Sentinel-tabeller har de flesta telemetri- och händelsedata kan Jupyter Notebooks länka till alla data som är tillgängliga via nätverket eller från en fil. Med Hjälp av Jupyter Notebooks kan du inkludera data som: – Data i externa tjänster som du inte äger, till exempel geoplatsdata eller hotinformationskällor – Känsliga data som endast lagras i din organisation, till exempel personaldatabaser eller listor över värdefulla tillgångar – Data som du ännu inte har migrerat till molnet. |
| Specialiserade verktyg för databearbetning, maskininlärning och visualisering | Jupyter Notebooks innehåller fler visualiseringar, maskininlärningsbibliotek och funktioner för databearbetning och transformering. Du kan till exempel använda Jupyter Notebooks med följande Python-funktioner : - pandas för databearbetning, rensning och teknik - Matplotlib, HoloViews och Plotly för visualisering - NumPy och SciPy för avancerad numerisk och vetenskaplig bearbetning - scikit-learn för maskininlärning - TensorFlow, PyTorch och Keras för djupinlärning Tips: Jupyter Notebooks stöder flera språkkärnor. Använd magi för att blanda språk i samma notebook-fil genom att tillåta körning av enskilda celler med ett annat språk. Du kan till exempel hämta data med hjälp av en PowerShell-skriptcell, bearbeta data i Python och använda JavaScript för att återge en visualisering. |
Säkerhetsverktyg för MSTIC, Jupyter och Python
Microsoft Threat Intelligence Center (MSTIC) är ett team av Microsofts säkerhetsanalytiker och tekniker som skapar säkerhetsidentifieringar för flera Microsoft-plattformar och arbetar med hotidentifiering och undersökning.
MSTIC har skapat MSTICPy, ett bibliotek för informationssäkerhetsutredningar och jakt i Jupyter Notebooks. MSTICPy tillhandahåller återanvändbara funktioner som syftar till att påskynda skapandet av notebook-filer och göra det enklare för användare att läsa notebook-filer i Microsoft Sentinel.
MSTICPy kan till exempel:
- Fråga efter loggdata från flera källor.
- Utöka data med hotinformation, geolokaliseringar och Azure-resursdata.
- Extrahera aktivitetsindikatorer (IoA) från loggar och packa upp kodade data.
- Gör avancerade analyser som avvikande sessionsidentifiering och nedbrytning av tidsserier.
- Visualisera data med hjälp av interaktiva tidslinjer, processträd och flerdimensionella morfdiagram.
MSTICPy innehåller även några tidsbesparande notebook-verktyg, till exempel widgetar som anger frågetidsgränser, väljer och visar objekt från listor och konfigurerar notebook-miljön.
Mer information finns i:
- MSTICPy-dokumentation
- Jupyter Notebooks med Microsoft Sentinel-jaktfunktioner
- Avancerade konfigurationer för Jupyter Notebooks och MSTICPy i Microsoft Sentinel
Användbara operatorer och funktioner
Jaktfrågor är inbyggda i Kusto-frågespråk (KQL), ett kraftfullt frågespråk med IntelliSense-språk som ger dig den kraft och flexibilitet du behöver för att ta jakt till nästa nivå.
Det är samma språk som används av frågorna i dina analysregler och på andra platser i Microsoft Sentinel. Mer information finns i Referens för frågespråk.
Följande operatorer är särskilt användbara i Microsoft Sentinel-jaktfrågor:
where – Filtrera en tabell till den delmängd av rader som uppfyller ett predikat.
summarize – Skapa en tabell som aggregerar innehållet i indatatabellen.
join – Sammanfoga raderna i två tabeller för att bilda en ny tabell genom att matcha värdena för de angivna kolumnerna från varje tabell.
count – Returnera antalet poster i indatapostuppsättningen.
top – Returnera de första N-posterna sorterade efter de angivna kolumnerna.
limit – Återgå till det angivna antalet rader.
project – Välj de kolumner som ska inkluderas, byt namn eller släpp och infoga nya beräknade kolumner.
extend – Skapa beräknade kolumner och lägg till dem i resultatuppsättningen.
makeset – Returnera en dynamisk matris (JSON) med den uppsättning distinkta värden som Expr tar i gruppen
find – Hitta rader som matchar ett predikat i en uppsättning tabeller.
adx() – Den här funktionen utför frågor mellan resurser i Azure Data Explorer-datakällor från Microsoft Sentinel-jaktmiljön och Log Analytics. Mer information finns i Frågor mellan resurser i Azure Data Explorer med hjälp av Azure Monitor.
Relaterade artiklar
- Jupyter Notebooks med Microsoft Sentinel-jaktfunktioner
- Hålla reda på data under jakt med Microsoft Sentinel
- Identifiera hot med hjälp av jakt-livestream i Microsoft Sentinel
- Lär dig ett exempel på hur du använder anpassade analysregler när du övervakar Zoom med en anpassad anslutningsapp.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för