Sledování dat během proaování pomocí Služby Microsoft Sentinel

  • Článek
  • 6 min ke čtení

Poznámka

Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.

Poznámka

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tématu věnovaném tabulkám Sentinel Microsoftu v cloudu dostupnost funkcí pro státní správu USA.

Proašování hrozeb obvykle vyžaduje prohledání hrozí dat protokolu a hledá známky škodlivého chování. Během tohoto procesu vyšetřovatelé najdou události, které si chtějí zapamatovat, znovu se k tomu vracet a analyzovat v rámci ověřování potenciálních hypotéz a pochopení plného scénáře ohrožení.

Záložky pro proacích v Microsoft Sentinelu vám s tím pomůžou, protože se zachovávají dotazy, které jste spustili v Microsoft Sentinelu– protokoly, spolu s výsledky dotazů, které vykládáte jako relevantní. Můžete také zaznamenat svá kontextová pozorování a odkazovat na svá zjištění přidáváním poznámek a značek. Data v záložkách můžete vidět vy a ostatní členové vašeho týmu, což usnadňuje spolupráci.

Teď můžete identifikovat a řešit mezery v pokrytí techniky MITRE ATT&CK ve všech dotazech pro proacích, a to mapováním vlastních dotazů pro proacích na techniky MITRE ATT&CK.

Důležité

Mapování MITRE ATT&CK na záložky je aktuálně ve verzi PREVIEW. Další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, Preview nebo které ještě nejsou všeobecně dostupné, najdete v dodatečných podmínkách použití pro verze Microsoft Azure Preview.

Můžete také prozkoumat více typů entit při proaktivním vyhledávání pomocí záložek tím, že ve vlastních dotazech namapíte úplnou sadu typů entit a identifikátorů podporovaných analýzou Microsoft Sentinel. Díky tomu můžete pomocí záložek prozkoumat entity vrácené ve výsledcích dotazů pro proacích pomocí stránek entit, incidentů a grafu šetření. Pokud záložka zachytí výsledky dotazu proacích, automaticky zdědí MITRE ATT&CK a mapování entit.

Důležité

Mapování rozšířené sady typů entit a identifikátorů na záložky je aktuálně ve verzi PREVIEW. Další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, Preview nebo které ještě nejsou všeobecně dostupné, najdete v dodatečných podmínkách použití pro verze Microsoft Azure Preview.

Pokud v protokolech najdete něco, co je potřeba okamžitě vyřešit při proaování, můžete snadno vytvořit záložku a buď ji povýšit na incident, nebo ji přidat k existujícímu incidentu. Další informace o incidentech najdete v tématu Vyšetřování incidentů pomocí služby Microsoft Sentinel.

Pokud jste našli něco, co stojí za vytvoření záložky, ale to není okamžitě naléhavé, můžete si vytvořit záložku a pak se kdykoli znovu k datům v záložkách v podokně Proacích na kartě Záložky znovu vracet. Pomocí možností filtrování a hledání můžete rychle najít konkrétní data pro vaše aktuální prověřování.

Data v záložkách můžete vizualizovat tak, že v podrobnostech záložky vyberete Prozkoumat. Tím se spustí prověřovací prostředí, ve kterém můžete zobrazit, prozkoumat a vizuálně sdělit své závěry pomocí interaktivního diagramu a časové osy grafu entit.

Případně můžete data v záložkách zobrazit přímo v tabulce HuntingBookmark v pracovním prostoru služby Log Analytics. Například:

Snímek obrazovky se zobrazením tabulky záložek proacích

Zobrazení záložek z tabulky umožňuje filtrovat, sumarizovat a spojit data v záložkách s jinými zdroji dat, což usnadňuje vyhledávání korelace důkazů.

Přidání záložky

  1. V části Azure Portal na Microsoft Sentinel Threat Management Hunting a spusťte dotazy na podezřelé a > > neobvyklé chování.

  2. Vyberte jeden z dotazů pro proacích a na pravé straně v podrobnostech dotazů pro proacích vyberte Spustit dotaz.

  3. Vyberte Zobrazit výsledky dotazu. Například:

    Snímek obrazovky se zobrazením výsledků dotazů z proacích Microsoft Sentinelu

    Tato akce otevře výsledky dotazu v podokně Protokoly.

  4. V seznamu výsledků dotazu protokolu pomocí zaškrtávacích políček vyberte jeden nebo více řádků, které obsahují zajímavé informace.

  5. Vyberte Přidat záložku:

    Snímek obrazovky s přidáním záložky pro proacích k dotazování

  6. Na pravé straně v podokně Přidat záložku můžete volitelně aktualizovat název záložky, přidat značky a poznámky, abyste mohli zjistit, co bylo o položce zajímavé.

  7. (Preview) Záložky je možné volitelně mapovat na MITRE ATT&nebo dílčích technikách CK. Mapování MITRE ATT&CK se dědí z mapovaných hodnot v dotazech pro proacích, ale můžete je také vytvořit ručně. V rozevírací nabídce v části Tactics & Techniques (Preview) v podokně Přidat záložku vyberte taktiku MITRE ATT&CK přidruženou k požadované technice. Nabídka se rozbalí a zobrazí všechny techniky MITRE ATT&CK. V této nabídce můžete vybrat několik technik a dílčích technik.

    Snímek obrazovky s mapou taktiky a technik útoku Mitre na záložky

  8. (Preview) Teď je možné z výsledků dotazů v záložkách extrahovat rozšířenou sadu entit pro další šetření. V části Mapování entit (Preview) vyberte pomocí rozevíracích seznamu typy entit a identifikátory. Potom namapovat sloupec ve výsledcích dotazu obsahující odpovídající identifikátor. Například:

    Snímek obrazovky pro mapování typů entit pro záložky proacích

    Pokud chcete záložku zobrazit v grafu šetření, musíte namapovat alespoň jednu entitu. Mapování entit na typy entit účtů, hostitelů, IP adres a adres URL vytvořených před tímto náhledem se stále podporují a zachovávají zpětnou kompatibilitu.

  9. Kliknutím na Uložit potvrďte změny a přidejte záložku. Všechna data v záložkách se sdílí s ostatními analytiky a je prvním krokem k prostředí pro spolupráci při šetření.

Poznámka

Výsledky dotazu na protokol podporují záložky při každém otevření tohoto podokna ze služby Microsoft Sentinel. Na navigačním panelu například vyberete Obecné protokoly, vyberete odkazy na události v grafu vyšetřování nebo vyberete ID upozornění z úplných podrobností incidentu (aktuálně ve verzi > Preview). Záložky nemůžete vytvářet při otevření podokna Protokoly z jiných umístění, například přímo z Azure Monitor.

Zobrazení a aktualizace záložek

  1. V části Azure Portal na Microsoft Sentinel > Threat Management > Hunting.

  2. Výběrem karty Záložky zobrazte seznam záložek.

  3. Pokud chcete najít konkrétní záložku, použijte vyhledávací pole nebo možnosti filtru.

  4. Vyberte jednotlivé záložky a zobrazte podrobnosti o záložkách v pravém podokně podrobností.

  5. Proveďte změny podle potřeby, které se automaticky uloží.

Zkoumání záložek v grafu šetření

  1. V části Azure Portal na kartu Záložky pro proašetřování správy hrozeb služby Microsoft Sentinel a vyberte záložku nebo záložky, > > > které chcete prozkoumat.

  2. V podrobnostech záložky se ujistěte, že je namapovaná alespoň jedna entita.

  3. Vyberte Prozkoumat a zobrazte záložku v grafu prověřování.

Pokyny k použití grafu šetření najdete v tématu Použití grafu šetření k podrobnému zkoumání.

Přidání záložek k novému nebo existujícímu incidentu

  1. V části Azure Portal na kartu Záložky pro proašeře proašování hrozeb ve službě Microsoft Sentinel a vyberte záložku nebo záložky, které chcete přidat > > > k incidentu.

  2. Na panelu příkazů vyberte Akce incidentu:

    Snímek obrazovky s přidáním záložek k incidentu

  3. Podle potřeby vyberte Create new incident (Vytvořit nový incident) nebo Add to existing incident (Přidat k existujícímu incidentu). Potom:

    • Pro nový incident: Volitelně můžete aktualizovat podrobnosti o incidentu a pak vybrat Vytvořit.
    • Přidání záložky k existujícímu incidentu: Vyberte jeden incident a pak vyberte Přidat.

Zobrazení záložky v rámci incidentu: Přejděte na Microsoft Sentinel Threat Management Incidents (Incidenty správy hrozeb v Microsoft Sentinelu) a > > vyberte incident se záložkou. Vyberte Zobrazit úplné podrobnosti a pak vyberte kartu Záložky.

Tip

Jako alternativu k možnosti Akce incidentu na panelu příkazů můžete pomocí místní nabídky (...) pro jednu nebo více záložek vybrat možnosti Vytvořit nový incident, Přidat k existujícímu incidentu a Odebrat z incidentu.

Zobrazení dat v záložkách v protokolech

Pokud chcete zobrazit dotazy, výsledky nebo historii dotazů v záložkách, vyberte záložku na kartě Záložky pro vyhledávání a použijte odkazy v > podokně podrobností:

  • Zobrazením zdrojového dotazu zobrazíte zdrojový dotaz v podokně Protokoly.

  • Zobrazte si protokoly záložek, abyste viděli všechna metadata záložek, včetně toho, kdo provedl aktualizaci, aktualizované hodnoty a čas, kdy k aktualizaci došlo.

Nezpracovaná data záložek pro všechny záložky můžete zobrazit také tak, že na panelu příkazů na kartě Záložky proacích vyberete > Protokoly záložek:

Snímek obrazovky s příkazem pro protokoly záložek

V tomto zobrazení se zobrazí všechny záložky s přidruženými metadaty. Pomocí dotazů KQL (Kusto Query Language) můžete vyfiltrovat nejnovější verzi konkrétní záložky, kterou hledáte.

Poznámka

Mezi časem vytvoření záložky a zobrazením záložky na kartě Záložky může dolyštá prodleva (měřená v minutách).

Odstranění záložky

  1. V části Azure Portal na kartu Záložky pro proašeře proašování hrozeb ve službě Microsoft Sentinel a vyberte záložku nebo > > > záložky, které chcete odstranit.

  2. Klikněte pravým tlačítkem na vybrané položky a vyberte možnost odstranění počtu vybraných záložek.

Odstranění záložky odebere záložku ze seznamu na kartě Záložka. Tabulka HuntingBookmark vašeho pracovního prostoru služby Log Analytics bude nadále obsahovat předchozí položky záložek, ale nejnovější položka změní hodnotu SoftDelete na true, což usnadňuje odfiltrování starých záložek. Odstraněním záložky neodeberete z prostředí šetření žádné entity, které jsou přidružené k jiným záložkám nebo výstrahám.

Další kroky

V tomto článku jste zjistili, jak spustit proašeření pomocí záložek ve službě Microsoft Sentinel. Další informace o Microsoft Sentinelu najdete v následujících článcích: