Microsoft Sentinel 的威脅搜捕
身為安全性分析師和調查人員,您需要主動尋找安全性威脅,但您的各種系統和安全性設備會產生龐大的資料量,而難以剖析和篩選為有意義的事件。 Microsoft Sentinel 具有功能強大的搜捕搜尋和查詢工具,可以在組織的資料來源中搜捕安全性威脅。 為了協助安全性分析師主動尋找安全性應用程式或甚至是排程分析規則所偵測到的新異常狀況,內建搜捕查詢會引導您詢問正確的問題,以找出您網路上既有資料中的問題。
例如,一個現成查詢會提供基礎結構上所執行最不常見程序的相關資料。 每次執行警示時,您都不想收到警示。 他們可能完全無關緊要。 但您可能會想要查看查詢,以查看是否有任何不尋常的項目。
重要
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
Microsoft Sentinel 的搜捕 (預覽)
透過 Microsoft Sentinel 的搜捕,藉由建立假設、搜尋資料、驗證該假設,以及在需要時採取行動,尋找未偵測到的威脅和惡意行為。 根據您的發現建立新的分析規則、威脅情報和事件。
| Capabilities | 描述 |
|---|---|
| 定義假設 | 若要定義假設,請從 MITRE 對應、最近的搜捕查詢結果、內容中樞解決方案,或產生您自己的自訂搜捕來尋找靈感。 |
| 調查查詢和書籤結果 | 定義假設之後,請移至 [搜捕] 頁面 [查詢] 索引標籤。選取與假設相關的查詢以及要開始的新搜捕。 執行搜捕相關查詢,並使用記錄體驗來調查結果。 將結果直接加入搜捕的書籤,以標註結果、擷取實體標識碼,並保留相關的查詢。 |
| 調查並採取動作 | 使用 UEBA 實體頁面更深入地調查。 在書籤實體上執行實體特定的劇本。 使用內建動作,根據結果建立新的分析規則、威脅指標和事件。 |
| 追蹤您的結果 | 記錄搜捕的結果。 追蹤您的假設是否已經過驗證。 在註解中留下詳細的記事。 搜捕會自動連結新的分析規則和事件。 使用計量列追蹤搜捕計劃的整體影響。 |
若要開始使用,請參閱 在 SentinelMicrosoft 進行端對端主動式威脅搜捕。
搜捕查詢
在 Microsoft Sentinel 中,選取 [搜捕]>[查詢] 索引標籤以執行全部查詢或選取的子集。 [查詢] 索引標籤會列出從內容中樞 使用安全性解決方案安裝的全部搜捕查詢,以及您建立或修改的任何額外查詢。 每個查詢都會提供其搜捕內容的描述,以及其執行的資料種類。 這些查詢會依 MITRE ATT&CK 策略分組。 右側的圖示會分類威脅類型,例如初始存取、持續性和外流。 MITRE ATT&CK 技術會顯示在 [技術] 資料行中,並描述搜捕查詢所識別的特定行為。
使用查詢索引標籤來查看結果計數、尖峰或結果計數在 24 小時內的變更,以識別開始搜捕的位置。 依我的最愛、資料來源、MITRE ATT&CK 策略或技術、結果、結果差異或結果差異百分比排序並進行篩選。 檢視仍需資料來源連線的查詢,並取得如何啟用這些查詢的建議。
下列資料表說明搜捕儀表板中可用的詳細動作:
| 動作 | 描述 |
|---|---|
| 查看查詢如何套用至您的環境 | 選取 [執行所有查詢] 按鈕,或使用每個資料列左邊的核取方塊選取查詢子集,然後選取 [執行選取的查詢] 按鈕。 執行查詢可能需要幾秒鐘到數分鐘的時間,視選取的查詢數目、時間範圍和查詢的資料量而定。 |
| 檢視傳回結果的查詢 | 執行查詢之後,請使用 [結果] 篩選來檢視傳回結果的查詢: - 排序以查看哪些查詢有最多或最少的結果。 - 在 [結果] 篩選條件中選取 [N/A],以檢視環境中完全不在作用中的查詢。 - 將滑鼠停留在資訊圖示 (i) N/A 旁,以查看此查詢使用中所需的資料來源。 |
| 識別資料中的尖峰 | 藉由排序或篩選 [結果差異] 或 [結果差異百分比] 來識別資料尖峰。 比較過去 24 小時的結果與前 24 至 48 小時的結果,並反白顯示磁碟區中任何大型的差異或相對差異。 |
| 檢視對應至 MITRE ATT&CK 策略的查詢 | 在資料表頂端的 MITRE ATT&CK 策略列會列出有多少個查詢對應到每個 MITRE ATT&CK 策略。 策略列會根據目前套用的篩選集動態更新。 讓您查看當您依指定的結果計數、高結果差異、[N/A] 結果或任何其他一組篩選條件進行篩選時,會顯示哪些 MITRE ATT&CK 策略。 |
| 檢視對應至 MITRE ATT&CK 技術的查詢 | 查詢也可以對應至 MITRE ATT&CK 技術。 您可以使用 [技術] 篩選來篩選或排序 MITRE ATT&CK 技術。 您可以開啟查詢,藉此選取技術,以查看技術的 MITRE ATT&CK 描述。 |
| 將查詢儲存至我的最愛 | 每次存取 搜捕 頁面時,都會自動執行儲存至我的最愛的查詢。 您可以建立自己的搜捕查詢或複製並自訂現有的搜捕查詢範本。 |
| 執行查詢 | 在搜捕查詢詳細資料頁面中選取 [執行查詢],直接從搜捕頁面執行查詢。 相符專案的數目會顯示在資料表的 [結果] 資料行中。 檢閱搜捕查詢的清單及其相符專案。 |
| 檢閱基礎查詢 | 在 [查詢詳細資料] 窗格中執行基礎查詢的快速檢閱。 您可以按一下 [檢視查詢結果] 連結 (查詢視窗下方) 或 [檢視結果] 按鈕 (位於窗格底部) 來查看結果。 查詢將會在 [記錄] (Log Analytics) 頁面中開啟,您可以在查詢下方檢閱查詢的相符項目。 |
在入侵之前、期間和之後使用查詢,以採取下列動作:
發生事件之前:等待偵測並不足夠。 執行與您至少一週內嵌至工作區一次的資料相關的任何威脅搜捕查詢,以採取主動式動作。
主動式搜捕的結果會提供事件的早期深入解析,這些事件可能會確認入侵正在進行中,或至少會顯示環境中有風險且需要注意的較弱區域。
入侵期間:使用即時串流持續執行特定查詢,並在結果出現時呈現結果。 當您需要主動監視使用者事件時,請使用即時串流,例如,如果您需要確認是否仍發生特定入侵,以協助判斷威脅執行者的下一個動作,以及到調查結束時確認入侵確實已結束。
入侵之後:發生入侵或事件之後,請務必改善您的涵蓋範圍和深入解析,以避免未來發生類似的事件。
根據您從入侵或事件獲得的深入解析,修改現有的查詢或建立新查詢以協助早期偵測。
若您發現或建立的搜捕查詢可提供可能攻擊的寶貴見解,則根據您的查詢建立自訂偵測規則,以及將這些見解當作警示,向您的安全性事件回應程式呈現。
檢視查詢的結果,然後選取 [新警示規則]>[建立 Microsoft Sentinel 警示]。 使用 [Analytics 規則精靈] 根據查詢建立新的規則。 如需詳細資訊,請參閱建立自訂分析規則以偵測威脅。
您也可以針對儲存在 Azure 資料總管中的資料建立搜捕和即時串流查詢。 如需詳細資訊,請參閱 Azure 監視器文件中建構跨資源查詢的詳細資料。
若要尋找更多查詢和資料來源,請移至 Microsoft Sentinel 中的內容中樞,或參閱 Microsoft Sentinel GitHub 存放庫等社群資源。
現成的搜捕查詢
許多安全性解決方案包括現成的搜捕查詢。 安裝包含從內容中樞搜捕查詢的解決方案之後,該解決方案的現成查詢會顯示在搜捕 [查詢] 索引標籤上。查詢會在記錄資料表 (例如適用於建立程序、DNS 事件或其他事件類型) 中儲存的資料上執行。
許多可用的搜捕查詢是由 Microsoft 安全性研究人員持續開發。 他們會將新的查詢新增至安全性解決方案,並微調現有的查詢,以提供您尋找新偵測和攻擊的進入點。
自訂搜捕查詢
建立或編輯查詢,並將其儲存為您自己的查詢,或與位於相同租用戶中的使用者共用查詢。 在 Microsoft Sentinel 中,從 [搜捕]>[查詢] 索引標籤建立自訂搜捕查詢。
如需詳細資訊,請參閱在 Microsoft Sentinel 中建立自訂搜捕查詢。
即時資料流工作階段
建立互動式工作階段,以便在事件發生時測試新建立的查詢、在找到相符項目時取得工作階段通知,並視需要啟動調查。 您可使用任何 Log Analytics 查詢,以快速建立即時資料流工作階段。
在事件發生時測試新建立的查詢
您可測試及調整查詢,以免與事件現正套用的目前規則衝突。 確認這些新查詢依預期運作後,則可選取將工作階段提升為警示的選項,將其輕鬆升階為自訂警示規則。
在發生威脅時取得通知
您可比較威脅資料摘要與彙總記錄資料,並在找到相符項目時取得通知。 威脅資料摘要是與潛在威脅或當前威脅相關的持續性資料流,因此通知可能會指出貴組織的潛在威脅。 若要收到潛在問題的通知,並免於維護自訂警示規則的額外負荷,請建立即時資料流工作階段,而不是自訂警示規則。
啟動調查
如果作用中的調查涉及主機或使用者等資產,可在記錄資料中檢視該資產上發生的特定活動或任何活動。 在該活動發生時收到通知。
如需詳細資訊,請參閱在 Microsoft Sentinel 中使用搜捕即時資料流來偵測威脅。
追蹤資料的書籤
威脅搜捕通常需要檢閱大量的記錄資料來尋找惡意行為的證據。 在此過程中,調查人員會尋找他們想要記住、重新瀏覽及分析的事件,以便驗證假說並了解危害的完整來龍去脈。
在搜捕和調查程序期間,您可能會發現有些查詢結果看起來異常或可疑。 將這些項目加入書籤,以在未來參考這些項目,例如在建立或擴充事件以進行調查時。 潛在根本原因、入侵指標或其他值得注意事件等事件,應該以書籤的形式引發。 如果您已加入書籤的重要事件足夠嚴重,若要保證調查,請將其呈報為事件。
在您的結果中,將您要保留的任何資料列核取方塊標記,然後選取 [新增書籤]。 這會為每個標示 (書籤) 的資料列建立記錄,其中包含資料列結果,以及建立結果的查詢。 您可以將自己的標籤和附註新增至每個書籤。
- 有了排程分析規則,您可以使用實體對應來擴充書籤,以擷取多個實體類型和識別碼,以及使用 MITRE ATT&CK 對應來建立特定策略與技術的關聯。
- 書籤預設會使用與產生書籤結果搜捕查詢相同的實體和 MITRE ATT&CK 技術對應。
按一下主要 [搜捕] 頁面中的 [書籤] 索引標籤,藉此檢視所有已加入書籤的結果。 將標籤新增至書籤,以分類標籤來進行篩選。 例如,如果您要調查攻擊活動,則可以為行銷活動建立標籤、將標籤套用至任何相關的書籤,然後根據行銷活動篩選來所有書籤。
選取書籤,然後按一下詳細資料窗格中的 [調查] 來開啟調查體驗,藉此調查單一書籤結果。 使用互動式實體圖表和時間軸,以視覺化的方式來檢視、調查及傳達您的結果。 您也可以直接選取所列出的實體,以檢視該實體的對應實體頁面。
您也可以從一或多個書籤建立事件,或將一或多個書籤新增至現有的事件。 選取您所需使用任何書籤左側的核取方塊,然後選取 [事件動作]>[建立新事件] 或 [新增至現有事件]。 如同任何其他事件一樣,分級並調查事件。
直接在 Log Analytics 工作區的 HuntingBookmark 資料表中檢視已加入書籤的資料。 例如:
以資料表檢視書籤可讓您篩選、總結和聯結加入書籤的資料與其他資料來源,以便尋找相互關聯的證據。
若要開始使用書籤,請參閱使用 Microsoft Sentinel 在搜捕時持續追蹤資料。
提供調查能力的筆記本
當您的搜捕和調查變得更複雜時,請使用 Microsoft Sentinel 筆記本,透過機器學習、視覺效果和資料分析來增強您的活動。
筆記本提供一種虛擬沙箱,以自己的核心完成,您可以在其中執行完整的調查。 您的筆記本可以包含未經處理資料、您在該資料上執行的程式碼、結果及其視覺效果。 儲存您的筆記本,以便與其他人共用,從而在組織中重複使用。
您的搜捕或調查變得太大而不易記住、檢視詳細資料,或當您需要儲存查詢和結果時,筆記本可能會很有用。 為了協助您建立和共用筆記本,Microsoft Sentinel 提供 Jupyter Notebook、開放原始碼、互動式開發和資料操作環境,直接整合到 Microsoft Sentinel [筆記本] 頁面中。
如需詳細資訊,請參閱
下表描述使用 Jupyter 筆記本的一些方法,以協助您在 Microsoft Sentinel 中的程序:
| 方法 | 描述 |
|---|---|
| 資料持續性、可重複性和回溯 | 如果您正在處理許多查詢和結果集,則可能會有一些死結。 您必須決定要保留的查詢和結果,以及如何在單一報告中累積有用的結果。 使用 Jupyter Notebook 在使用時儲存查詢和資料,使用變數重新執行具有不同值或日期的查詢,或儲存查詢以在未來調查時重新執行。 |
| 指令碼和程式設計 | 使用 Jupyter Notebook 將程式設計新增至查詢,包括: - 宣告式語言,例如 Kusto 查詢語言 (KQL) 或 SQL,以單一而可能複雜的陳述式編碼邏輯。 - 程序性程式設計語言,以一系列步驟執行邏輯。 將您的邏輯分割成多個步驟,協助您查看和偵錯中繼結果、新增在查詢語言中可能無法使用的功能,並在稍後的處理步驟中重複使用部分結果。 |
| 外部資料的連結 | 雖然 Microsoft Sentinel 資料表具有大部分的遙測和事件資料,但 Jupyter Notebook 可以連結至透過您的網路或從檔案中存取的任何資料。 使用 Jupyter Notebook 可讓您包含下列資料,例如: - 您所未擁有外部服務中的資料,例如地理位置資料或威脅情報來源 - 僅儲存在貴組織內的敏感性資料,例如人力資源資料庫或高價值資產清單 - 您尚未移轉至雲端的資料。 |
| 特製化資料處理、機器學習和視覺效果工具 | Jupyter Notebook 提供額外的視覺效果、機器學習程式庫,以及資料處理和轉換功能。 例如,使用 Jupyter Notebook 搭配下列 Python 功能: - 用於資料處理、清除和工程的 pandas - 適用於視覺效果的 Matplotlib、HoloViews 和 Plotly - 適用於進階數值和科學處理的 NumPy 和 SciPy - 適用於機器學習的 scikit-learn - 適用於行深度學習的 TensorFlow、PyTorch 和 Keras 提示:Jupyter Notebook 支援多種語言核心。 您可以允許使用其他語言執行個別資料格,藉此使用 magic 來混用相同筆記本中的語言。 例如,您可以使用 PowerShell 指令碼資料格來擷取資料、處理 Python 中的資料,以及使用 JavaScript 來呈現視覺效果。 |
MSTIC、Jupyter 和 Python 安全性工具
Microsoft 威脅情報中心 (MSTIC) 是 Microsoft 安全性分析師和工程師所組成的小組,負責撰寫數個 Microsoft 平台的安全性偵測,並處理威脅識別和調查。
MSTIC 建置了 MSTICPy,這個程式庫可用於 Jupyter Notebook 中的資訊安全性調查和搜捕。 MSTICPy 提供可重複使用的功能,旨在加速建立筆記本,並讓使用者更輕鬆地在 Microsoft Sentinel 中讀取筆記本。
例如,MSTICPy 可以:
- 查詢多個來源的記錄資料。
- 使用威脅情報、地理位置和 Azure 資源資料來擴充資料。
- 從記錄擷取活動指標 (IoA),並將編碼的資料解壓縮。
- 執行複雜的分析,例如異常工作階段偵測和時間序列分解。
- 使用互動式時間軸、處理樹狀結構及多維度轉化圖表將資料視覺化。
MSTICPy 也包含一些能節省時間的筆記本工具,例如可設定查詢時間界限的小工具、可從清單中選取和顯示項目的小工具,以及可設定筆記本環境的小工具。
如需詳細資訊,請參閱
實用的運算子和函式
搜捕查詢內建在 Kusto 查詢語言 (KQL) 中,這是一種功能強大的查詢語言 (具有 IntelliSense 語言),可大幅加強您進行搜捕所需的強大功能和彈性。
這與您分析規則中的查詢和 Microsoft Sentinel 中其他地方所使用的語言相同。 如需詳細資訊,請參閱查詢語言參考資料。
下列運算子在 Microsoft Sentinel 搜捕查詢中特別有用:
where - 篩選資料表以建立滿足述詞的資料列子集。
summarize - 產生可彙總輸入資料表內容的資料表。
join - 透過比對每個資料表中所指定資料行的值,來合併兩個資料表的資料列,以形成新的資料表。
count - 傳回輸入記錄集的記錄數目。
top - 傳回按指定資料行排序的前 N 個記錄。
limit - 傳回指定的資料列數目。
project - 選取要納入、重新命名或捨棄的資料行,以及插入新的計算資料行。
extend - 建立計算結果欄,並將其附加至結果集。
makeset - 傳回一組相異值的動態 (JSON) 陣列,這些是 Expr 在群組中取得的值
find - 尋找整組資料表中符合述詞的資料列。
adx() - 此函式會從 Microsoft Sentinel 搜捕體驗和記錄分析執行 Azure 資料總管資料來源的跨資源查詢。 如需詳細資訊,請參閱使用 Azure 監視器跨資源查詢 Azure 資料總管。