Genomföra proaktiv hotjakt från slutpunkt till slutpunkt i Microsoft Sentinel

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Proaktiv hotjakt är en process där säkerhetsanalytiker söker efter oupptäckta hot och skadliga beteenden. Genom att skapa en hypotes, söka igenom data och verifiera den hypotesen avgör de vad de ska agera på. Åtgärder kan vara att skapa nya identifieringar, ny hotinformation eller att skapa en ny incident.

Använd jaktupplevelsen från slutpunkt till slutpunkt i Microsoft Sentinel för att:

• Proaktiv jakt baserat på specifika MITRE-tekniker, potentiellt skadlig aktivitet, senaste hot eller din egen anpassade hypotes.
• Använd säkerhetsforskaregenererade jaktfrågor eller anpassade jaktfrågor för att undersöka skadligt beteende.
• Utför dina jakter med hjälp av flera flikar med bestående frågor som gör att du kan behålla kontexten över tid.
• Samla in bevis, undersöka UEBA-källor och kommentera dina resultat med hjälp av jaktspecifika bokmärken.
• Samarbeta och dokumentera dina resultat med kommentarer.
• Agera på resultat genom att skapa nya analysregler, nya incidenter, nya hotindikatorer och köra spelböcker.
• Håll reda på dina nya, aktiva och stängda jakter på ett och samma ställe.
• Visa mått baserat på verifierade hypoteser och konkreta resultat.

Viktigt!

Microsoft Sentinel är nu allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Förutsättningar

För att kunna använda jaktfunktionen måste du antingen tilldelas en inbyggd Microsoft Sentinel-roll eller en anpassad Azure RBAC-roll. Här är dina alternativ:

• Tilldela den inbyggda rolltilldelningen för Microsoft Sentinel-deltagare.
  Mer information om roller i Microsoft Sentinel finns i Roller och behörigheter i Microsoft Sentinel.

• Tilldela en anpassad Azure RBAC-roll med rätt behörigheter under Microsoft.SecurityInsights/hunts.
  Mer information om anpassade roller finns i Anpassade roller och avancerad Azure RBAC.

Definiera din hypotes

Att definiera en hypotes är en öppen, flexibel process och kan innehålla alla idéer som du vill validera. Vanliga hypoteser är:

• Misstänkt beteende – Undersöka potentiellt skadlig aktivitet som är synlig i din miljö för att avgöra om en attack inträffar.
• Ny hotkampanj – Leta efter typer av skadlig aktivitet baserat på nyupptäckta hotaktörer, tekniker eller sårbarheter. Detta kan vara något som du har hört talas om i en säkerhetsnyhetsartikel.
• Identifieringsluckor – Öka identifieringstäckningen med hjälp av MITRE ATT&CK-kartan för att identifiera luckor.

Microsoft Sentinel ger dig flexibilitet när du nollar in på rätt uppsättning jaktfrågor för att undersöka din hypotes. När du skapar en jakt initierar du den med förvalda jaktfrågor eller lägger till frågor när du fortsätter. Här följer rekommendationer för förvalda frågor baserat på de vanligaste hypoteserna.

Hypotes – misstänkt beteende

1. För Microsoft Sentinel i Azure-portalen går du till Hothantering och väljer Jakt.
   För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel Hothantering>>Jakt.

2. Välj fliken Frågor . Kör alla frågor för att identifiera potentiellt skadliga beteenden.

3. Välj Kör alla frågor> vänta tills frågorna ska köras. Processen kan ta en stund.

4. Markera Lägg till filterresultat>> avmarkera kryssrutorna "!", "N/A", "-" och "0" Apply >

5. Sortera dessa resultat efter kolumnen Resultatdeltat för att se vad som senast har ändrats. Dessa resultat ger inledande vägledning om jakten.

Hypotes – Ny hotkampanj

Innehållshubben erbjuder hotkampanjer och domänbaserade lösningar för att jaga efter specifika attacker. I följande steg installerar du en av dessa typer av lösningar.

