身為安全性分析師和調查人員,您需要主動尋找安全性威脅,但您的各種系統和安全性設備會產生龐大的資料量,而難以剖析和篩選為有意義的事件。 Microsoft Sentinel 具有功能強大的搜捕搜尋和查詢工具,可以在組織的資料來源中搜捕安全性威脅。 為了協助安全性分析師主動尋找安全性應用程式或甚至是排程分析規則所偵測到的新異常狀況,內建搜捕查詢會引導您詢問正確的問題,以找出您網路上既有資料中的問題。
例如,一個現成查詢會提供基礎結構上所執行最不常見程序的相關資料。 每次執行警示時,您都不想收到警示。 他們可能完全無關緊要。 但您可能會想要查看查詢,以查看是否有任何不尋常的項目。
重要
Microsoft Sentinel 通常會在 Microsoft Defender 入口網站中Microsoft的統一安全性作業平臺內提供,包括沒有 Microsoft Defender XDR 或 E5 授權的客戶。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
Microsoft Sentinel 的搜捕 (預覽)
透過 Microsoft Sentinel 的搜捕,藉由建立假設、搜尋資料、驗證該假設,以及在需要時採取行動,尋找未偵測到的威脅和惡意行為。 根據您的發現建立新的分析規則、威脅情報和事件。
| 能力 | 描述 |
|---|---|
| 定義假設 | 若要定義假設,請從 MITRE 對應、最近的搜捕查詢結果、內容中樞解決方案,或產生您自己的自訂搜捕來尋找靈感。 |
| 調查查詢和書籤結果 | 定義假設之後,請移至 [搜捕] 頁面 [查詢] 索引標籤。選取與假設相關的查詢和 [新增搜捕] 以開始使用。 執行搜捕相關查詢,並使用記錄體驗來調查結果。 將結果直接加入搜捕的書籤,以標註結果、擷取實體標識碼,並保留相關的查詢。 |
| 調查並採取動作 | 使用 UEBA 實體頁面更深入地調查。 在書籤實體上執行實體特定的劇本。 使用內建動作,根據結果建立新的分析規則、威脅指標和事件。 |
| 追蹤您的結果 | 記錄搜捕的結果。 追蹤您的假設是否已經過驗證。 在註解中留下詳細的記事。 搜捕會自動連結新的分析規則和事件。 使用計量列追蹤搜捕計劃的整體影響。 |
若要開始使用,請參閱 在 Microsoft Sentinel 中進行端對端主動威脅搜尋和偵測。
搜捕查詢
在 Microsoft Sentinel 中,選取 [搜捕]>[查詢] 索引標籤以執行全部查詢或選取的子集。 [ 查詢 ] 索引標籤會列出從 內容中樞 與安全性解決方案一起安裝的所有偵測查詢,以及任何您建立或修改的額外查詢。 每個查詢都會提供其搜捕內容的描述,以及其執行的資料種類。 這些查詢會依其 MITRE ATT&CK 策略分組。 右側的圖示會分類威脅類型,例如初始存取、持續性和外流。 MITRE ATT&CK 技術會顯示在技術欄中,並描述狩獵查詢所識別的特定行為。
使用查詢索引標籤來查看結果計數、尖峰或結果計數在 24 小時內的變更,以識別開始搜捕的位置。 依我的最愛、資料來源、MITRE ATT&CK 策略或技術、結果、結果差異或結果差異百分比排序並進行篩選。 檢視仍需資料來源連線的查詢,並取得如何啟用這些查詢的建議。
下列資料表說明搜捕儀表板中可用的詳細動作:
| 動作 | 描述 |
|---|---|
| 查看查詢如何套用至您的環境 | 選取 [ 執行所有查詢 ] 按鈕,或使用每個數據列左邊的複選框選取查詢子集,然後選取 [ 執行選取的查詢 ] 按鈕。 執行查詢可能需要幾秒鐘到數分鐘的時間,視選取的查詢數目、時間範圍和查詢的資料量而定。 |
| 檢視傳回結果的查詢 | 執行查詢之後,請使用 [結果 ] 篩選來檢視傳回結果的查詢: - 排序以查看哪些查詢有最多或最少的結果。 - 在 [結果] 篩選條件中選取 [N/A],以檢視環境中完全不在作用中的查詢。 - 將滑鼠停留在資訊圖示(i)旁的N/A,以查看哪些數據源是啟用此查詢所必需的。 |
| 識別數據中的尖峰 | 藉由對 結果差異 或 結果差異百分比 進行排序或篩選,找出數據中的突增。 比較過去 24 小時的結果與前 24 至 48 小時的結果,並反白顯示磁碟區中任何大型的差異或相對差異。 |
