Microsoft Sentinel 中的威脅搜捕
身為安全性分析師和調查人員,您想要主動尋找安全性威脅,但您的各種系統和安全性設備會產生難以剖析和篩選成有意義的事件的數據。 Microsoft Sentinel 具有強大的搜尋和查詢工具,可搜尋整個組織數據源的安全性威脅。 為了協助安全性分析師主動尋找安全性應用程式或甚至排程分析規則未偵測到的新異常,搜捕查詢會引導您詢問正確的問題,以找出您網路上已有數據的問題。
例如,其中一個現成的查詢會提供基礎結構上執行之最不常見進程的相關數據。 每次執行警示時,您都不想收到警示。 他們可能是完全無辜的。 但您可能會想要查看查詢,以查看是否有任何不尋常的專案。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
Microsoft Sentinel 中的亨特 (預覽)
透過 Microsoft Sentinel 中的搜尋,藉由建立假設、搜尋數據、驗證該假設,以及在需要時採取行動,尋找未偵測到的威脅和惡意行為。 根據您的發現建立新的分析規則、威脅情報和事件。
| Capabilities | 描述 |
|---|---|
| 定義假設 | 若要定義假設,請從 MITRE 地圖、最近的搜捕查詢結果、內容中樞解決方案,或產生您自己的自定義搜捕來尋找靈感。 |
| 調查查詢和書籤結果 | 定義假設之後,請移至 [搜捕] 頁面 [查詢 ] 索引卷標。選取與假設相關的查詢和 [新增搜捕 ] 以開始使用。 執行搜捕相關查詢,並使用記錄體驗來調查結果。 將結果直接加入搜尋的書籤,以標註結果、擷取實體標識碼,並保留相關的查詢。 |
| 調查並採取動作 | 使用 UEBA 實體頁面更深入地調查。 在書籤實體上執行實體特定的劇本。 使用內建動作,根據結果建立新的分析規則、威脅指標和事件。 |
| 追蹤您的結果 | 記錄搜尋的結果。 追蹤您的假設是否已經過驗證。 在批注中留下詳細的附註。 搜捕會自動連結新的分析規則和事件。 使用計量列追蹤搜捕計劃的整體影響。 |
若要開始使用,請參閱 在 Microsoft Sentinel 中進行端對端主動式威脅搜捕。
搜捕查詢
在 Microsoft Sentinel 中,選取 [搜捕>查詢] 索引卷標以執行所有查詢,或選取的子集。 [查詢] 索引標籤會列出從內容中樞隨安全性解決方案一起安裝的所有搜捕查詢,以及您建立或修改的任何額外查詢。 每個查詢都會提供其搜捕內容的描述,以及其執行的資料種類。 這些查詢會依 MITRE ATT&CK 策略分組。 右側的圖示會分類威脅類型,例如初始存取、持續性和外流。 MITRE ATT&CK 技術會顯示在 [技術] 資料行中,並描述搜捕查詢所識別的特定行為。
使用 [查詢] 索引卷標,藉由查看結果計數、尖峰或結果計數在 24 小時內變更,來識別開始搜捕的位置。 依我的最愛、資料來源、MITRE ATT&CK 策略或技術、結果、結果差異或結果差異百分比排序並進行篩選。 檢視仍需資料來源連線的查詢,並取得如何啟用這些查詢的建議。
下列資料表說明搜捕儀表板中可用的詳細動作:
| 動作 | 描述 |
|---|---|
| 查看查詢如何套用至您的環境 | 選取 [執行所有查詢] 按鈕,或使用每個資料列左邊的核取方塊選取查詢子集,然後選取 [執行選取的查詢] 按鈕。 執行查詢可能需要幾秒鐘到數分鐘的時間,視選取的查詢數目、時間範圍和查詢的資料量而定。 |
| 檢視傳回結果的查詢 | 執行查詢之後,請使用 [結果] 篩選來檢視傳回結果的查詢: - 排序以查看哪些查詢有最多或最少的結果。 - 在 [結果] 篩選中選取 [N/A],以檢視環境中完全不在作用中的查詢。 - 將滑鼠停留在資訊圖示 (i) N/A 旁,以查看此查詢使用中所需的資料來源。 |
| 識別資料中的尖峰 | 藉由排序或篩選 [結果差異] 或 [結果差異百分比] 來識別資料尖峰。 比較過去 24 小時的結果與前 24-48 小時的結果,反白顯示磁碟區中任何大型差異或相對差異。 |
| 檢視對應至 MITRE ATT&CK 策略的查詢 | 在資料表頂端的 MITRE ATT&CK 策略列會列出有多少個查詢對應到每個 MITRE ATT&CK 策略。 策略列會根據目前套用的篩選集動態更新。 可讓您查看依指定結果計數、高結果差異、 N/A 結果或任何其他篩選集篩選時,會顯示哪些 MITRE ATT&CK 策略。 |
| 檢視對應至 MITRE ATT&CK 技術的查詢 | 查詢也可以對應至 MITRE ATT&CK 技術。 您可以使用 [技術] 篩選來篩選或排序 MITRE ATT&CK 技術。 藉由開啟查詢,您可以選取技術以查看技術的 MITRE ATT&CK 描述。 |
| 將查詢儲存至我的最愛 | 每次存取 搜捕 頁面時,都會自動執行儲存至我的最愛的查詢。 您可以建立自己的搜捕查詢或複製並自訂現有的搜捕查詢範本。 |
| 執行查詢 | 在搜捕查詢詳細資料頁面中選取 [執行查詢],直接從搜捕頁面執行查詢。 相符專案的數目會顯示在資料表的 [結果] 資料行中。 檢閱搜捕查詢的清單及其相符專案。 |
| 檢閱基礎查詢 | 在 [查詢詳細資料] 窗格中執行基礎查詢的快速檢閱。 您可以按一下 [檢視查詢結果] 連結 (查詢視窗下方) 或 [檢視結果] 按鈕 (位於窗格底部) 來查看結果。 查詢會開啟 [記錄 ] (Log Analytics) 頁面,並在查詢下方檢閱查詢的相符專案。 |
在入侵之前、期間和之後使用查詢,以採取下列動作:
發生事件之前:等候偵測是不夠的。 執行與您至少一週內嵌至工作區一次的資料相關的任何威脅搜捕查詢,以採取主動式動作。
主動式搜捕的結果提供事件早期深入解析,這些事件可能會確認入侵正在進行中,或至少顯示環境中處於風險且需要注意的較弱區域。
在入侵期間:使用 即時串流 持續執行特定查詢,並在結果出現時呈現結果。 當您需要主動監視使用者事件時,請使用即時串流,例如,如果您需要確認是否仍發生特定入侵,以協助判斷威脅執行者的下一個動作,以及到調查結束時確認入侵確實已結束。
入侵之後:在入侵或事件發生之後,請務必改善您的涵蓋範圍和見解,以防止未來發生類似的事件。
修改現有的查詢,或建立新的查詢,以根據您入侵或事件獲得的深入解析,協助進行早期偵測。
如果您探索或建立搜捕查詢來提供可能攻擊的高價值見解,請根據該查詢建立自定義偵測規則,並將這些見解呈現為安全性事件回應者的警示。
檢視查詢的結果,然後選取 [新警示規則]>[建立 Microsoft Sentinel 警示]。 使用 [Analytics 規則精靈] 根據查詢建立新的規則。 如需詳細資訊,請參閱 建立自定義分析規則來偵測威脅。
您也可以針對儲存在 Azure 資料總管中的資料建立搜捕和即時串流查詢。 如需詳細資訊,請參閱 Azure 監視器文件中建構跨資源查詢的詳細資料。
若要尋找更多查詢和數據源,請移至 Microsoft Sentinel 中的內容中樞,或參考 Microsoft Sentinel GitHub 存放庫等社群資源。
現用的搜捕查詢
許多安全性解決方案包括現用的搜捕查詢。 安裝包含內容中 樞搜捕查詢的解決方案之後,該解決方案的現成查詢會顯示在 [搜捕 查詢 ] 索引標籤上。查詢會在記錄數據表中儲存的數據上執行,例如用於進程建立、DNS 事件或其他事件類型。
許多可用的搜捕查詢都是由 Microsoft 安全性研究人員持續開發。 他們會將新的查詢新增至安全性解決方案,並微調現有的查詢,以提供您尋找新偵測和攻擊的進入點。
自訂搜捕查詢
建立或編輯查詢,並將其儲存為您自己的查詢,或與位於相同租使用者中的用戶共用。 在 Microsoft Sentinel 中,從 [搜捕查詢] 索引標籤建立自定義搜捕>查詢。
如需詳細資訊,請參閱 在 Microsoft Sentinel 中建立自定義搜捕查詢。
即時串流會話
建立互動式會話,讓您在事件發生時測試新建立的查詢、在找到相符專案時從會話取得通知,並視需要啟動調查。 您可以使用任何 Log Analytics 查詢快速建立即時串流會話。
在事件發生時測試新建立的查詢
您可以測試及調整查詢,而不會與主動套用至事件的目前規則有任何衝突。 確認這些新查詢如預期般運作之後,只要選取將會話提升為警示的選項,即可輕鬆地將其升階為自定義警示規則。
在發生威脅時收到通知
您可以比較威脅數據摘要與匯總的記錄數據,並在發生相符專案時收到通知。 威脅數據摘要是與潛在或目前威脅相關的數據串流,因此通知可能會指出對您組織的潛在威脅。 建立即時串流會話,而不是自定義警示規則,以通知潛在問題,而不需要維護自定義警示規則的額外負荷。
啟動調查
如果有涉及主機或使用者等資產的作用中調查,請在記錄數據中檢視該資產發生時的特定(或任何)活動。 在活動發生時收到通知。
如需詳細資訊,請參閱 在 Microsoft Sentinel 中使用搜捕即時串流來偵測威脅。
追蹤數據的書籤
威脅搜捕通常需要檢閱大量記錄數據,以尋找惡意行為的證據。 在這個過程中,調查人員發現他們想要記住、重新審視和分析的事件,作為驗證潛在假設的一部分,並瞭解妥協的完整故事。
在搜捕和調查程序期間,您可能會發現查詢結果看起來異常或可疑。 將這些專案加入書籤,以在未來參考這些專案,例如在建立或擴充事件以供調查時。 事件,例如潛在的根本原因、入侵指標或其他值得注意的事件,應以書籤的形式引發。 如果您加入書籤的關鍵事件足以保證調查,請將它呈報至事件。
在結果中,標記您想要保留之任何數據列的複選框,然後選取 [ 新增書籤]。 這會為每個標示的數據列、書籤建立記錄,其中包含數據列結果和建立結果的查詢。 您可以將自己的標籤和附註新增至每個書籤。
- 如同已排程的分析規則,您可以使用實體對應來擴充書籤,以擷取多個實體類型和標識符,以及 MITRE ATT&CK 對應來關聯特定策略和技術。
- 書籤預設會使用相同的實體和 MITRE ATT&CK 技術對應作為產生書籤結果的搜捕查詢。
按兩下主 [搜捕] 頁面中的 [書籤] 索引標籤,以檢視所有已加入書籤的結果。 將標籤新增至書籤以分類它們以進行篩選。 例如,如果您正在調查攻擊行銷活動,您可以建立行銷活動的標籤、將標籤套用至任何相關的書籤,然後根據營銷活動篩選所有書籤。
選取書籤,然後按兩下 詳細資料窗格中的 [調查 ] 以開啟調查體驗,以調查單一書籤尋找。 使用互動式實體圖表和時程表,以可視化方式檢視、調查和可視化方式傳達您的結果。 您也可以直接選取列出的實體,以檢視該實體的對應實體頁面。
您也可以從一或多個書籤建立事件,或將一或多個書簽新增至現有的事件。 選取您想要使用之任何書籤左邊的複選框,然後選取 [事件動作>建立新事件] 或 [新增至現有的事件]。 將事件分級並像任何其他事件一樣調查。
直接在 Log Analytics 工作區的 HuntingBookmark 數據表中檢視您的書籤數據。 例如:
從數據表檢視書籤可讓您篩選、摘要及聯結書籤數據與其他數據源,讓您輕鬆地尋找辨識項。
若要開始使用書籤,請參閱 使用 Microsoft Sentinel 搜捕期間追蹤數據。
用於電源調查的筆記本
當您的搜捕和調查變得更複雜時,請使用 Microsoft Sentinel 筆記本,透過機器學習、視覺效果和數據分析來增強您的活動。
筆記本提供一種虛擬沙盒,並完成自己的核心,您可以在其中執行完整的調查。 您的筆記本可以包含原始數據、您在該數據上執行的程式代碼、結果及其視覺效果。 儲存您的筆記本,以便與其他人共用,以便在組織中重複使用。
當您的搜捕或調查變得太大而無法輕易記住、檢視詳細數據,或當您需要儲存查詢和結果時,筆記本可能會很有説明。 為了協助您建立及共用筆記本,Microsoft Sentinel 提供 Jupyter Notebook、開放原始碼、互動式開發和數據操作環境,直接整合到 Microsoft Sentinel Notebooks 頁面中。
如需詳細資訊,請參閱
下表說明一些使用 Jupyter Notebook 來協助 Microsoft Sentinel 中的程式的方法:
| 方法 | 描述 |
|---|---|
| 數據持續性、可重複性和回溯 | 如果您正在處理許多查詢和結果集,您可能會有一些死胡同。 您必須決定要保留的查詢和結果,以及如何在單一報表中累積有用的結果。 使用 Jupyter Notebook 來儲存查詢和數據,使用變數以不同的值或日期重新執行查詢,或儲存查詢以在未來調查時重新執行。 |
| 腳本和程序設計 | 使用 Jupyter Notebook 將程式設計新增至您的查詢,包括: - 宣告式語言,例如 Kusto 查詢語言 (KQL) 或 SQL,以單一可能複雜的語句編碼邏輯。 - 程序設計 語言,以一系列步驟執行邏輯。 將您的邏輯分割成步驟,以協助您查看和偵錯中繼結果、新增可能無法在查詢語言中使用的功能,並在稍後的處理步驟中重複使用部分結果。 |
| 外部數據的連結 | 雖然 Microsoft Sentinel 數據表具有大部分的遙測和事件數據,但 Jupyter Notebook 可以連結至透過您的網路或檔案存取的任何數據。 使用 Jupyter Notebook 可讓您包含資料,例如: - 您不擁有的外部服務中的數據,例如地理位置數據或威脅情報來源 - 僅儲存在您組織內的敏感數據,例如人力資源資料庫或高價值資產清單 - 您尚未移轉至雲端的數據。 |
| 特製化數據處理、機器學習和視覺效果工具 | Jupyter Notebook 提供更多視覺效果、機器學習連結庫,以及數據處理和轉換功能。 例如,使用 Jupyter Notebook 搭配下列 Python 功能: - 用於數據處理、清除和工程的 pandas - Matplotlib、 HoloViews 和 Plotly for visualization - 適用於進階數值和科學處理的 NumPy 和 SciPy - 適用於機器學習的 scikit-learn - TensorFlow、 PyTorch 和 Keras 進行深度學習 提示:Jupyter Notebook 支援多種語言核心。 使用 魔術 來混合相同筆記本中的語言,方法是允許使用其他語言執行個別單元格。 例如,您可以使用 PowerShell 腳本數據格擷取數據、處理 Python 中的數據,以及使用 JavaScript 來呈現視覺效果。 |
MSTIC、Jupyter 和 Python 安全性工具
Microsoft 威脅情報中心 (MSTIC) 是 Microsoft 安全性分析師和工程師小組,負責撰寫數個 Microsoft 平臺的安全性偵測,並致力於威脅識別和調查。
MSTIC 建置 MSTICPy,這是 Jupyter Notebook 中資訊安全性調查和搜捕的連結庫。 MSTICPy 提供可重複使用的功能,旨在加速筆記本建立,並讓使用者更輕鬆地在 Microsoft Sentinel 中讀取筆記本。
例如,MSTICPy 可以:
- 從多個來源查詢記錄數據。
- 使用威脅情報、地理位置和 Azure 資源數據來擴充數據。
- 從記錄擷取活動指標,以及解除封裝編碼的數據。
- 執行複雜的分析,例如異常會話偵測和時間序列分解。
- 使用互動式時間軸、處理樹狀結構及多維度變形圖將數據可視化。
MSTICPy 也包含一些省時筆記本工具,例如設定查詢時間界限的 Widget、從清單中選取和顯示專案,以及設定筆記本環境。
如需詳細資訊,請參閱
- MSTICPy 檔
- 具有 Microsoft Sentinel 搜捕功能的 Jupyter Notebook
- Microsoft Sentinel 中 Jupyter Notebook 和 MSTICPy 的進階設定
實用的運算子和函式
搜捕查詢內建於 Kusto 查詢語言 (KQL)中,這是一種功能強大的查詢語言,具有 IntelliSense 語言,可提供您將搜捕提升到下一個層級所需的能力和彈性。
它與您分析規則和 Microsoft Sentinel 其他地方的查詢所使用的語言相同。 如需詳細資訊,請參閱 查詢語言參考。
下列運算符在 Microsoft Sentinel 搜捕查詢中特別有用:
where - 將數據表篩選至滿足述詞的數據列子集。
summarize - 產生匯總輸入數據表內容的數據表。
join - 合併兩個數據表的數據列,藉由比對每個數據表中指定數據行的值來形成新的數據表。
count - 傳回輸入記錄集中的記錄數目。
top - 傳回依指定數據行排序的前 N 筆記錄。
limit - 傳回指定的資料列數目。
專案 - 選取要包含、重新命名或卸除的數據行,然後插入新的計算數據行。
extend - 建立匯出數據行,並將其附加至結果集。
makeset - 傳回 Expr 在群組中採用之相異值集合的動態 (JSON) 陣列
find - 尋找符合一組數據表之述詞的數據列。
adx() - 此函式會從 Microsoft Sentinel 搜捕體驗和 Log Analytics 執行 Azure 數據總管數據源的跨資源查詢。 如需詳細資訊,請參閱 使用 Azure 監視器跨資源查詢 Azure 數據總管。