Microsoft Sentinel 中的威脅搜捕
身為安全性分析師和調查人員,您想要主動尋找安全性威脅,但您的各種系統和安全性設備會產生難以剖析和篩選成有意義的事件的數據。 Microsoft Sentinel 具有強大的搜尋和查詢工具,可搜尋整個組織數據源的安全性威脅。 為了協助安全性分析師主動尋找安全性應用程式甚至排程分析規則未偵測到的新異常,Microsoft Sentinel 的內建搜捕查詢會引導您詢問正確的問題,以找出您網路上已有數據的問題。
例如,一個內建查詢會提供在基礎結構上執行的最罕見程序相關資料。 每次執行警示時,您都不想收到警示。 他們可能是完全無辜的。 但您可能會想要查看查詢,以查看是否有任何不尋常的專案。
注意
如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
使用內建查詢
搜捕儀表板提供現成的查詢範例,其設計目的是讓您開始使用並熟悉資料表和查詢語言。 查詢會在儲存在記錄資料表的資料上執行,例如程序建立、DNS 事件或其他事件類型。
內建搜捕查詢是由 Microsoft 安全性研究人員持續開發、新增查詢,以及微調現有的查詢,以向您提供尋找新偵測的進入點,並找出開始搜捕新攻擊的起點。
在入侵之前、期間和之後使用查詢,以採取下列動作:
發生事件之前:等候偵測是不夠的。 執行與您至少一週內嵌至工作區一次的資料相關的任何威脅搜捕查詢,以採取主動式動作。
主動式搜捕的結果提供事件早期深入解析,這些事件可能會確認入侵正在進行中,或至少顯示環境中處於風險且需要注意的較弱區域。
在入侵期間:使用 即時串流 持續執行特定查詢,並在結果出現時呈現結果。 當您需要主動監視使用者事件時,請使用即時串流,例如,如果您需要確認是否仍發生特定入侵,以協助判斷威脅執行者的下一個動作,以及到調查結束時確認入侵確實已結束。
入侵之後:在入侵或事件發生之後,請務必改善您的涵蓋範圍和見解,以防止未來發生類似的事件。
修改現有的查詢,或建立新的查詢,以根據您入侵或事件獲得的深入解析,協助進行早期偵測。
如果您探索或建立搜捕查詢來提供可能攻擊的高價值見解,請根據該查詢建立自定義偵測規則,並將這些見解呈現為安全性事件回應者的警示。
檢視查詢的結果,然後選取 [新警示規則]>[建立 Microsoft Sentinel 警示]。 使用 [Analytics 規則精靈] 根據查詢建立新的規則。 如需詳細資訊,請參閱 建立自定義分析規則來偵測威脅。
您也可以針對儲存在 Azure 資料總管中的資料建立搜捕和即時串流查詢。 如需詳細資訊,請參閱 Azure 監視器文件中建構跨資源查詢的詳細資料。
使用社群資源,例如 Microsoft Sentinel GitHub 存放庫 來尋找更多查詢和數據源。
使用搜捕儀表板
搜捕儀表板可讓您在單一選取項目中執行所有查詢或選取的子集。 在 Microsoft Sentinel 入口網站中,選取 [搜捕]。
顯示的資料表會列出 Microsoft 安全性分析師小組所撰寫的所有查詢,以及您建立或修改的任何額外查詢。 每個查詢都會提供其搜捕內容的描述,以及其執行的資料種類。 這些查詢會依 MITRE ATT&CK 策略分組。 右側的圖示會分類威脅類型,例如初始存取、持續性和外流。 MITRE ATT&CK 技術會顯示在 [技術] 資料行中,並描述搜捕查詢所識別的特定行為。
使用搜捕儀表板,查看結果計數、峰值或結果計數在 24 小時內的變化,以識別開始搜捕的位置。 依我的最愛、資料來源、MITRE ATT&CK 策略或技術、結果、結果差異或結果差異百分比排序並進行篩選。 檢視仍需資料來源連線的查詢,並取得如何啟用這些查詢的建議。
下列資料表說明搜捕儀表板中可用的詳細動作:
| 動作 | 描述 |
|---|---|