| 檢視對應至 MITRE ATT&CK 策略的查詢 | 數據表頂端的 MITRE ATT&CK 策略列會列出對應到每個 MITRE ATT&CK 策略的查詢數目。 策略列會根據目前套用的篩選集動態更新。 讓您查看當您依指定的結果計數、高結果差異、[N/A] 結果或任何其他一組篩選條件進行篩選時,會顯示哪些 MITRE ATT&CK 策略。 |
| 檢視對應至 MITRE ATT&CK 技術的查詢 | 查詢也可以對應至 MITRE ATT&CK 技術。 您可以使用 |
| 將查詢儲存至我的最愛 | 每次存取 搜捕 頁面時,儲存至我的最愛的查詢都會自動執行。 您可以建立自己的搜捕查詢或複製並自訂現有的搜捕查詢範本。 |
| 執行查詢 | 在搜捕查詢詳細數據頁面中選取 [執行查詢 ],直接從搜捕頁面執行查詢。 在表格中的 [ 結果 ] 欄位裡顯示相符項目的數量。 檢閱搜捕查詢的清單及其相符專案。 |
| 檢閱基礎查詢 | 在 [查詢詳細資料] 窗格中執行基礎查詢的快速檢閱。 您可以按下 [ 檢視查詢結果] 連結 (查詢視窗下方) 或 [ 檢視結果] 按鈕(位於窗格底部)來查看結果。 查詢將會在 [記錄] (Log Analytics) 頁面中開啟,您可以在查詢下方檢閱查詢的相符項目。 |
在入侵之前、期間和之後使用查詢,以採取下列動作:
發生事件之前:等候偵測是不夠的。 執行與您至少一週內嵌至工作區一次的資料相關的任何威脅搜捕查詢,以採取主動式動作。
主動式搜捕的結果會提供事件的早期深入解析,這些事件可能會確認入侵正在進行中,或至少會顯示環境中有風險且需要注意的較弱區域。
在入侵期間:使用 即時串流 持續執行特定查詢,並在結果出現時呈現結果。 當您需要主動監視使用者事件時,請使用即時串流,例如,如果您需要確認是否仍發生特定入侵,以協助判斷威脅執行者的下一個動作,以及到調查結束時確認入侵確實已結束。
入侵之後:在入侵或事件發生之後,請務必改善您的涵蓋範圍和見解,以防止未來發生類似的事件。
根據您從入侵或事件獲得的深入解析,修改現有的查詢或建立新查詢以協助早期偵測。
若您發現或建立的搜捕查詢可提供可能攻擊的寶貴見解,則根據您的查詢建立自訂偵測規則,以及將這些見解當作警示,向您的安全性事件回應程式呈現。
檢視查詢的結果,然後選取新警示規則>建立 Microsoft Sentinel 警示。 使用 分析規則精靈 ,根據查詢建立新的規則。 如需詳細資訊,請參閱 建立自定義分析規則來偵測威脅。
您也可以針對儲存在 Azure 資料總管中的資料建立搜捕和即時串流查詢。 如需詳細資訊,請參閱 Azure 監視器檔中 建構跨資源查詢 的詳細數據。
若要尋找更多查詢和數據源,請移至 Microsoft Sentinel 中 的內容中樞 ,或參考 Microsoft Sentinel GitHub 存放庫等社群資源。
現成的搜捕查詢
許多安全性解決方案包括現成的搜捕查詢。 安裝包含 內容中樞 搜捕查詢的解決方案之後,該解決方案的內建查詢會顯示在 [搜捕 查詢] 索引標籤上。查詢會在記錄數據表中儲存的數據上執行,例如進程建立、DNS 事件或其他事件類型。
許多可用的搜捕查詢是由 Microsoft 安全性研究人員持續開發。 他們會將新的查詢新增至安全性解決方案,並微調現有的查詢,以提供您尋找新偵測和攻擊的進入點。
自訂搜捕查詢
建立或編輯查詢,並將其儲存為您自己的查詢,或與位於相同租用戶中的使用者共用查詢。 在 Microsoft Sentinel 中,從 [搜捕]>[查詢] 索引標籤建立自訂搜捕查詢。
如需詳細資訊,請參閱 在 Microsoft Sentinel 中建立自訂搜捕查詢。
即時資料流工作階段
建立互動式工作階段,以便在事件發生時測試新建立的查詢、在找到相符項目時取得工作階段通知,並視需要啟動調查。 您可使用任何 Log Analytics 查詢,以快速建立即時資料流工作階段。
在事件發生時測試新建立的查詢
您可測試及調整查詢,以免與事件現正套用的目前規則衝突。 確認這些新查詢依預期運作後,則可選取將工作階段提升為警示的選項,將其輕鬆升階為自訂警示規則。
在發生威脅時收到通知
您可比較威脅資料摘要與彙總記錄資料,並在找到相符項目時取得通知。 威脅資料摘要是與潛在威脅或當前威脅相關的持續性資料流,因此通知可能會指出貴組織的潛在威脅。 若要收到潛在問題的通知,並免於維護自訂警示規則的額外負荷,請建立即時資料流工作階段,而不是自訂警示規則。
啟動調查
如果作用中的調查涉及主機或使用者等資產,可在記錄資料中檢視該資產上發生的特定活動或任何活動。 在該活動發生時收到通知。
如需詳細資訊,請參閱 在 Microsoft sentinel 中使用搜捕即時串流來偵測威脅。
追蹤資料的書籤
威脅搜捕通常需要檢閱大量的記錄資料來尋找惡意行為的證據。 在此過程中,調查人員會尋找他們想要記住、重新瀏覽及分析的事件,以便驗證假說並了解危害的完整來龍去脈。
在搜捕和調查程序期間,您可能會發現有些查詢結果看起來異常或可疑。 將這些項目加入書籤,以在未來參考這些項目,例如在建立或擴充事件以進行調查時。 潛在根本原因、入侵指標或其他值得注意事件等事件,應該以書籤的形式引發。 如果您已加入書籤的重要事件足夠嚴重,若要保證調查,請將其呈報為事件。
在您的結果中,將您要保留的任何資料列核取方塊標記,然後選取 [新增書籤]。 這會為每個標示 (書籤) 的資料列建立記錄,其中包含資料列結果,以及建立結果的查詢。 您可以將自己的標籤和附註新增至每個書籤。
- 有了排程分析規則,您可以使用實體對應來擴充書籤,以擷取多個實體類型和識別碼,以及使用 MITRE ATT&CK 對應來建立特定策略與技術的關聯。
- 書籤預設會使用與產生書籤結果搜捕查詢相同的實體和 MITRE ATT&CK 技術對應。
按一下主要 [搜捕] 頁面中的 [書籤] 索引標籤,藉此檢視所有已加入書籤的結果。 將標籤新增至書籤,以分類標籤來進行篩選。 例如,如果您要調查攻擊活動,則可以為行銷活動建立標籤、將標籤套用至任何相關的書籤,然後根據行銷活動篩選來所有書籤。
選取書籤,然後按一下詳細資料窗格中的 [調查] 來開啟調查體驗,藉此調查單一書籤結果。 使用互動式實體圖表和時間軸,以視覺化的方式來檢視、調查及傳達您的結果。 您也可以直接選取所列出的實體,以檢視該實體的對應實體頁面。
您也可以從一或多個書籤建立事件,或將一或多個書籤新增至現有的事件。 選取您所需使用任何書籤左側的核取方塊,然後選取 [事件動作]>[建立新事件] 或 [新增至現有事件]。 如同任何其他事件一樣,分級並調查事件。
直接在 Log Analytics 工作區的 HuntingBookmark 數據表中檢視您的書籤數據。 例如:
以資料表檢視書籤可讓您篩選、總結和聯結加入書籤的資料與其他資料來源,以便尋找相互關聯的證據。
若要開始使用書籤,請參閱 使用 Microsoft Sentinel 在調查期間追蹤數據。
提供調查能力的筆記本
當您的搜捕和調查變得更複雜時,請使用 Microsoft Sentinel 筆記本,透過機器學習、視覺效果和資料分析來增強您的活動。
筆記本提供一種虛擬沙箱,以自己的核心完成,您可以在其中執行完整的調查。 您的筆記本可以包含未經處理資料、您在該資料上執行的程式碼、結果及其視覺效果。 儲存您的筆記本,以便與其他人共用,從而在組織中重複使用。
您的搜捕或調查變得太大而不易記住、檢視詳細資料,或當您需要儲存查詢和結果時,筆記本可能會很有用。 為了協助您建立及共用筆記本,Microsoft Sentinel 提供 Jupyter Notebooks、開放原始碼、互動式開發和數據作環境,直接整合到 Microsoft Sentinel Notebooks 頁面中。
如需詳細資訊,請參閱
下表描述使用 Jupyter 筆記本的一些方法,以協助您在 Microsoft Sentinel 中的程序:
| 方法 | 描述 |
|---|---|
| 數據持續性、可重複性和回溯 | 如果您正在處理許多查詢和結果集,則可能會有一些死結。 您必須決定要保留的查詢和結果,以及如何在單一報告中累積有用的結果。 使用 Jupyter Notebook 在使用時儲存查詢和資料,使用變數重新執行具有不同值或日期的查詢,或儲存查詢以在未來調查時重新執行。 |
| 腳本和程序設計 | 使用 Jupyter Notebook 將程式設計新增至查詢,包括: - 宣告式語言,例如Kusto 查詢語言(KQL) 或 SQL,可以用單一且可能複雜的語句來編碼您的邏輯。 - 程序設計 語言,以一系列步驟執行邏輯。 將您的邏輯分割成多個步驟,協助您查看和偵錯中繼結果、新增在查詢語言中可能無法使用的功能,並在稍後的處理步驟中重複使用部分結果。 |
| 外部數據的連結 | 雖然 Microsoft Sentinel 資料表具有大部分的遙測和事件資料,但 Jupyter Notebook 可以連結至透過您的網路或從檔案中存取的任何資料。 使用 Jupyter Notebook 可讓您包含下列資料,例如: - 您所未擁有外部服務中的資料,例如地理位置資料或威脅情報來源 - 僅儲存在貴組織內的敏感性資料,例如人力資源資料庫或高價值資產清單 - 您尚未移轉至雲端的資料。 |
| 特製化數據處理、機器學習和視覺效果工具 | Jupyter Notebook 提供額外的視覺效果、機器學習程式庫,以及資料處理和轉換功能。 例如,使用 Jupyter Notebook 搭配下列 Python 功能: - pandas 適用於數據處理、清理和數據工程 - Matplotlib、 HoloViews 和 Plotly for visualization - 適用於進階數值和科學處理的 NumPy 和 SciPy - 適用於機器學習的 scikit-learn - TensorFlow、 PyTorch 和 Keras 進行深度學習 提示:Jupyter Notebook 支援多種語言核心。 使用 魔術 來混合相同筆記本中的語言,方法是允許使用其他語言執行個別單元格。 例如,您可以使用 PowerShell 指令碼資料格來擷取資料、處理 Python 中的資料,以及使用 JavaScript 來呈現視覺效果。 |
MSTIC、Jupyter 和 Python 安全性工具
Microsoft威脅情報中心(MSTIC)是一個Microsoft安全性分析師和工程師小組,負責撰寫數個Microsoft平臺的安全性偵測,並致力於威脅識別和調查。
MSTIC 建置了 MSTICPy,這是用於 Jupyter Notebook 中資訊安全調查與威脅捕捉的函式庫。 MSTICPy 提供可重複使用的功能,旨在加速建立筆記本,並讓使用者更輕鬆地在 Microsoft Sentinel 中讀取筆記本。
例如,MSTICPy 可以:
- 查詢多個來源的記錄資料。
- 使用威脅情報、地理位置和 Azure 資源資料來擴充資料。
- 從記錄擷取活動指標 (IoA),並將編碼的資料解壓縮。
- 執行複雜的分析,例如異常工作階段偵測和時間序列分解。
- 使用互動式時間軸、處理樹狀結構及多維度轉化圖表將資料視覺化。
MSTICPy 也包含一些能節省時間的筆記本工具,例如可設定查詢時間界限的小工具、可從清單中選取和顯示項目的小工具,以及可設定筆記本環境的小工具。
如需詳細資訊,請參閱
- MSTICPy 文件
- 具有Microsoft Sentinel 搜捕功能的 Jupyter Notebook
- Microsoft Sentinel 中 Jupyter Notebook 和 MSTICPy 的進階設定
實用的運算子和函式
搜捕查詢建置在 Kusto 查詢語言 (KQL)中,這是一種功能強大的查詢語言,具有 IntelliSense 語言,可提供您將搜捕提升到下一個層級所需的能力和彈性。
這與您分析規則中的查詢和 Microsoft Sentinel 中其他地方所使用的語言相同。 如需詳細資訊,請參閱 查詢語言參考。
下列運算子在 Microsoft Sentinel 搜捕查詢中特別有用:
where - 將數據表篩選至滿足述詞的數據列子集。
summarize - 產生匯總輸入數據表內容的數據表。
join - 合併兩個數據表的數據列,藉由比對每個數據表中指定數據行的值來形成新的數據表。
count - 傳回輸入記錄集中的記錄數目。
top - 傳回依指定數據行排序的前 N 筆記錄。
limit - 最多傳回指定的數據列數目。
專案 - 選取要包含、重新命名或卸除的數據行,然後插入新的計算數據行。
extend - 建立計算列,並將其附加到結果集。
makeset - 傳回 Expr 在群組中採用之相異值集合的動態 (JSON) 陣列
find - 尋找符合述詞的一組數據表中的數據列。
adx() - 此函式會從 Microsoft Sentinel 搜捕體驗和 Log Analytics 執行 Azure 資料總管資料來源的跨資源查詢。 如需詳細資訊,請參閱 使用 Azure 監視器跨資源查詢 Azure 數據總管。