1. Gå till innehållshubben.

2. Installera en hotkampanj eller domänbaserad lösning som Log4J Sårbarhetsidentifiering eller Apache Tomcat.

   

3. När lösningen har installerats går du till Jakt i Microsoft Sentinel.

4. Välj fliken Frågor .

5. Sök efter lösningsnamn eller filtrera efter lösningens källnamn .

6. Välj frågan och Kör frågan.

Hypotes – Identifieringsluckor

MITRE ATT&CK-kartan hjälper dig att identifiera specifika luckor i din identifieringstäckning. Använd fördefinierade jaktfrågor för specifika MITRE ATT&CK-tekniker som utgångspunkt för att utveckla ny identifieringslogik.

1. Gå till sidan MITRE ATT&CK (förhandsversion).

2. Avmarkera objekt i den aktiva listrutan.

3. Välj Jaktfrågor i det simulerade filtret för att se vilka tekniker som har jaktfrågor associerade med dem.

   

4. Välj kortet med önskad teknik.

5. Välj länken Visa bredvid Jaktfrågor längst ned i informationsfönstret. Den här länken tar dig till en filtrerad vy av fliken Frågor på sidan Jakt baserat på den teknik du har valt.

   

6. Välj alla frågor för den tekniken.

Skapa en jakt

Det finns två huvudsakliga sätt att skapa en jakt.

1. Om du började med en hypotes där du valde frågor väljer du listrutan >Jaktåtgärder Skapa ny jakt. Alla frågor som du har valt klonas för den nya jakten.

   

2. Om du inte har bestämt dig för frågor ännu väljer du fliken Jakter (förhandsversion>) Ny jakt för att skapa en tom jakt.

   

3. Fyll i jaktnamnet och valfria fält. Beskrivningen är en bra plats för att verbalisera din hypotes. Menyn Hypoteshämtning är där du anger status för din arbetshypotes.

4. Välj Skapa för att komma igång.

   

Visa jaktinformation

1. Välj fliken Jakter (förhandsversion) för att visa din nya jakt.

2. Välj jaktlänken efter namn för att visa informationen och vidta åtgärder.

   

3. Visa informationsfönstret med Jaktnamn, Beskrivning, Innehåll, Senaste uppdateringstid och Skapandetid.

4. Observera flikarna för frågor, bokmärken och entiteter.

   

Fliken Frågor

Fliken Frågor innehåller jaktfrågor som är specifika för den här jakten. Dessa frågor är kloner av originalen, oberoende av alla andra på arbetsytan. Uppdatera eller ta bort dem utan att påverka din övergripande uppsättning jaktfrågor eller frågor i andra jakter.

Lägga till en fråga i jakten

1. Välj Frågeåtgärder>lägg till frågor som ska jagas
2. Välj de frågor som du vill lägga till.

Köra frågor

1. Välj Kör alla frågor eller välj specifika frågor och välj Kör valda frågor.
2. Välj Avbryt om du vill avbryta frågekörningen när som helst.

Hantera frågor

1. Högerklicka på en fråga och välj något av följande i snabbmenyn:

   • Springa
   • Redigera
   • Klona
   • Ta bort
   • Skapa analysregel

   

   De här alternativen fungerar precis som den befintliga frågetabellen på sidan Jakt , förutom att åtgärderna endast gäller i den här jakten. När du väljer att skapa en analysregel fylls namn, beskrivning och KQL-fråga ifyllt i den nya regeln. En länk skapas för att visa den nya analysregeln som finns under Relaterade analysregler.

   

Visa resultat

Med den här funktionen kan du se jaktfrågeresultat i Log Analytics-sökupplevelsen. Härifrån analyserar du dina resultat, förfinar dina frågor och skapar bokmärken för att registrera information och undersöka enskilda radresultat ytterligare.

1. Välj knappen Visa resultat.
2. Om du pivotleder till en annan del av Microsoft Sentinel-portalen bläddrar du sedan tillbaka till LA-loggsökningsupplevelsen från jaktsidan. Alla dina LA-frågeflikar finns kvar.
3. Dessa LA-frågeflikar går förlorade om du stänger webbläsarfliken. Om du vill spara frågorna på lång sikt måste du spara frågan, skapa en ny jaktfråga eller kopiera den till en kommentar för senare användning i jakten.

Lägga till ett bokmärke

När du hittar intressanta resultat eller viktiga rader med data lägger du till resultaten i jakten genom att skapa ett bokmärke. Mer information finns i Använda jaktbokmärken för dataundersökningar.

