你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在 Microsoft Sentinel 中执行端到端主动威胁搜寻
主动威胁搜寻是安全分析师查找未检测到的威胁和恶意行为的过程。 他们通过创建假设、搜索数据并验证该假设,来确定要执行哪些操作。 操作可能包括创建新检测、新威胁情报或启动新事件。
使用 Microsoft Sentinel 中的端到端搜寻体验可以:
- 根据特定的 MITRE 技术、潜在的恶意活动、最近的威胁或你自己的自定义假设主动搜寻。
- 使用安全研究人员生成的搜寻查询或自定义搜寻查询来调查恶意行为。
- 使用多个持久化查询选项卡执行搜寻,这些选项卡让你能够随着时间的推移保留上下文。
- 使用搜寻特定书签收集证据、调查 UEBA 源并对发现结果进行批注。
- 进行协作并用注释记录发现结果。
- 通过创建新的分析规则、新事件、新威胁指标和运行 playbook 来处理结果。
- 在一个位置记录新搜寻、进行的搜寻和已结束的搜寻。
- 根据已验证的假设和实际结果查看指标。
重要
Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全运营平台的公共预览版的一部分提供。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
先决条件
若要使用搜寻功能,需要拥有内置的 Microsoft Sentinel 角色或自定义 Azure RBAC 角色。 选项如下:
分配内置的 Microsoft Sentinel 参与者角色分配。
要详细了解 Microsoft Sentinel 中的角色,请参阅 Microsoft Sentinel 中的角色和权限。在 Microsoft.SecurityInsights/hunts 下分配具有相应权限的自定义 Azure RBAC 角色。
若要详细了解自定义角色,请参阅自定义角色和高级 Azure RBAC。
定义假设
定义假设是一个开放式的灵活的过程,可包含你想要验证的任何想法。 常见的假设包括:
- 可疑行为 - 调查环境中可见的潜在恶意活动,以确定是否正在发生攻击。
- 新的威胁活动 - 根据新发现的威胁参与者、技术或漏洞查找恶意活动类型。 你可能在关于安全的新闻文章中听到过这一点。
- 检测间隙 - 使用 MITRE ATT&CK 映射识别缺口来提高检测覆盖率。
通过 Microsoft Sentinel,你可灵活地搜索正确的搜寻查询集来调查你的假设。 创建搜寻时,请使用预先选择的搜寻查询启动它,或者在进行的过程中添加查询。 下面是基于最常见假设的预选查询的建议。
假设 - 可疑行为
对于 Azure 门户中的 Microsoft Sentinel,请在“威胁管理”下选择“搜寻”。
对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“威胁管理”>“搜寻”。选择“查询”选项卡。若要识别潜在的恶意行为,请运行所有查询。
选择“运行所有查询”> 等待查询执行。 此过程可能需要一段时间。
选择“添加筛选器”>“结果”> 取消选择“!”、“不适用”、“-”和“0”值对应的复选框 > 选择“应用”
按“结果增量”列对这些结果进行排序,查看最近更改的内容。 这些结果为搜寻提供了初步指导。
假设 - 新威胁活动
内容中心提供威胁活动和基于域的解决方案来搜寻特定攻击。 在以下步骤中,你将安装其中一种类型的解决方案。
转到“内容中心”。
安装基于威胁活动或域的解决方案,例如“Log4J 漏洞检测”或“Apache Tomcat”。
安装解决方案后,在 Microsoft Sentinel 中转到“搜寻”。
选择“查询”选项卡。
按解决方案名称进行搜索,或按解决方案的“源名称”进行筛选。
选择查询,然后选择“运行查询”。
假设 - 检测覆盖缺口
MITRE ATT&CK 映射可帮助你识别检测覆盖范围中的特定缺口。 使用针对特定 MITRE ATT&CK 技术的预定义搜寻查询作为开发新检测逻辑的起点。
导航到“MITRE ATT&CK(预览)”页面。
取消选择“可用”下拉菜单中的项。
在“模拟”筛选器中选择“搜寻查询”,查看哪些技术具有与之关联的搜寻查询。
选择具有你需要的技术的卡片。
在详细信息窗格底部选择“搜寻查询”旁边的“视图”链接。 此链接将基于所选技术转到“搜寻”页上的“查询”选项卡的筛选视图。
选择该技术的所有查询。
创建搜寻
主要有两种方法来创建搜寻。
如果从已选择查询的假设开始,请选择“搜寻操作”下拉菜单 >“新建搜寻”。 会为此新搜寻克隆你选定的所有查询。
