在 Microsoft Sentinel 中進行端對端主動威脅狩獵

適用於: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

主動威脅狩獵是一種安全分析師尋找未被偵測到威脅與惡意行為的過程。透過建立假設、搜尋資料並驗證該假設，他們決定該採取什麼行動。行動可能包括建立新的偵測、新的威脅情報，或啟動新的事件。

利用 Microsoft Sentinel 中的端到端搜尋體驗來：

主動根據特定的 MITRE 技術、潛在的惡意活動、近期威脅，或你自己的自訂假設進行搜尋。
使用安全研究人員生成的搜尋查詢或自訂搜尋查詢來調查惡意行為。
使用多個持久查詢分頁來進行搜尋，這樣你就能隨時保持上下文。
蒐集證據、調查 UEBA 來源，並使用專屬 Hunt 書籤標註你的發現。
合作並以評論記錄你的發現。
透過制定新的分析規則、新的事件、新的威脅指標，以及運行實務手冊來採取行動。
在同一個地方追蹤你新的、活躍的和已關閉的狩獵。
根據經驗證的假設和具體結果，查看指標。

重要事項

自 2027 年 3 月 31 日起，Microsoft Sentinel 將不再支援 Azure 入口網站，僅能在 Microsoft Defender 入口網站中使用。所有在 Azure 入口網站使用 Microsoft Sentinel 的客戶，將被重新導向至 Defender 入口網站，且僅在 Defender 入口網站使用 Microsoft Sentinel。

如果您仍在 Azure 入口網站使用 Microsoft Sentinel，建議您開始規劃轉換至 Defender 入口網站，以確保順利過渡並充分利用 Microsoft Defender 所提供的統一安全運營體驗。

必要條件

要使用搜尋功能，你需要被指派一個內建的 Microsoft Sentinel 角色，或是自訂的 Azure RBAC 角色。您的選項如下：

指派內建的 Microsoft Sentinel 貢獻者角色指派。
欲了解更多關於 Microsoft Sentinel 角色的資訊，請參閱 Microsoft Sentinel 中的角色與權限。
在 Microsoft.SecurityInsights/hunts 下指派一個自訂的 Azure RBAC 角色並取得適當的權限。

欲了解更多資訊，請參閱 Microsoft Sentinel 平台的角色與權限。

定義你的假設

定義假說是一個開放且彈性的過程，可以包含任何你想要驗證的想法。常見的假說包括：

可疑行為——調查環境中可見的潛在惡意活動，以判斷是否正在發生攻擊。
新威脅行動——根據新發現的威脅行為者、技術或漏洞，尋找惡意活動類型。這可能是你在安全新聞報導中聽過的。
偵測缺口 - 利用 MITRE ATT&CK 地圖擴大偵測覆蓋範圍，以識別缺口。

Microsoft Sentinel 提供你彈性，讓你鎖定正確的搜尋查詢組合來調查你的假設。當你建立狩獵時，可以用預先選好的狩獵查詢啟動，或隨著進度增加查詢。以下是基於最常見假設的預先選擇查詢建議。

假說 - 可疑行為

在 Azure 入口網站的 Microsoft Sentinel 中，在威脅管理下，選擇 Hunting。
在 Defender 入口網站中，選擇Microsoft Sentinel威脅管理>狩獵」Microsoft Sentinel>。
選擇 「查詢 」標籤。要辨識潛在的惡意行為，執行所有查詢。
選擇 執行所有查詢> ，等待查詢執行。這個過程可能會花點時間。
選擇新增篩選器>結果>取消勾選「！」、「N/A」、「-」和「0」的選項 >套用截
請依照 結果差異 欄排序這些結果，看看最近有哪些變動。這些結果為尋寶提供了初步指引。

假說 - 新威脅行動

內容中心提供威脅行動及基於網域的解決方案，以追蹤特定攻擊。在接下來的步驟中，你會安裝其中一種解決方案。

前往 內容中心。
安裝威脅行動或基於網域的解決方案，如 Log4J 漏洞偵測 或 Apache Tomcat。
解決方案安裝完成後，在 Microsoft Sentinel 中進入 Hunting。
選擇 「查詢 」標籤。
可依解決方案名稱搜尋，或依解決方案 的來源名稱 篩選。
選擇查詢並 執行查詢。

假說 - 偵測缺口

MITRE ATT&CK 地圖幫助您識別偵測覆蓋範圍中的具體缺口。使用特定 MITRE ATT&CK 技術的預設狩獵查詢作為開發新偵測邏輯的起點。

請前往 MITRE ATT&CK (預覽) 頁面。
在「活動」下拉選單中取消選取項目。
在模擬篩選中選擇「狩獵查詢」，以查看哪些技術與狩獵查詢相關聯。
選擇你想要的技巧牌。
在細節窗格底部的「狩獵查詢」旁邊選擇「檢視」連結。此連結會根據您選擇的技巧，導向搜尋頁面中篩選的查詢標籤。
選取該技術的所有查詢。

創建狩獵

創建狩獵主要有兩種方式。

如果你一開始是假設，選擇查詢，請選擇「搜尋行動」下拉選單>「建立新搜尋」。你選擇的所有查詢都是為這次新狩獵複製的。
如果你還沒決定查詢，請選擇「狩獵」 (預覽) 新狩獵標籤>，建立空白狩獵。
填寫狩獵名稱和可選欄位。描述是表達你假設的好地方。假設 下拉選 單是你設定工作假設狀態的地方。
選擇建立開始。

查看狩獵詳情

選擇「 狩獵 (預覽) 」標籤，查看您的新狩獵。
請依名稱選擇狩獵連結以查看詳情並採取行動。
查看詳細面板，包含 狩獵名稱、描述、內容、 最後更新時間及 創建時間。
請注意查詢、書籤和實體的分頁。

查詢標籤

查詢標籤包含本次狩獵專屬的狩獵查詢。這些查詢是原始查詢的複製，獨立於工作空間中的其他查詢。更新或刪除它們時，不會影響你整體的狩獵查詢或其他狩獵查詢。

加入查詢搜尋

選擇 查詢動作>新增查詢以搜尋
選擇你想加入的查詢。

執行查詢

選擇 「執行所有查詢 」或「選擇特定查詢」並選擇 「執行選取查詢」。
選擇取消以隨時取消查詢執行。

管理查詢

右鍵點擊查詢，從右鍵選單中選擇以下其中一個：
- Run
- Edit
- Clone
- Delete
- 建立分析規則
這些選項的行為與狩獵頁面中現有的查詢表相同，但動作只適用於這次狩獵。當你選擇建立分析規則時，名稱、描述和 KQL 查詢會預先填入新規則建立。會建立連結以查看相關 分析規則下的新分析規則。

查看結果

此功能讓您能在 Log Analytics 搜尋體驗中看到搜尋查詢結果。接著，分析結果、精煉查詢，並建立書籤以記錄資訊並進一步調查個別列結果。

選擇 「查看結果 」按鈕。
如果你切換到 Microsoft Sentinel 入口網站的另一部分，再從搜尋頁面回溯到 LA 日誌搜尋體驗，所有 LA 查詢分頁都會保留。
如果你關閉瀏覽器分頁，這些 LA 查詢分頁就會消失。如果你想長期保留這些查詢，你需要儲存查詢、建立新的狩獵查詢，或將其複製到備註中以便日後在搜尋中使用。

新增書籤

當你發現有趣的結果或重要的資料列時，可以透過建立書籤將這些結果加入搜尋。欲了解更多資訊，請參閱使用搜尋書籤進行資料調查。

選擇想要的行或列。
在結果表上方，選擇 新增書籤。
說出書籤的名字。
設定事件時間欄位。
地圖實體識別碼。
設定MITRE戰術與技巧。
新增標籤，並添加備註。

書籤會保留產生結果的特定列結果、KQL 查詢及時間範圍。
選擇建立以將書籤加入尋寶活動。

查看書籤

前往尋寶活動的書籤標籤頁查看你的書籤。
選擇想要的書籤並執行以下操作：
- 選擇實體連結以查看對應的UEBA實體頁面。
- 查看原始結果、標籤與備註。
- 選擇 「檢視來源查詢 」以在 Log Analytics 中查看來源查詢。
- 選擇 「檢視書籤日誌」 以查看 Log Analytics 尋找書籤表中書籤內容。
- 選擇調查按鈕以查看調查圖中的書籤及相關實體。
- 選擇編輯按鈕以更新標籤、MITRE 策略與技巧，以及備註。