1. Välj önskad rad eller rad.

2. Välj Lägg till bokmärke ovanför resultattabellen.

3. Ge bokmärket namnet.

4. Ange kolumnen händelsetid.

5. Mappa entitetsidentifierare.

6. Ange MITRE-taktik och -tekniker.

7. Lägg till taggar och lägg till anteckningar.

   Bokmärkena bevarar de specifika radresultaten, KQL-frågan och tidsintervallet som genererade resultatet.

8. Välj Skapa för att lägga till bokmärket i jakten.

Visa bokmärken

1. Gå till fliken för jaktens bokmärke för att visa dina bokmärken.

   

2. Välj ett önskat bokmärke och utför följande åtgärder:

   • Välj entitetslänkar för att visa motsvarande UEBA-entitetssida.
   • Visa råresultat, taggar och anteckningar.
   • Välj Visa källfråga för att se källfrågan i Log Analytics.
   • Välj Visa bokmärkesloggar för att se bokmärkesinnehållet i logganalysens bokmärkestabell för jakt.
   • Välj knappen Undersök för att visa bokmärket och relaterade entiteter i undersökningsdiagrammet.
   • Välj knappen Redigera för att uppdatera taggar, MITRE-taktiker och -tekniker samt anteckningar.

Interagera med entiteter

1. Gå till fliken Entiteter för jakt för att visa, söka efter och filtrera entiteterna i din jakt. Den här listan genereras från listan över entiteter i bokmärkena. Fliken Entiteter löser automatiskt duplicerade poster.

2. Välj entitetsnamn för att besöka motsvarande UEBA-entitetssida.

3. Högerklicka på entiteten för att vidta åtgärder som är lämpliga för entitetstyperna, till exempel att lägga till en IP-adress i TI eller köra en entitetstypspecifik spelbok.

   

Lägg till kommentarer

Kommentarer är ett utmärkt ställe att samarbeta med kollegor, bevara anteckningar och dokumentresultat.

1. Välj

2. Skriv och formatera kommentaren i redigeringsrutan.

3. Lägg till ett frågeresultat som en länk för medarbetare för att snabbt förstå kontexten.

4. Välj knappen Kommentar för att tillämpa dina kommentarer.

   

Skapa incidenter

Det finns två alternativ för att skapa incidenter vid jakt.

Alternativ 1: Använd bokmärken.

1. Välj ett bokmärke eller bokmärken.

2. Välj knappen Incidentåtgärder.

3. Välj Skapa ny incident eller Lägg till i befintlig incident

   

   • För Skapa ny incident följer du de guidade stegen. Fliken Bokmärken fylls i i förväg med dina valda bokmärken.
   • För Lägg till i befintlig incident väljer du incidenten och väljer knappen Acceptera .

Alternativ 2: Använd jaktåtgärderna.

1. Välj menyn Hunts Actions ( >Åtgärder) Skapa incident och följ de guidade stegen.

   

2. Under steget Lägg till bokmärken använder du åtgärden Lägg till bokmärke för att välja bokmärken från jakten för att lägga till incidenten. Du är begränsad till bokmärken som inte har tilldelats till en incident.

3. När incidenten har skapats länkas den under listan Relaterade incidenter för den jakten.

Uppdatera status

1. När du har samlat in tillräckligt med bevis för att verifiera eller ogiltigförklara hypotesen uppdaterar du hypotestillståndet.

   

2. När alla åtgärder som är associerade med jakten är slutförda, till exempel att skapa analysregler, incidenter eller lägga till indikatorer för kompromisser (IOCs) i TI, stänger du jakten.

   

Dessa statusuppdateringar visas på huvudsidan jakt och används för att spåra mått.

Spåra mått

Spåra konkreta resultat från jaktaktivitet med hjälp av måttfältet på fliken Jakter . Mått visar antalet verifierade hypoteser, nya incidenter som skapats och nya analysregler som skapats. Använd dessa resultat för att ange mål eller fira milstolpar i ditt jaktprogram.

Nästa steg

I den här artikeln har du lärt dig hur du kör en jaktundersökning med jaktfunktionen i Microsoft Sentinel.

Mer information finns i:

• Jaga efter hot med Microsoft Sentinel
• Förstå funktionerna för incidentundersökning och ärendehantering i Microsoft Sentinel
• Navigera och undersöka incidenter