Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Как аналитики безопасности и следователи, вы хотите активно искать угрозы безопасности, но различные системы и устройства безопасности создают горы данных, которые может быть трудно проанализировать и отфильтровать по значимым событиям. Microsoft Sentinel имеет мощные средства поиска и запросов для поиска угроз безопасности в источниках данных вашей организации. Чтобы помочь аналитикам безопасности заблаговременно искать новые аномалии, которые не обнаруживаются вашими приложениями безопасности или даже запланированными правилами аналитики, охотничьи запросы помогут вам задать правильные вопросы, чтобы найти проблемы в данных, уже имеющихся в вашей сети.
Например, один из запросов предоставляет данные о самых необычных процессах, выполняемых в вашей инфраструктуре. Вы не хотите получать оповещение при каждом запуске. Они могут быть совершенно невинными. Но вы можете иногда взглянуть на запрос, чтобы узнать, есть ли что-нибудь необычное.
Важно!
После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Примечание.
Microsoft Sentinel трансляции будут доступны дольше. Для автоматизации запросов и уведомлений используйте задания KQL, правила аналитики или сборники схем. Эти альтернативы предлагают постоянные результаты запросов и поддержку для различных платформ обмена сообщениями.
Охота в Microsoft Sentinel (предварительная версия)
С охотой в Microsoft Sentinel ищите незамеченные угрозы и вредоносное поведение путем создания гипотезы, поиска данных, проверки этой гипотезы и действий при необходимости. Создавайте новые аналитические правила, аналитику угроз и инциденты на основе полученных результатов.
| Возможности | Описание |
|---|---|
| Определение гипотезы | Чтобы определить гипотезу, найдите вдохновение в карте MITRE, последних результатах запросов охоты, решениях концентратора содержимого или создайте собственные пользовательские охоты. |
| Изучение запросов и результатов закладки | После определения гипотезы перейдите на вкладку Запросы страницы охоты . Выберите запросы, связанные с гипотезой и Создать поиск , чтобы начать работу. Выполните поиск связанных запросов и изучите результаты с помощью интерфейса журналов. Добавляйте результаты непосредственно в поиск, чтобы примечать полученные результаты, извлекать идентификаторы сущностей и сохранять соответствующие запросы. |
| Исследование и принятие мер | Исследуйте еще глубже с помощью страниц сущностей UEBA. Запуск сборников схем для конкретных сущностей в сущностях с закладками. Используйте встроенные действия для создания новых аналитических правил, индикаторов угроз и инцидентов на основе результатов. |
| Отслеживание результатов | Запишите результаты охоты. Отслеживайте, проверена ли гипотеза. Оставьте подробные заметки в комментариях. Охота автоматически связывает новые правила аналитики и инциденты. Отслеживайте общее влияние программы охоты с помощью панели метрик. |
Чтобы приступить к работе, см. статью Ведение комплексной упреждающей охоты на угрозы в Microsoft Sentinel.
Охота на запросы
В Microsoft Sentinel в Defender выберитеОхота на управление> угрозами, а затем вкладку Запросы, чтобы выполнить все запросы, или выбранное подмножество. На вкладке Запросы перечислены все запросы охоты, установленные с решениями безопасности из Центра содержимого, а также все дополнительные запросы, созданные или измененные. Каждый запрос содержит описание того, что он ищет и какие данные он выполняет. Эти запросы группируются по тактике MITRE ATT&CK. Значки в верхней части классифицируют тип угрозы, например начальный доступ, сохраняемость и кражу. Методы MITRE ATT&CK показаны в столбце "Методы" и описывают конкретное поведение, определяемое запросом охоты.
Используйте вкладку запросы, чтобы определить, с чего начать поиск, посмотрев количество результатов, пики или изменение счетчика результатов за 24-часовой период. Сортировка и фильтрация по избранному, источнику данных, MITRE ATT&тактике или методу CK, результатам, разностным результатам или проценту разностных результатов. Просмотрите запросы, которым по-прежнему требуется подключение к источникам данных, и получите рекомендации по включению этих запросов.
В следующей таблице описаны подробные действия, доступные на панели мониторинга охоты.
| Действие | Описание |
|---|---|
| Узнайте, как запросы применяются к вашей среде | Нажмите кнопку Выполнить все запросы или выберите подмножество запросов с помощью полей проверка слева от каждой строки и нажмите кнопку Выполнить выбранные запросы. Выполнение запросов может занять от нескольких секунд до нескольких минут в зависимости от количества выбранных запросов, диапазона времени и объема запрашиваемых данных. |
| Просмотр запросов, возвращающих результаты | После выполнения запросов просмотрите запросы, возвращающие результаты, с помощью фильтра Результаты : — сортируйте, чтобы узнать, какие запросы имели наибольшее или наименьшее количество результатов. — Просмотрите запросы, которые вообще не активны в вашей среде, выбрав Н/Д в фильтре результатов . — наведите указатель мыши на значок сведений (i) рядом с Н/Д , чтобы увидеть, какие источники данных необходимы для активного выполнения этого запроса. |
| Определение пиков данных | Определите пики данных, отсортируя или отфильтровав разностные результаты или процент разностных результатов. Сравнивает результаты за последние 24 часа с результатами за предыдущие 24–48 часов, выделяя любые большие различия или относительную разницу в объеме. |
| Просмотр запросов, сопоставленных с тактикой MITRE ATT&CK | В строке тактики MITRE ATT&CK в верхней части таблицы отображается количество запросов, сопоставленных с каждой тактикой MITRE ATT&CK. Панель тактики динамически обновляется на основе текущего набора примененных фильтров. Позволяет увидеть, какие тактики MITRE ATT&CK отображаются при фильтрации по заданному количеству результатов, высокой разнице результатов, N/A результатам или любому другому набору фильтров. |
| Просмотр запросов, сопоставленных с методами MITRE ATT&CK | Запросы также можно сопоставить с методами MITRE ATT&CK. Вы можете фильтровать или сортировать методы MITRE ATT&CK с помощью фильтра Техники . Открыв запрос, вы можете выбрать метод, чтобы увидеть описание метода MITRE ATT&CK. |
| Сохранение запроса в избранное | Запросы, сохраненные в избранном, автоматически выполняются при каждом доступе к странице Охота . Вы можете создать собственный запрос охоты или клонировать и настроить существующий шаблон запроса на охоту. |
| Выполнение запросов | Выберите Выполнить запрос на странице сведений о запросе поиска, чтобы выполнить запрос непосредственно со страницы поиска. Количество совпадений отображается в таблице в столбце Результаты . Просмотрите список охотничьих запросов и их совпадений. |
| Проверка базового запроса | Выполните быструю проверку базового запроса в области сведений о запросе. Результаты можно просмотреть, щелкнув ссылку Просмотреть результаты запроса (под окном запроса) или кнопку Просмотреть результаты (в нижней части панели). Запрос открывает страницу Журналы (Log Analytics) и под запросом можно просмотреть совпадения для запроса. |
Используйте запросы до, во время и после компрометации, чтобы выполнить следующие действия:
До возникновения инцидента: недостаточно ожидания при обнаружении. Выполняйте упреждающие действия, выполняя любые запросы охоты на угрозы, связанные с данными, которые вы принимаете в рабочую область по крайней мере один раз в неделю.
Результаты упреждающей охоты обеспечивают раннее представление о событиях, которые могут подтвердить, что идет компрометация, или, по крайней мере, показать более слабые области в вашей среде, которые находятся под угрозой и нуждаются в внимании.
Во время компрометации: активно отслеживайте события, чтобы определить следующее действие субъекта угрозы, отправлять уведомления нужным людям и принимать меры для остановки атаки.
- Используйте задания KQL для мониторинга поведения злоумышленников и сохранения результатов запроса в Microsoft Sentinel озере данных.
- Анализ сохраненных результатов с помощью таких средств, как Security Copilot, записные книжки Jupyter, расширенная охота и запросы KQL.
- Отправка уведомлений в Teams, электронную почту и другие платформы обмена сообщениями.
После компрометации. После компрометации или инцидента обязательно улучшите охват и аналитические сведения, чтобы предотвратить подобные инциденты в будущем.
Измените существующие запросы или создайте новые, чтобы помочь с ранним обнаружением на основе аналитических сведений, полученных в случае компрометации или инцидента.
Если вы обнаружили или создали запрос охоты, предоставляющий ценные сведения о возможных атаках, создайте настраиваемые правила обнаружения на основе этого запроса и предоставьте эти аналитические сведения в виде оповещений для служб реагирования на инциденты безопасности.
Просмотрите результаты запроса и выберите Создать правило> генерацииоповещений Создать Microsoft Sentinel оповещение. Используйте мастер правил аналитики , чтобы создать новое правило на основе запроса. Дополнительные сведения см. в статье Создание пользовательских правил аналитики для обнаружения угроз.
Экспортируйте результаты и свяжите их с конкретными случаями для улучшения совместной работы SOC.
Вы также можете создавать запросы охоты на данные, хранящиеся в Azure Data Explorer. Дополнительные сведения см. в статье Сведения о создании запросов между ресурсами в документации по мониторингу Azure.
Чтобы найти дополнительные запросы и источники данных, перейдите в центр содержимого в Microsoft Sentinel или ознакомьтесь с ресурсами сообщества, такими как Microsoft Sentinel репозиторий GitHub.
Запросы охоты из коробки
Многие решения для обеспечения безопасности включают в себя запросы охоты из коробки. После установки решения, включающего запросы охоты из Центра содержимого, на вкладке Запросы охоты будут отображаться запросы для этого решения. Запросы выполняются к данным, хранящимся в таблицах журналов, например для создания процесса, событий DNS или других типов событий.
Многие доступные запросы охоты разрабатываются исследователями безопасности Майкрософт на постоянной основе. Они добавляют новые запросы к решениям безопасности и точно настраивают существующие запросы, чтобы предоставить точку входа для поиска новых обнаружений и атак.
Пользовательские запросы охоты
Создайте или измените запрос и сохраните его как собственный запрос или поделитесь им с пользователями, которые находятся в одном клиенте. В Microsoft Sentinel создайте настраиваемый запрос охоты на вкладке Запросы охоты>.
Дополнительные сведения см. в статье Создание пользовательских запросов охоты в Microsoft Sentinel.
Закладки для отслеживания данных
Охота на угрозы обычно требует просмотра гор данных журнала в поисках доказательств вредоносного поведения. В ходе этого процесса следователи находят события, которые они хотят запомнить, вернуться и проанализировать в рамках проверки потенциальных гипотез и понимания полной истории компромисса.
Во время охоты и исследования вы можете столкнуться с результатами запроса, которые выглядят необычными или подозрительными. Добавляйте в закладки эти элементы, чтобы вернуться к ним в будущем, например при создании или обогащении инцидента для исследования. События, такие как потенциальные первопричины, индикаторы компрометации или другие важные события, должны создаваться в виде закладки. Если ключевое событие, которое вы добавили в закладки, является достаточно серьезным, чтобы оправдать расследование, передайте его в инцидент.
В результатах установите флажки для всех строк, которые нужно сохранить, и выберите Добавить закладку. При этом создается запись для каждой помеченной строки, закладка, содержащая результаты строки и запрос, создавший результаты. Вы можете добавить собственные теги и заметки в каждую закладку.
- Как и в случае с правилами аналитики по расписанию, вы можете дополнить закладки сопоставлениями сущностей для извлечения нескольких типов сущностей и идентификаторов, а MITRE ATT&сопоставлениями CK для связывания конкретных тактик и методов.
- Закладки по умолчанию используют ту же сущность и MITRE ATT&сопоставления методов CK, что и охотничий запрос, создающий результаты закладки.
Просмотрите все результаты закладки, щелкнув вкладку Закладки на главной странице Охота . Добавьте теги в закладки, чтобы классифицировать их для фильтрации. Например, если вы исследуете кампанию атак, вы можете создать тег для кампании, применить тег к любым соответствующим закладкам, а затем отфильтровать все закладки на основе кампании.
Изучите один поиск закладки, выбрав закладку, а затем щелкните Исследовать в области сведений, чтобы открыть интерфейс исследования. Просматривайте, изучайте и визуально сообщайте результаты с помощью интерактивной диаграммы сущностей и временная шкала. Вы также можете напрямую выбрать указанную в списке сущность, чтобы просмотреть соответствующую страницу сущности этой сущности.
Вы также можете создать инцидент из одной или нескольких закладок или добавить одну или несколько закладок в существующий инцидент. Установите флажок слева от всех закладок, которые вы хотите использовать, а затем выберите Действия >по инцидентуСоздать новый инцидент или Добавить в существующий инцидент. Рассмотрите и расследуйте инцидент, как и любой другой.
Просматривайте данные в закладках непосредственно в таблице HuntingBookmark в рабочей области Log Analytics. Например, вы можете:
Просмотр закладок из таблицы позволяет фильтровать, суммировать и объединять данные в закладках с другими источниками данных, что упрощает поиск подтверждающих доказательств.
Сведения о начале использования закладок см. в статье Отслеживание данных во время охоты с помощью Microsoft Sentinel.
Записные книжки для проведения исследований
Когда поиск и исследование усложняется, используйте Microsoft Sentinel записные книжки, чтобы улучшить свою деятельность с помощью машинного обучения, визуализаций и анализа данных.
Записные книжки предоставляют своего рода виртуальную песочницу с собственным ядром, где можно провести полное исследование. Записная книжка может включать необработанные данные, код, выполняемый на этих данных, результаты и их визуализации. Сохраните записные книжки, чтобы вы могли поделиться ими с другими пользователями для повторного использования в организации.
Записные книжки могут быть полезны, когда поиск или исследование становится слишком большим, чтобы легко запоминать, просматривать сведения или когда вам нужно сохранить запросы и результаты. Чтобы упростить создание записных книжек и предоставление общего доступа к ним, Microsoft Sentinel предоставляет записные книжки Jupyter Notebook — среду с открытым кодом, интерактивную среду разработки и обработки данных, интегрированную непосредственно на странице записных книжек Microsoft Sentinel.
Дополнительные сведения см. в разделе:
- Использование Jupyter Notebook для поиска угроз безопасности
- Документация по Jupyter Project
- Вводная документация jupyter.
- Книга Infosec Jupyter
- Реальные учебники по Python
В следующей таблице описаны некоторые методы использования записных книжек Jupyter для помощи процессам в Microsoft Sentinel.
| Метод | Описание |
|---|---|
| Сохраняемость данных, повторяемость и обратная дорожка | Если вы работаете со многими запросами и наборами результатов, скорее всего, у вас есть некоторые недоработки. Необходимо решить, какие запросы и результаты следует хранить, а также как накапливать полезные результаты в одном отчете. Записные книжки Jupyter Notebook позволяют сохранять запросы и данные по мере использования, использовать переменные для повторного выполнения запросов с разными значениями или датами или сохранять запросы для повторного выполнения будущих исследований. |
| Скрипты и программирование | Используйте Jupyter Notebook для добавления программирования в запросы, в том числе: - Декларативные языки, такие как язык запросов Kusto (KQL) или SQL, для кодирования логики в одном, возможно, сложном операторе. - Процедурные языки программирования для выполнения логики в последовательности шагов. Разделите логику на шаги, чтобы помочь вам просматривать и отлаживать промежуточные результаты, добавлять функции, которые могут быть недоступны на языке запросов, и повторно использовать частичные результаты на последующих этапах обработки. |
| Ссылки на внешние данные | Хотя Microsoft Sentinel таблицы содержат большую часть данных телеметрии и событий, Записные книжки Jupyter могут связываться с любыми данными, доступными по сети или из файла. Использование Записных книжек Jupyter Позволяет включать такие данные, как: — данные во внешних службах, которыми вы не владеете, например данные о географическом расположении или источники аналитики угроз. — конфиденциальные данные, хранящиеся только в вашей организации, например базы данных кадров или списки ценных ресурсов. — данные, которые еще не перенесены в облако. |
| Специализированные средства обработки данных, машинного обучения и визуализации | Jupyter Notebook предоставляет больше визуализаций, библиотек машинного обучения, а также функции обработки и преобразования данных. Например, используйте Jupyter Notebook со следующими возможностями Python : - pandas для обработки, очистки и проектирования данных - Matplotlib, HoloViews и Plotly для визуализации - NumPy и SciPy для расширенной числовой и научной обработки - scikit-learn для машинного обучения - TensorFlow, PyTorch и Keras для глубокого обучения Совет. Записные книжки Jupyter notebook поддерживают ядра нескольких языков. Используйте магию для смешивания языков в одной записной книжке, позволяя выполнять отдельные ячейки с использованием другого языка. Например, можно получить данные с помощью ячейки скрипта PowerShell, обработать данные в Python и использовать JavaScript для визуализации. |
Средства безопасности MSTIC, Jupyter и Python
Центр аналитики угроз Майкрософт (MSTIC) — это команда аналитиков и инженеров майкрософт по безопасности, которые занимаются обнаружением безопасности для нескольких платформ Майкрософт и работают над выявлением и исследованием угроз.
MSTIC создала MSTICPy, библиотеку для исследований информационной безопасности и охоты в Jupyter Notebooks. MSTICPy предоставляет возможности многократного использования, которые позволяют ускорить создание записных книжек и упростить чтение записных книжек в Microsoft Sentinel.
Например, MSTICPy может:
- Запрос данных журнала из нескольких источников.
- Обогащение данных с помощью аналитики угроз, геолокаций и Azure данных ресурсов.
- Извлечение индикаторов активности (IoA) из журналов и распаковка закодированных данных.
- Выполните сложный анализ, например обнаружение аномальных сеансов и декомпозицию временных рядов.
- Визуализация данных с помощью интерактивных временных шкал, деревьев процессов и многомерных диаграмм-морфов.
MSTICPy также включает некоторые средства для экономии времени, например мини-приложения, которые задают границы времени запроса, выбирают и отображают элементы из списков, а также настраивают среду записных книжек.
Дополнительные сведения см. в разделе:
- Документация по MSTICPy
- Записные книжки Jupyter с Microsoft Sentinel возможностями охоты
- Расширенные конфигурации записных книжек Jupyter и MSTICPy в Microsoft Sentinel
Полезные операторы и функции
Охотничьи запросы встроены в язык запросов Kusto (KQL), мощном языке запросов с языком IntelliSense, который дает вам необходимые возможности и гибкость, чтобы перейти на новый уровень охоты.
Это тот же язык, который используется в запросах в правилах аналитики и в других Microsoft Sentinel. Дополнительные сведения см. в статье Справочник по языку запросов.
Следующие операторы особенно полезны при Microsoft Sentinel охоте на запросы:
where — фильтрация таблицы по подмножествию строк, удовлетворяющих предикату.
summarize — создание таблицы, которая агрегирует содержимое входной таблицы.
join — объединение строк двух таблиц для формирования новой таблицы путем сопоставления значений указанных столбцов из каждой таблицы.
count — возвращает количество записей во входном наборе записей.
top — возвращает первые N записей, отсортированных по указанным столбцам.
limit — возвращается до указанного количества строк.
project — выберите столбцы для включения, переименования или удаления, а также вставки новых вычисляемых столбцов.
extend — создание вычисляемых столбцов и добавление их в результирующий набор.
makeset — возвращает динамический массив (JSON) набора уникальных значений, которые Expr принимает в группе.
find — поиск строк, соответствующих предикату в наборе таблиц.
adx() — эта функция выполняет межресурсные запросы Azure Data Explorer источников данных из интерфейса поиска Microsoft Sentinel и Log Analytics. Дополнительные сведения см. в разделе Межресурсный запрос Azure Data Explorer с помощью монитора Azure.
Статьи по теме
- Записные книжки Jupyter с Microsoft Sentinel возможностями охоты
- Отслеживайте данные во время охоты с помощью Microsoft Sentinel
- Ознакомьтесь с примером использования настраиваемых правил аналитики при мониторинге масштаба с помощью пользовательского соединителя.