| 查看查詢如何套用至您的環境 | 選取 [執行所有查詢] 按鈕,或使用每個資料列左邊的核取方塊選取查詢子集,然後選取 [執行選取的查詢] 按鈕。 執行查詢可能需要幾秒鐘到數分鐘的時間,視選取的查詢數目、時間範圍和查詢的資料量而定。 |
| 檢視傳回結果的查詢 | 執行查詢之後,請使用 [結果] 篩選來檢視傳回結果的查詢: - 排序以查看哪些查詢有最多或最少的結果。 - 在 [結果] 篩選中選取 [N/A],以檢視環境中完全不在作用中的查詢。 - 將滑鼠停留在資訊圖示 (i) N/A 旁,以查看此查詢使用中所需的資料來源。 |
| 識別資料中的尖峰 | 藉由排序或篩選 [結果差異] 或 [結果差異百分比] 來識別資料尖峰。 比較過去 24 小時的結果與前 24-48 小時的結果,反白顯示磁碟區中任何大型差異或相對差異。 |
| 檢視對應至 MITRE ATT&CK 策略的查詢 | 在資料表頂端的 MITRE ATT&CK 策略列會列出有多少個查詢對應到每個 MITRE ATT&CK 策略。 策略列會根據目前套用的篩選集動態更新。 可讓您查看依指定結果計數、高結果差異、 N/A 結果或任何其他篩選集篩選時,會顯示哪些 MITRE ATT&CK 策略。 |
| 檢視對應至 MITRE ATT&CK 技術的查詢 | 查詢也可以對應至 MITRE ATT&CK 技術。 您可以使用 [技術] 篩選來篩選或排序 MITRE ATT&CK 技術。 藉由開啟查詢,您可以選取技術以查看技術的 MITRE ATT&CK 描述。 |
| 將查詢儲存至我的最愛 | 每次存取 搜捕 頁面時,都會自動執行儲存至我的最愛的查詢。 您可以建立自己的搜捕查詢或複製並自訂現有的搜捕查詢範本。 |
| 執行查詢 | 在搜捕查詢詳細資料頁面中選取 [執行查詢],直接從搜捕頁面執行查詢。 相符專案的數目會顯示在資料表的 [結果] 資料行中。 檢閱搜捕查詢的清單及其相符專案。 |
| 檢閱基礎查詢 | 在 [查詢詳細資料] 窗格中執行基礎查詢的快速檢閱。 您可以按一下 [檢視查詢結果] 連結 (查詢視窗下方) 或 [檢視結果] 按鈕 (位於窗格底部) 來查看結果。 查詢會開啟 [記錄 ] (Log Analytics) 頁面,並在查詢下方檢閱查詢的相符專案。 |
建立自訂搜捕查詢
建立或修改查詢,並將其儲存為您自己的查詢,或與相同租使用者中的用戶共用。
若要建立新的查詢:
選取 [新增查詢]。
填入所有空白欄位,然後選取 [ 建立]。
選取實體類型、標識碼和數據行,以建立實體對應。
藉由選取策略、技術和子技術,將 MITRE ATT&CK 技術對應至您的搜捕查詢(如果適用的話)。
若要複製和修改現有的查詢:
從數據表中,選取您想要修改的搜捕查詢。
在您要修改的查詢行中選取省略號 (...),然後選取 [ 複製查詢]。
修改查詢,然後選取 [ 建立]。
若要修改現有的自訂查詢:
從數據表中,選取您想要修改的搜捕查詢。 只能編輯來自自定義內容來源的查詢。 其他內容來源必須在該來源編輯。
在您要修改的查詢行中選取省略號 (...),然後選取 [ 編輯查詢]。
使用更新的查詢修改 [自定義查詢] 欄位。 您也可以修改實體對應和技術,如本檔的<
建立新查詢 >一節所述。
範例查詢
一般查詢會以數據表或剖析器名稱開頭,後面接著以管道字元 (“|” ) 分隔的一系列運算符。
在上述範例中,從數據表名稱 SecurityEvent 開始,並視需要新增管道元素。
定義時間篩選條件,只檢閱前七天的記錄。
在查詢中新增篩選,只顯示事件標識碼 4688。
在命令行的查詢中新增篩選條件,只包含cscript.exe的實例。
僅投影您有興趣探索的數據行,並將結果限製為1000,然後選取[ 執行查詢]。
選取綠色三角形並執行查詢。 您可以測試查詢並加以執行,以尋找異常行為。
我們建議您的查詢使用 進階安全性資訊模型 (ASIM) 剖析器 ,而不是內建數據表。 這可確保查詢將支援任何目前或未來的相關數據源,而不是單一數據源。
建立書籤
在搜捕和調查程序期間,您可能會發現查詢結果看起來異常或可疑。 將這些專案加入書籤,以在未來參考這些專案,例如在建立或擴充事件以供調查時。 事件,例如潛在的根本原因、入侵指標或其他值得注意的事件,應以書籤的形式引發。 如果您加入書籤的關鍵事件足以保證調查,請將它呈報至事件。
在結果中,標記您想要保留之任何數據列的複選框,然後選取 [ 新增書籤]。 這會為每個標示的數據列、書籤建立記錄,其中包含數據列結果和建立結果的查詢。 您可以將自己的標籤和附註新增至每個書籤。
- 如同已排程的分析規則,您可以使用實體對應來擴充書籤,以擷取多個實體類型和標識符,以及 MITRE ATT&CK 對應來關聯特定策略和技術。
- 書籤預設會使用相同的實體和 MITRE ATT&CK 技術對應作為產生書籤結果的搜捕查詢。
按兩下主 [搜捕] 頁面中的 [書籤] 索引標籤,以檢視所有已加入書籤的結果。 將標籤新增至書籤以分類它們以進行篩選。 例如,如果您正在調查攻擊行銷活動,您可以建立行銷活動的標籤、將標籤套用至任何相關的書籤,然後根據營銷活動篩選所有書籤。
選取書籤,然後按兩下 詳細資料窗格中的 [調查 ] 以開啟調查體驗,以調查單一書籤尋找。 您也可以直接選取列出的實體,以檢視該實體的對應實體頁面。
您也可以從一或多個書籤建立事件,或將一或多個書簽新增至現有的事件。 選取您想要使用之任何書籤左邊的複選框,然後選取 [事件動作>建立新事件] 或 [新增至現有的事件]。 將事件分級並像任何其他事件一樣調查。
如需詳細資訊,請參閱 在搜捕中使用書籤。
使用筆記本來提供調查電源
當您的搜捕和調查變得更複雜時,請使用 Microsoft Sentinel 筆記本,透過機器學習、視覺效果和數據分析來增強您的活動。
筆記本提供一種虛擬沙盒,並完成自己的核心,您可以在其中執行完整的調查。 您的筆記本可以包含原始數據、您在該數據上執行的程式代碼、結果及其視覺效果。 儲存您的筆記本,以便與其他人共用,以便在組織中重複使用。
當您的搜捕或調查變得太大而無法輕易記住、檢視詳細數據,或當您需要儲存查詢和結果時,筆記本可能會很有説明。 為了協助您建立及共用筆記本,Microsoft Sentinel 提供 Jupyter Notebook、開放原始碼、互動式開發和數據操作環境,直接整合到 Microsoft Sentinel Notebooks 頁面中。
如需詳細資訊,請參閱
下表說明一些使用 Jupyter Notebook 來協助 Microsoft Sentinel 中的程式的方法:
| 方法 | 描述 |
|---|---|
| 數據持續性、可重複性和回溯 | 如果您正在處理許多查詢和結果集,您可能會有一些死胡同。 您必須決定要保留的查詢和結果,以及如何在單一報表中累積有用的結果。 使用 Jupyter Notebook 來儲存查詢和數據,使用變數以不同的值或日期重新執行查詢,或儲存查詢以在未來調查時重新執行。 |
| 腳本和程序設計 | 使用 Jupyter Notebook 將程式設計新增至您的查詢,包括: - 宣告式語言,例如 Kusto 查詢語言 (KQL) 或 SQL,以單一可能複雜的語句編碼邏輯。 - 程序設計 語言,以一系列步驟執行邏輯。 將您的邏輯分割成步驟,以協助您查看和偵錯中繼結果、新增可能無法在查詢語言中使用的功能,並在稍後的處理步驟中重複使用部分結果。 |
| 外部數據的連結 | 雖然 Microsoft Sentinel 數據表具有大部分的遙測和事件數據,但 Jupyter Notebook 可以連結至透過您的網路或檔案存取的任何數據。 使用 Jupyter Notebook 可讓您包含資料,例如: - 您不擁有的外部服務中的數據,例如地理位置數據或威脅情報來源 - 僅儲存在您組織內的敏感數據,例如人力資源資料庫或高價值資產清單 - 您尚未移轉至雲端的數據。 |
| 特製化數據處理、機器學習和視覺效果工具 | Jupyter Notebook 提供更多視覺效果、機器學習連結庫,以及數據處理和轉換功能。 例如,使用 Jupyter Notebook 搭配下列 Python 功能: - 用於數據處理、清除和工程的 pandas - Matplotlib、 HoloViews 和 Plotly for visualization - 適用於進階數值和科學處理的 NumPy 和 SciPy - 適用於機器學習的 scikit-learn - TensorFlow、 PyTorch 和 Keras 進行深度學習 提示:Jupyter Notebook 支援多種語言核心。 使用 魔術 來混合相同筆記本中的語言,方法是允許使用其他語言執行個別單元格。 例如,您可以使用 PowerShell 腳本數據格擷取數據、處理 Python 中的數據,以及使用 JavaScript 來呈現視覺效果。 |
MSTIC、Jupyter 和 Python 安全性工具
Microsoft 威脅情報中心 (MSTIC) 是 Microsoft 安全性分析師和工程師小組,負責撰寫數個 Microsoft 平臺的安全性偵測,並致力於威脅識別和調查。
MSTIC 建置 MSTICPy,這是 Jupyter Notebook 中資訊安全性調查和搜捕的連結庫。 MSTICPy 提供可重複使用的功能,旨在加速筆記本建立,並讓使用者更輕鬆地在 Microsoft Sentinel 中讀取筆記本。
例如,MSTICPy 可以:
- 從多個來源查詢記錄數據。
- 使用威脅情報、地理位置和 Azure 資源數據來擴充數據。
- 從記錄擷取活動指標,以及解除封裝編碼的數據。
- 執行複雜的分析,例如異常會話偵測和時間序列分解。
- 使用互動式時間軸、處理樹狀結構及多維度變形圖將數據可視化。
MSTICPy 也包含一些省時筆記本工具,例如設定查詢時間界限的 Widget、從清單中選取和顯示專案,以及設定筆記本環境。
如需詳細資訊,請參閱
- MSTICPy 檔
- 教學課程:開始使用 Microsoft Sentinel 中的 Jupyter Notebook 和 MSTICPy
- Microsoft Sentinel 中 Jupyter Notebook 和 MSTICPy 的進階設定
實用的運算子和函式
搜捕查詢內建 Kusto 查詢語言 (KQL),這是一種功能強大的查詢語言,具有 IntelliSense 語言,可提供您將搜捕提升到下一個層級所需的能力和彈性。
它與您分析規則和 Microsoft Sentinel 其他地方的查詢所使用的語言相同。 如需詳細資訊,請參閱 查詢語言參考。
下列運算符在 Microsoft Sentinel 搜捕查詢中特別有用:
where - 將數據表篩選至滿足述詞的數據列子集。
summarize - 產生匯總輸入數據表內容的數據表。
join - 合併兩個數據表的數據列,藉由比對每個數據表中指定數據行的值來形成新的數據表。
count - 傳回輸入記錄集中的記錄數目。
top - 傳回依指定數據行排序的前 N 筆記錄。
limit - 傳回指定的資料列數目。
專案 - 選取要包含、重新命名或卸除的數據行,然後插入新的計算數據行。
extend - 建立匯出數據行,並將其附加至結果集。
makeset - 傳回 Expr 在群組中採用之相異值集合的動態 (JSON) 陣列
find - 尋找符合一組數據表之述詞的數據列。
adx() - 此函式會從 Microsoft Sentinel 搜捕體驗和 Log Analytics 執行 Azure 數據總管數據源的跨資源查詢。 如需詳細資訊,請參閱 使用 Azure 監視器跨資源查詢 Azure 數據總管。
下一步
在本文中,您已瞭解如何使用 Microsoft Sentinel 執行搜捕調查。
如需詳細資訊,請參閱