Поделиться через

Проведение комплексной упреждающей охоты на угрозы в Microsoft Sentinel

  • Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Упреждающая охота на угрозы — это процесс, в котором аналитики безопасности ищут незамеченные угрозы и вредоносные действия. Создавая гипотезу, просматривая данные и проверяя данную гипотезу, они определяют, на что действовать. Действия могут включать создание новых обнаружений, новую аналитику угроз или создание нового инцидента.

Используйте полный интерфейс охоты в Microsoft Sentinel, чтобы:

  • Упреждающая охота на основе конкретных методов MITRE, потенциально вредоносных действий, недавних угроз или собственной пользовательской гипотезы.
  • Используйте запросы на охоту, созданные исследователем безопасности, или пользовательские запросы охоты, чтобы исследовать вредоносное поведение.
  • Проводите охоту с помощью нескольких вкладок сохраняемого запроса, которые позволяют сохранять контекст с течением времени.
  • Соберите доказательства, изучите источники UEBA и заметьте свои выводы с помощью определенных закладок.
  • Совместная работа и документирование результатов с комментариями.
  • Действовать на основе результатов путем создания новых аналитических правил, новых инцидентов, новых индикаторов угроз и выполнения сборников схем.
  • Следите за новыми, активными и закрытыми охотами в одном месте.
  • Просмотр метрик на основе проверенных гипотез и реальных результатов.

Внимание

Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.

Начиная с июля 2026 года Microsoft Sentinel будет поддерживаться только на портале Defender, и все остальные клиенты, использующие портал Azure, будут автоматически перенаправлены.

Мы рекомендуем всем клиентам, использующим Microsoft Sentinel в Azure, начать планирование перехода на портал Defender для полного единого взаимодействия с безопасностью, предлагаемого Microsoft Defender. Дополнительные сведения см. в статье "Планирование перехода на портал Microsoft Defender" для всех клиентов Microsoft Sentinel.

Необходимые компоненты

Чтобы использовать функцию охоты, необходимо назначить встроенную роль Microsoft Sentinel или пользовательскую роль RBAC Azure. Ниже приведены параметры.

Определение гипотезы

Определение гипотезы является открытым, гибким процессом и может включать любую идею, которую вы хотите проверить. Распространенные гипотезы включают:

  • Подозрительное поведение. Анализ потенциально вредоносных действий, видимых в вашей среде, чтобы определить, происходит ли атака.
  • Новая кампания по угрозе. Найдите типы вредоносных действий на основе недавно обнаруженных субъектов угроз, методов или уязвимостей. Это может быть то, что вы слышали о в статье новостей системы безопасности.
  • Пробелы в обнаружении. Увеличьте охват обнаружения с помощью карты MITRE ATT&CK для выявления пробелов.

Microsoft Sentinel обеспечивает гибкость по мере того, как вы ноль в правильном наборе запросов охоты для изучения гипотезы. При создании охоты инициируйте его с предварительно выбранными запросами охоты или добавляйте запросы по мере выполнения. Ниже приведены рекомендации по предварительно выбранным запросам на основе наиболее распространенных гипотез.

Гипотеза — подозрительное поведение

  1. Для Microsoft Sentinel на портале Azure в разделе "Управление угрозами" выберите "Охота".
    Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Threat Management>Hunting.

  2. Перейдите на вкладку "Запросы ". Чтобы определить потенциально вредоносное поведение, выполните все запросы.

  3. Выберите «Выполнить все запросы»> и дождитесь выполнения запросов. Этот процесс может занять некоторое время.

  4. Выберите Добавить фильтр>Результаты> снимите отметки с флажков "!", "N/A", "-", и "0" >ПрименитьСнимок экрана, на котором показан фильтр, описанный в шаге 3.

  5. Сортируйте эти результаты по столбцу Results Delta , чтобы узнать, что изменилось в последнее время. Эти результаты предоставляют первоначальные рекомендации по охоте.

Гипотеза — новая кампания по угрозе

Центр содержимого предлагает кампании угроз и решения на основе домена для поиска конкретных атак. На следующих шагах необходимо установить один из этих типов решений.

  1. Перейдите в Центр содержимого.

  2. Установите кампанию угроз или решение на основе домена, например обнаружение уязвимостей Log4J или Apache Tomcat.

    Скриншот показывает центр содержимого в виде сетки с выбранными решениями Log4J и Apache.

  3. После установки решения в Microsoft Sentinel перейдите в службу "Охота".

  4. Перейдите на вкладку "Запросы ".

  5. Выполните поиск по имени решения или фильтрации по имени источника решения.

  6. Выберите запрос и выполните запрос.

Гипотеза — пробелы в обнаружении

Карта MITRE ATT&CK помогает определить определенные пробелы в охвате обнаружения. Используйте предопределенные запросы охоты для конкретных методов MITRE ATT&CK в качестве отправной точки для разработки новой логики обнаружения.

  1. Перейдите на страницу MITRE ATT&CK (предварительная версия).

  2. Отмена выбора элементов в раскрывающемся меню "Активный".

  3. Выберите запросы поиска в фильтре "Имитация", чтобы увидеть, какие техники связаны с запросами поиска.

    Снимок экрана показывает страницу MITRE ATT&CK с выбранным параметром для моделируемых запросов охоты.

  4. Выберите карточку с нужным методом.

  5. Выберите ссылку "Просмотр" рядом с "Поисковые запросы" в нижней части панели сведений. Эта ссылка открывает отфильтрованный вид вкладки "Запросы" на странице "Охота" в зависимости от выбранного метода.

    Снимок экрана: представление карточки MITRE ATT&CK со ссылкой

  6. Выберите все запросы для этого метода.

Создание охоты

Существует два основных способа создания охоты.

  1. Если вы начали с гипотезы, в которой вы выбрали запросы, выберите раскрывающееся меню ">" создать новую охоту. Все выбранные запросы клонируются для этой новой охоты.

    Снимок экрана: выбранные запросы и выбранный параметр меню

  2. Если вы еще не определились с запросами, выберите вкладку "Охота (предварительная версия)", затем >, чтобы создать новую пустую охоту.

    Снимок экрана: меню для создания пустого поиска без предварительно выбранных запросов.

  3. Заполните имя охоты и необязательные поля. Описание является хорошим местом для словесной речевой гипотезы. Выпадающее меню Гипотеза — это место, где вы задаете статус вашей рабочей гипотезы.

  4. Нажмите кнопку "Создать" , чтобы приступить к работе.

    Снимок экрана: страница настройки охоты с именем, описанием, владельцем, статусом и состоянием гипотезы.

Просмотр сведений о охоте

  1. Перейдите на вкладку "Охота" (предварительная версия), чтобы просмотреть новую охоту.

  2. Выберите ссылку охоты по имени, чтобы просмотреть сведения и выполнить действия.

    Снимок экрана: новая охота на вкладке

  3. Просмотрите область сведений с именем охоты, описанием, содержимым, временем последнего обновления и временем создания.

  4. Обратите внимание на вкладки для запросов, закладок и сущностей.

    Снимок экрана: сведения о охоте.

Вкладка "Запросы"

Вкладка "Запросы" содержит запросы охоты, относящиеся к этой охоте. Эти запросы являются клонами исходных данных, независимо от всех остальных в рабочей области. Обновите или удалите их, не влияя на общий набор запросов охоты или запросов в других охотах.

Добавление запроса в охоту

  1. Выбор действий запросов>добавляет запросы для поиска
  2. Выберите запросы, которые нужно добавить. Снимок экрана: меню действий запроса на странице вкладок запросов.

Выполнение запросов

  1. Выберите "Выполнить все запросы" или выберите определенные запросы и выберите "Выполнить выбранные запросы".
  2. Выберите "Отмена", чтобы отменить выполнение запроса в любое время.

Управление запросами

  1. Щелкните правой кнопкой мыши запрос и выберите одно из следующих элементов в контекстном меню:

    • Беги
    • Редактировать
    • Клон
    • Удалить
    • Создание правила аналитики

    Снимок экрана показывает параметры контекстного меню, вызываемого правой кнопкой мыши, на вкладке

    Эти варианты работают так же, как и существующая таблица запросов на странице "Поиск", за исключением действий, применяемых только в рамках этого поиска. При выборе создания правила аналитики имя, описание и запрос KQL предварительно заполнен в создании нового правила. Создается ссылка для просмотра нового правила аналитики, найденного в разделе Связанные правила аналитики.

    Снимок экрана: сведения об охоте с соответствующим правилом аналитики.

Показать результаты

Эта функция позволяет просматривать результаты поиска log Analytics в результатах поиска Log Analytics. Отсюда проанализируйте результаты, уточните запросы и создайте закладки для записи сведений и дальнейшего изучения отдельных результатов по строкам.

  1. Нажмите кнопку "Просмотреть результаты ".
  2. Если перейти к другой части портала Microsoft Sentinel, перейдите обратно к интерфейсу поиска по журналам LA на странице охоты, все вкладки запросов LA остаются.
  3. Если закрыть вкладку браузера, эти вкладки запросов LA будут потеряны. Если вы хотите сохранить запросы в долгосрочной перспективе, необходимо сохранить запрос, создать новый поисковый запрос или скопировать его в комментарий для последующего использования в охоте.

Добавление закладки

При поиске интересных результатов или важных строк данных добавьте эти результаты в охоту, создав закладку. Дополнительные сведения см. в разделе "Использование закладок для поиска данных".

  1. Выберите нужную строку или строки.

  2. Над таблицей результатов выберите "Добавить закладку". Снимок экрана: добавление области закладки с заполненными необязательными полями.

  3. Назовите закладку.

  4. Задайте столбец времени события.

  5. Сопоставление идентификаторов сущностей.

  6. Задайте тактику и методы MITRE.

  7. Добавьте теги и добавьте заметки.

    Закладки сохраняют результаты определенной строки, запрос KQL и диапазон времени, который создал результат.

  8. Нажмите кнопку "Создать", чтобы добавить закладку в охоту.

Просмотр закладок

  1. Перейдите на вкладку закладки охоты, чтобы просмотреть закладки.

    Снимок экрана, показывающий закладку со всеми её сведениями и открытое меню действий.

  2. Выберите нужную закладку и выполните следующие действия:

    • Выберите ссылки сущности, чтобы просмотреть соответствующую страницу сущности UEBA.
    • Просмотр необработанных результатов, тегов и заметок.
    • Выберите "Просмотреть исходный запрос ", чтобы просмотреть исходный запрос в Log Analytics.
    • Выберите "Просмотреть журналы закладок" , чтобы просмотреть содержимое закладки в таблице закладок для поиска Log Analytics.
    • Нажмите кнопку "Исследовать ", чтобы просмотреть закладку и связанные сущности в графе исследования.
    • Нажмите кнопку "Изменить ", чтобы обновить теги, тактику и методы MITRE и заметки.

Взаимодействие с сущностями

  1. Перейдите на вкладку Entities вашей охоты, чтобы просматривать, искать и фильтровать сущности, содержащиеся в вашей охоте. Этот список создается из списка сущностей в закладках. Вкладка "Сущности" автоматически разрешает повторяющиеся записи.

  2. Выберите имена сущностей, чтобы посетить соответствующую страницу сущности UEBA.

  3. Щелкните правой кнопкой мыши сущность, чтобы выполнить действия, соответствующие типам сущностей, например добавление IP-адреса в TI или запуск конкретного сборника схем типа сущности.

    Снимок экрана: контекстное меню для сущностей.

Добавление комментариев

Комментарии являются отличным местом для совместной работы с коллегами, сохранения заметок и выводов документов.

  1. Выберите

  2. Введите и отформатируйте комментарий в поле редактирования.

  3. Добавьте результат запроса в качестве ссылки для участников совместной работы, чтобы быстро понять контекст.

  4. Нажмите кнопку "Комментарий ", чтобы применить комментарии.

    Снимок экрана: поле редактирования примечаний с запросом LA в качестве ссылки.

Создание инцидентов

Существует два варианта создания инцидентов во время охоты.

Вариант 1. Использование закладок.

  1. Выберите закладку или закладки.

  2. Нажмите кнопку "Действия инцидента".

  3. Выберите "Создать новый инцидент" или "Добавить в существующий инцидент"

    Снимок экрана: меню действий из окна закладок.

    • Для создания нового инцидента выполните инструкции. Вкладка "Закладки" предварительно заполнена выбранными закладками.
    • Чтобы добавить к существующему инциденту, выберите инцидент и нажмите кнопку "Принять ".

Вариант 2. Использование действий охоты.

  1. Выберите меню "Действия охоты>, чтобы создать инцидент, и выполните инструкции.

    Снимок экрана: меню действий «hunts» из окна закладок.

  2. На этапе добавления закладок используйте действие добавить закладки, чтобы выбрать их из результатов охоты и добавить в инцидент. Вы ограничены закладками, которые не назначены инциденту.

  3. После создания инцидента, он будет добавлен в список связанных инцидентов для этого поиска.

Состояние обновления

  1. Когда вы захватили достаточно доказательств для проверки или отмены гипотезы, обновите состояние гипотезы.

    Снимок экрана: выбор меню состояния гипотезы.

  2. Когда все действия, связанные с охотой, завершены, например создание правил аналитики, инцидентов или добавление индикаторов компрометации (IOCs) в TI, закройте охоту.

    Снимок экрана: выбор меню состояния

Эти обновления состояния отображаются на главной странице охоты и используются для отслеживания метрик.

Отслеживание метрики

Отслеживайте реальные результаты охоты с помощью панели метрик на вкладке "Охота ". Метрики показывают количество проверенных гипотез, созданных новых инцидентов и созданных новых правил аналитики. Используйте эти результаты, чтобы задать цели или отпраздновать вехи программы охоты.

Снимок экрана: метрики охоты.

Следующие шаги

В этой статье вы узнали, как запустить исследование охоты с функцией охоты в Microsoft Sentinel.

Дополнительные сведения см. в разделе: