在 Microsoft Sentinel 中執行端對端主動式威脅搜捕
主動式威脅搜捕是安全性分析師尋找未偵測到的威脅和惡意行為的程式。 藉由建立假設、搜尋數據,以及驗證該假設,它們會決定要採取什麼行動。 動作可能包括建立新的偵測、新的威脅情報,或啟動新的事件。
使用 Microsoft Sentinel 內的端對端搜捕體驗來:
- 根據特定的 MITRE 技術、潛在的惡意活動、最近的威脅或您自己的自定義假設,主動搜捕。
- 使用安全性研究人員產生的搜捕查詢或自定義搜捕查詢來調查惡意行為。
- 使用多個保存查詢索引標籤進行搜捕,讓您在一段時間內保持內容。
- 收集辨識項、調查 UEBA 來源,並使用搜尋特定書籤標註您的結果。
- 使用批注共同作業並記錄您的結果。
- 藉由建立新的分析規則、新事件、新的威脅指標和執行劇本來處理結果。
- 在一個地方追蹤您的新、活躍和封閉式搜捕。
- 根據已驗證的假設和有形結果來檢視計量。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
必要條件
若要使用搜捕功能,您必須指派內建的 Microsoft Sentinel 角色或自定義 Azure RBAC 角色。 以下是您的選項:
指派內 建的 Microsoft Sentinel 參與者角色指派。
若要深入瞭解 Microsoft Sentinel 中的角色,請參閱 Microsoft Sentinel 中的角色和許可權。在 Microsoft.SecurityInsights/hunts 下指派具有適當許可權的自定義 Azure RBAC 角色。
若要深入瞭解自定義角色,請參閱 自定義角色和進階 Azure RBAC。
定義假設
定義假設是一個開放式、彈性的程式,而且可以包含您想要驗證的任何想法。 常見的假設包括:
- 可疑行為 - 調查環境中可見的潛在惡意活動,以判斷攻擊是否正在發生。
- 新的威脅活動 - 根據新探索到的威脅執行者、技術或弱點尋找惡意活動類型。 這可能是您在安全性新聞文章中聽到的。
- 偵測間距 - 使用 MITRE ATT&CK 對應來識別間距,增加您的偵測涵蓋範圍。
Microsoft Sentinel 可讓您彈性地在正確的搜捕查詢集中零,以調查假設。 當您建立搜捕時,請使用預先選取的搜捕查詢來起始它,或在進行時新增查詢。 以下是根據最常見假設預先選取查詢的建議。
假設 - 可疑行為
針對 Azure 入口網站 中的 Microsoft Sentinel,在 [威脅管理] 底下,選取 [搜捕]。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>威脅管理>搜捕]。選取 [查詢] 索引標籤。若要識別潛在的惡意行為,請執行所有查詢。
選取 [ 執行所有查詢> ] 等候查詢執行。 此程序可能需要一段時間。
選取 [新增篩選>結果]> 取消選取複選框 “!”、“N/A”、“-” 和 “0” 值 >[套用]
依 [結果差異 ] 資料行排序這些結果,以查看最近變更的內容。 這些結果提供搜捕的初始指引。
假設 - 新的威脅活動
內容中樞提供威脅行銷活動和網域型解決方案,以搜捕特定攻擊。 在下列步驟中,您會安裝下列其中一種解決方案。
移至內容中 樞。
安裝威脅行銷活動或網域型解決方案, 例如 Log4J 弱點偵測 或 Apache Tomcat。
安裝解決方案之後,請在 Microsoft Sentinel 中移至 [搜捕]。
選取 [查詢] 索引標籤。
依方案名稱搜尋,或依 解決方案的來源名稱 進行篩選。
選取查詢並 執行查詢。
假設 - 偵測間距
MITRE ATT&CK 地圖可協助您識別偵測涵蓋範圍中的特定間距。 針對特定 MITRE ATT&CK 技術使用預先定義的搜捕查詢作為開發新偵測邏輯的起點。
流覽至 MITRE ATT&CK (預覽) 頁面。
取消選取 [使用中] 下拉功能表中的專案。
在模擬篩選中選取 [搜捕查詢],以查看哪些技術有相關聯的搜捕查詢。
選取具有所需技術的卡片。
選取詳細資料窗格底部 [搜捕查詢] 旁的 [檢視] 連結。 此鏈接會根據您選取的技術,帶您前往 [搜捕] 頁面上 [查詢] 索引卷標的篩選檢視。
選取這項技術的所有查詢。
建立亨特
有兩個主要方式可以建立搜捕。
如果您從選取查詢的假設開始,請選取 [搜尋動作 ] 下拉功能表 >[建立新的搜捕]。 您選取的所有查詢都會針對這個新的搜捕複製。
如果您尚未決定查詢,請選取 [獵人][預覽]>索引卷標 [新增搜尋] 以建立空白搜捕。
填寫搜捕名稱和選擇性欄位。 描述是表達假設的好地方。 假設下拉功能表是您設定工作假設狀態的位置。
選取 [建立 ] 以開始使用。
檢視搜捕詳細數據
選取 [ 搜捕][預覽] 索引標籤,以檢視新的搜捕。
依名稱選取搜尋連結,以檢視詳細數據並採取動作。
使用搜尋名稱、描述、內容、上次更新時間和建立時間檢視詳細數據窗格。
記下查詢、書籤和實體的索引標籤。
[查詢] 索引標籤
[查詢] 索引標籤包含此搜捕專屬的搜捕查詢。 這些查詢是原始項目的複製品,與工作區中的所有其他人無關。 更新或刪除它們,而不會影響您在其他搜捕中的整體搜捕查詢集或查詢。
將查詢新增至搜捕
執行查詢
- 選取 [執行所有查詢] 或選擇特定查詢,然後選取 [執行選取的查詢]。
- 選取 [ 取消 ] 以隨時取消查詢執行。
管理查詢
以滑鼠右鍵按下列查詢,然後從操作選單中選取下列其中一項:
- 執行
- 編輯
- 複製
- 刪除
- 建立分析規則
這些選項的行為就像搜捕頁面中現有的查詢數據表一樣,但動作只會套用在此搜捕中。 當您選擇建立分析規則時,會在新規則建立中預先填入名稱、描述和 KQL 查詢。 建立連結以檢視 [相關分析規則] 底下 找到的新分析規則。
檢視結果
這項功能可讓您在Log Analytics搜尋體驗中看到搜捕查詢結果。 從這裡分析結果、精簡查詢,並 建立書籤 來記錄資訊,並進一步調查個別的數據列結果。
- 選取 [ 檢視結果] 按鈕。
- 如果您樞紐至 Microsoft Sentinel 入口網站的另一個部分,請從搜尋頁面流覽回 LA 記錄搜尋體驗,您的所有 LA 查詢索引卷標都會保留下來。
- 如果您關閉瀏覽器索引標籤,這些 LA 查詢索引標籤就會遺失。如果您想要長期保存查詢,您需要儲存查詢、建立新的搜捕查詢,或 將它複製到批注 中,以供稍後在搜捕中使用。
新增書籤
當您找到有趣的結果或重要的數據列時,請建立書籤,將這些結果新增至搜捕。 如需詳細資訊,請參閱 使用搜捕書籤進行數據調查。
選取所需的數據列或數據列。
標書籤命名為 。
設定事件時間數據行。
對應實體標識碼。
設定 MITRE 策略和技術。
新增標籤,並新增附註。
書籤會保留產生結果的特定數據列結果、KQL 查詢和時間範圍。
選取 [建立] 以將書籤新增至搜捕。
檢視書籤
流覽至搜尋的書籤索引標籤,以檢視您的書籤。
選取所需的書籤,然後執行下列動作:
- 選取實體連結以檢視對應的 UEBA 實體頁面。
- 檢視原始結果、標記和附註。
- 選取 [ 檢視來源查詢 ] 以查看 Log Analytics 中的來源查詢。
- 選取 [ 檢視書籤記錄 ] 以查看 Log Analytics 搜捕書籤數據表中的書籤內容。
- 選取 [ 調查] 按鈕,即可檢視調查圖表中的書籤和相關實體。
- 選取 [ 編輯] 按鈕以更新標籤、MITRE 策略和技術,以及附註。
與實體互動
流覽至搜尋的 [實體] 索引標籤,以檢視、搜尋及篩選您搜尋中包含的實體。 此清單是從書籤中的實體清單產生。 [實體] 索引標籤會自動解析重複的專案。
選取實體名稱以瀏覽對應的 UEBA 實體頁面。
以滑鼠右鍵按兩下實體,以採取適用於實體類型的動作,例如將IP位址新增至TI或執行實體類型特定劇本。
新增留言
批註是與同事共同作業、保留筆記和文件結果的絕佳位置。
選取
在編輯方塊中輸入並格式化您的批註。
新增查詢結果做為共同作業者的連結,以快速了解內容。
選取 [ 批注] 按鈕以套用您的批注。
建立事件
搜捕時,事件建立有兩個選項。
選項 1:使用書籤。
選取書籤或書籤。
選取 [事件動作] 按鈕。
選取 [建立新事件] 或 [新增至現有事件]
- 針對 [ 建立新事件],請遵循引導式步驟。 書籤索引標籤會預先填入您選取的書籤。
- 針對 [新增至現有的事件],選取事件,然後選取 [ 接受] 按鈕。
選項 2:使用搜捕 動作。
選取 [搜捕 動作] 功能表 >[建立事件],然後遵循引導式步驟。
在 [新增書籤] 步驟期間,使用 [新增書籤 ] 動作,從搜捕中選擇書籤以新增至事件。 您僅限於未指派給事件的書籤。
建立事件之後,它會連結到該搜捕的相關事件清單底下。
更新狀態
當您擷取足夠的證據來驗證或使假設失效時,請更新假設狀態。
當與搜捕相關聯的所有動作都完成時,例如建立分析規則、事件或將入侵指標新增至 TI 時,請關閉搜捕。
這些狀態更新會顯示在主搜捕頁面上,並用來 追蹤計量。
追蹤計量
使用 [搜捕] 索引標籤中的計量列來追蹤搜捕活動的有形結果。計量會顯示已驗證的假設數目、建立的新事件,以及建立的新分析規則。 使用這些結果來設定目標或慶祝搜捕計劃的里程碑。
下一步
在本文中,您已瞭解如何在 Microsoft Sentinel 中使用搜捕功能執行搜捕調查。
如需詳細資訊,請參閱
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應