如果尚未决定查询,请选择“搜寻(预览)”选项卡>新建搜寻”来创建空白搜寻。
填写搜寻名称和可选字段。 可通过说明来描述你的假设。 可在“假设”下拉菜单设置正在工作的假设的状态。
若要开始,请选择“创建”。
查看搜寻详细信息
选择“搜寻(预览)”选项卡来查看新搜寻。
按名称选择搜寻链接来查看详细信息并执行操作。
查看详细信息窗格,其中包含“搜寻名称”、“说明”、“内容”、“上次更新时间”和“创建时间”。
请注意“查询”、“书签”和“实体”的选项卡。
“查询”选项卡
“查询”选项卡包含特定于此搜寻的搜寻查询。 这些查询是原始查询的克隆,独立于工作区中的所有其他查询。 更新或删除它们不会影响整个搜寻查询集或其他搜寻中的查询。
向搜寻添加查询
- 选择“查询操作”>“向搜寻添加查询”
- 选择要添加的查询。
运行查询
- 选择
“运行所有查询”或选择特定查询”,然后选择 “运行所选查询”。 - 选择
“取消”可随时取消查询执行。
管理查询
右键单击查询,然后从上下文菜单中选择以下选项之一:
- Run
- 编辑
- 克隆
- 删除
- 创建分析规则
这些选项的行为与“搜寻”页中的现有查询表类似,只是操作仅适用于此搜寻。 选择创建分析规则时,会在新规则创建中预填充名称、说明和 KQL 查询。 会创建一个链接,用于查看在“相关分析规则”下找到的新分析规则。
查看结果
通过此功能可在 Log Analytics 搜索体验中查看搜寻查询结果。 在此处分析结果、优化查询并创建书签来记录信息和进一步调查各个行结果。
- 选择“查看结果”按钮。
- 如果转到 Microsoft Sentinel 门户的另一部分,然后从搜寻页浏览回 LA 日志搜索体验,则所有 LA 查询选项卡都会保留。
- 如果关闭浏览器标签页,这些 LA 查询选项卡将丢失。如果要长期保留查询,则需要保存查询、创建新的搜寻查询,或者将其复制到注释中,供以后在搜寻中使用。
添加书签
当发现有趣的结果或重要的数据行时,请通过创建书签将这些结果添加到搜寻中。 有关详细信息,请参阅使用搜寻书签进行数据调查。
选择所需的一行或多行。
在结果表格上方,选择“添加书签”。
为书签命名。
设置事件时间列。
映射实体标识符。
设置 MITRE 策略和技术。
添加标记和备注。
书签会保留生成结果的特定行结果、KQL 查询和时间范围。
选择“创建”,将书签添加到搜寻。
查看书签
导航到搜寻的书签选项卡以查看书签。
选择所需的书签并执行以下操作:
- 选择实体链接来查看相应的 UEBA 实体页。
- 查看原始结果、标记和备注。
- 选择“查看源查询”,查看 Log Analytics 中的源查询。
- 选择“查看书签日志”,查看 Log Analytics 搜寻书签表中的书签内容。
- 选择“调查”按钮,在调查图中查看书签和相关实体。
- 选择“编辑”按钮来更新标记、MITRE 策略和技术以及备注。
与实体交互
导航到搜寻的“实体”选项卡,查看、搜索和筛选搜寻中包含的实体。 此列表是根据书签中的实体列表生成的。 “实体”选项卡会自动解决重复的条目。
选择实体名称来访问相应的 UEBA 实体页。
右键单击实体来执行适用于实体类型的操作,例如将 IP 地址添加到 TI 或运行特定于实体类型的 playbook。
添加注释
可通过注释来与同事协作、保留备注和记录发现结果。
选择
在编辑框中键入注释并设置其格式。
以链接形式添加查询结果,供协作者快速了解上下文。
选择“注释”按钮来应用注释。
创建事件
有两个选项用来在搜寻时创建事件。
选项 1:使用书签。
选择一个或多个书签。
选择“事件操作”按钮。
选择“创建新事件”或“添加到现有事件”
- 若要创建新事件,请按照指导步骤。 书签选项卡预填充了所选书签。
- 若要添加到现有事件,请依次选择事件和“接受”按钮。
选项 2:使用搜寻操作。
选择搜寻的“操作”菜单 >“创建事件”,然后按照指导步骤进行操作。
在“添加书签”步骤中,使用“添加书签”操作从搜寻中选择要添加到事件的书签。 只能查看未分配到事件的书签。
创建事件后,它将链接到该搜寻的“相关事件”列表下。
更新状态
如果已捕获足够的证据来验证或否定假设,请更新假设状态。
完成与搜寻关联的所有操作(例如创建分析规则、事件或添加入侵指标 [IOC] TI)后,请关闭搜寻。
这些状态更新在主搜寻页上可见,它们用于跟踪指标。
跟踪指标
使用“搜寻”选项卡中的指标栏跟踪搜寻活动的实际结果。指标显示已验证的假设数、创建的新事件和创建的新分析规则。 使用这些结果来设置目标或庆祝到达搜寻计划的里程碑。
后续步骤
本文介绍了如何使用 Microsoft Sentinel 中的搜寻功能来运行搜寻调查。
有关详细信息,请参阅: