Поделиться через


Проведение комплексной упреждающей охоты на угрозы в Microsoft Sentinel

Упреждающая охота на угрозы — это процесс, в котором аналитики безопасности ищут незамеченные угрозы и вредоносные действия. Создавая гипотезу, просматривая данные и проверяя данную гипотезу, они определяют, на что действовать. Действия могут включать создание новых обнаружений, новую аналитику угроз или создание нового инцидента.

Используйте полный интерфейс охоты в Microsoft Sentinel, чтобы:

  • Упреждающая охота на основе конкретных методов MITRE, потенциально вредоносных действий, недавних угроз или собственной пользовательской гипотезы.
  • Используйте запросы на охоту, созданные исследователем безопасности, или пользовательские запросы охоты, чтобы исследовать вредоносное поведение.
  • Проводите охоту с помощью нескольких вкладок сохраняемого запроса, которые позволяют сохранять контекст с течением времени.
  • Соберите доказательства, изучите источники UEBA и заметьте свои выводы с помощью определенных закладок.
  • Совместная работа и документирование результатов с комментариями.
  • Действовать на основе результатов путем создания новых аналитических правил, новых инцидентов, новых индикаторов угроз и выполнения сборников схем.
  • Следите за новыми, активными и закрытыми охотами в одном месте.
  • Просмотр метрик на основе проверенных гипотез и реальных результатов.

Внимание

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Необходимые компоненты

Чтобы использовать функцию охоты, необходимо назначить встроенную роль Microsoft Sentinel или пользовательскую роль RBAC Azure. Ниже приведены параметры.

Определение гипотезы

Определение гипотезы является открытым, гибким процессом и может включать любую идею, которую вы хотите проверить. Распространенные гипотезы включают:

  • Подозрительное поведение. Анализ потенциально вредоносных действий, видимых в вашей среде, чтобы определить, происходит ли атака.
  • Новая кампания по угрозе. Найдите типы вредоносных действий на основе недавно обнаруженных субъектов угроз, методов или уязвимостей. Это может быть то, что вы слышали о в статье новостей системы безопасности.
  • Пробелы в обнаружении. Увеличьте охват обнаружения с помощью карты MITRE ATT&CK для выявления пробелов.

Microsoft Sentinel обеспечивает гибкость по мере того, как вы ноль в правильном наборе запросов охоты для изучения гипотезы. При создании охоты инициируйте его с предварительно выбранными запросами охоты или добавляйте запросы по мере выполнения. Ниже приведены рекомендации по предварительно выбранным запросам на основе наиболее распространенных гипотез.

Гипотеза — подозрительное поведение

  1. Для Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите "Охота".
    Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Threat Management>Hunting.

  2. Перейдите на вкладку "Запросы ". Чтобы определить потенциально вредоносное поведение, выполните все запросы.

  3. Выберите "Выполнить все запросы", пока запросы> будут выполнены. Этот процесс может занять некоторое время.

  4. Выберите "Добавить результаты> фильтра>" снимите флажки "!", "N/A", "-" и "0" применить значения >Снимок экрана: фильтр, описанный на шаге 3.

  5. Сортируйте эти результаты по столбцу Results Delta , чтобы узнать, что изменилось в последнее время. Эти результаты предоставляют первоначальные рекомендации по охоте.

Гипотеза — новая кампания по угрозе

Центр содержимого предлагает кампании угроз и решения на основе домена для поиска конкретных атак. На следующих шагах необходимо установить один из этих типов решений.

  1. Перейдите в Центр содержимого.

  2. Установите кампанию угроз или решение на основе домена, например обнаружение уязвимостей Log4J или Apache Tomcat.

    Снимок экрана: концентратор содержимого в представлении сетки с выбранными решениями Log4J и Apache.

  3. После установки решения в Microsoft Sentinel перейдите в службу "Охота".

  4. Перейдите на вкладку "Запросы ".

  5. Выполните поиск по имени решения или фильтрации по имени источника решения.

  6. Выберите запрос и выполните запрос.

Гипотеза — пробелы в обнаружении

Карта MITRE ATT&CK помогает определить определенные пробелы в охвате обнаружения. Используйте предопределенные запросы охоты для конкретных методов MITRE ATT&CK в качестве отправной точки для разработки новой логики обнаружения.

  1. Перейдите на страницу MITRE ATT&CK (предварительная версия).

  2. Отмена выбора элементов в раскрывающемся меню "Активный".

  3. Выберите запросы охоты в фильтре "Имитация", чтобы узнать, какие методы имеют запросы охоты, связанные с ними.

    Снимок экрана: страница MITRE ATT&CK с выбранным параметром для имитированных запросов охоты.

  4. Выберите карточку с нужным методом.

  5. Щелкните ссылку "Вид" рядом с запросами "Охота" в нижней части области сведений. Эта ссылка позволяет просмотреть отфильтрованное представление вкладки "Запросы " на странице "Охота " на основе выбранного метода.

    Снимок экрана: представление карточки MITRE ATT&CK со ссылкой

  6. Выберите все запросы для этого метода.

Создание охоты

Существует два основных способа создания охоты.

  1. Если вы начали с гипотезы, в которой вы выбрали запросы, выберите раскрывающееся меню >"Действия охоты" создать новую охоту. Все выбранные запросы клонируются для этой новой охоты.

    Снимок экрана: выбранные запросы и выбранный параметр меню

  2. Если вы еще не решили на запросы, выберите вкладку > "Охота ( предварительная версия)", чтобы создать пустую охоту.

    Снимок экрана: меню для создания пустой охоты без предварительно выбранных запросов.

  3. Заполните имя охоты и необязательные поля. Описание является хорошим местом для словесной речевой гипотезы. Меню "Гипотеза " вытягивается в том месте, где вы задаете состояние вашей рабочей гипотезы.

  4. Нажмите кнопку "Создать" , чтобы приступить к работе.

    Снимок экрана: страница создания охоты с именем охоты, описанием, владельцем, состоянием и состоянием гипотезы.

Просмотр сведений о охоте

  1. Перейдите на вкладку "Охота" (предварительная версия), чтобы просмотреть новую охоту.

  2. Выберите ссылку охоты по имени, чтобы просмотреть сведения и выполнить действия.

    Снимок экрана: новая охота на вкладке

  3. Просмотрите область сведений с именем охоты, описанием, содержимым, временем последнего обновления и временем создания.

  4. Обратите внимание на вкладки для запросов, закладок и сущностей.

    Снимок экрана: сведения о охоте.

Вкладка "Запросы"

Вкладка "Запросы" содержит запросы охоты, относящиеся к этой охоте. Эти запросы являются клонами исходных данных, независимо от всех остальных в рабочей области. Обновите или удалите их, не влияя на общий набор запросов охоты или запросов в других охотах.

Добавление запроса в охоту

  1. Выбор действий>запроса добавляет запросы для охоты
  2. Выберите запросы, которые нужно добавить. Снимок экрана: меню действий запроса на странице вкладок запросов.

Выполнение запросов

  1. Выберите "Выполнить все запросы" или выберите определенные запросы и выберите "Выполнить выбранные запросы".
  2. Выберите "Отмена", чтобы отменить выполнение запроса в любое время.

Управление запросами

  1. Щелкните правой кнопкой мыши запрос и выберите одно из следующих элементов в контекстном меню:

    • Выполнить
    • Изменить
    • Клонировать
    • Удаление
    • Создание правила аналитики

    Снимок экрана: параметры контекстного меню правой кнопкой мыши на вкладке

    Эти параметры работают так же, как и существующая таблица запросов на странице "Поиск ", за исключением действий, применяемых только в рамках этой охоты. При выборе создания правила аналитики имя, описание и запрос KQL предварительно заполнен в создании нового правила. Ссылка создается для просмотра нового правила аналитики, найденного в соответствии с правилами связанной аналитики.

    Снимок экрана: сведения о охоте с соответствующим правилом аналитики.

Показать результаты

Эта функция позволяет просматривать результаты поиска log Analytics в результатах поиска Log Analytics. Отсюда проанализируйте результаты, укажите запросы и создайте закладки для записи сведений и дальнейшего изучения отдельных результатов строки.

  1. Нажмите кнопку "Просмотреть результаты ".
  2. Если перейти к другой части портала Microsoft Sentinel, перейдите обратно к интерфейсу поиска по журналам LA на странице охоты, все вкладки запросов LA остаются.
  3. Если закрыть вкладку браузера, эти вкладки запросов LA будут потеряны. Если вы хотите сохранить запросы в долгосрочной перспективе, необходимо сохранить запрос, создать новый поисковый запрос или скопировать его в комментарий для последующего использования в охоте.

Добавление закладки

При поиске интересных результатов или важных строк данных добавьте эти результаты в охоту, создав закладку. Дополнительные сведения см. в разделе "Использование закладок для поиска данных".

  1. Выберите нужную строку или строки.

  2. Над таблицей результатов выберите "Добавить закладку". Снимок экрана: добавление области закладки с заполненными необязательными полями.

  3. Назовите закладку.

  4. Задайте столбец времени события.

  5. Сопоставление идентификаторов сущностей.

  6. Задайте тактику и методы MITRE.

  7. Добавьте теги и добавьте заметки.

    Закладки сохраняют результаты определенной строки, запрос KQL и диапазон времени, который создал результат.

  8. Нажмите кнопку "Создать", чтобы добавить закладку в охоту.

Просмотр закладок

  1. Перейдите на вкладку закладки охоты, чтобы просмотреть закладки.

    Снимок экрана: закладка со всеми его сведениями и откроется меню действий охоты.

  2. Выберите нужную закладку и выполните следующие действия:

    • Выберите ссылки сущности, чтобы просмотреть соответствующую страницу сущности UEBA.
    • Просмотр необработанных результатов, тегов и заметок.
    • Выберите "Просмотреть исходный запрос", чтобы просмотреть исходный запрос в Log Analytics.
    • Выберите "Просмотреть журналы закладок", чтобы просмотреть содержимое закладки в таблице закладок для поиска Log Analytics.
    • Нажмите кнопку "Исследовать ", чтобы просмотреть закладку и связанные сущности в графе исследования.
    • Нажмите кнопку "Изменить ", чтобы обновить теги, тактику и методы MITRE и заметки.

Взаимодействие с сущностями

  1. Перейдите на вкладку сущностей охоты, чтобы просматривать, искать и фильтровать сущности, содержащиеся в охоте. Этот список создается из списка сущностей в закладках. Вкладка "Сущности" автоматически разрешает повторяющиеся записи.

  2. Выберите имена сущностей, чтобы посетить соответствующую страницу сущности UEBA.

  3. Щелкните правой кнопкой мыши сущность, чтобы выполнить действия, соответствующие типам сущностей, например добавление IP-адреса в TI или запуск конкретного сборника схем типа сущности.

    Снимок экрана: контекстное меню для сущностей.

Добавление комментариев

Комментарии являются отличным местом для совместной работы с коллегами, сохранения заметок и выводов документов.

  1. Выберите

  2. Введите и отформатируйте комментарий в поле редактирования.

  3. Добавьте результат запроса в качестве ссылки для участников совместной работы, чтобы быстро понять контекст.

  4. Нажмите кнопку "Комментарий", чтобы применить комментарии.

    Снимок экрана: поле редактирования примечаний с запросом LA в качестве ссылки.

Создание инцидентов

Существует два варианта создания инцидентов во время охоты.

Вариант 1. Использование закладок.

  1. Выберите закладку или закладки.

  2. Нажмите кнопку "Действия инцидента".

  3. Выберите "Создать новый инцидент" или "Добавить в существующий инцидент"

    Снимок экрана: меню действий инцидентов из окна закладок.

    • Для создания нового инцидента выполните инструкции. Вкладка "Закладки" предварительно заполнена выбранными закладками.
    • Чтобы добавить к существующему инциденту, выберите инцидент и нажмите кнопку "Принять ".

Вариант 2. Использование действий охоты.

  1. Выберите меню> "Действия охоты", чтобы создать инцидент, и выполните инструкции.

    Снимок экрана: меню действий охоты из окна закладок.

  2. На этапе добавления закладок используйте действие "Добавить закладки", чтобы выбрать закладки из охоты, чтобы добавить в инцидент. Вы ограничены закладками, которые не назначены инциденту.

  3. После создания инцидента он будет связан в списке связанных инцидентов для этой охоты .

Состояние обновления

  1. Когда вы захватили достаточно доказательств для проверки или отмены гипотезы, обновите состояние гипотезы.

    Снимок экрана: выбор меню состояния гипотезы.

  2. Когда все действия, связанные с охотой, завершены, например создание правил аналитики, инцидентов или добавление индикаторов компрометации (IOCs) в TI, закройте охоту.

    Снимок экрана: выбор меню состояния

Эти обновления состояния отображаются на главной странице охоты и используются для отслеживания метрик.

Отслеживание метрики

Отслеживайте реальные результаты действий охоты с помощью панели метрик на вкладке "Охота ". Метрики показывают количество проверенных гипотез, созданных новых инцидентов и созданных правил аналитики. Используйте эти результаты, чтобы задать цели или отпраздновать вехи программы охоты.

Снимок экрана: метрики охоты.

Следующие шаги

В этой статье вы узнали, как запустить исследование охоты с функцией охоты в Microsoft Sentinel.

Дополнительные сведения см. в разделе: