Loven pro hrozby s Microsoft Sentinel
Poznámka
Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.
Důležité
Prostředí dotazů mezi prostředky a upgrady na vlastní dotazy a záložky (viz označené položky níže) jsou momentálně ve verzi Preview. další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, preview nebo jinak ještě nedostupné ve všeobecné dostupnosti, najdete v tématu dodatečné podmínky použití pro Microsoft Azure preview.
Poznámka
Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tématu věnovaném tabulkám Sentinel Microsoftu v cloudu dostupnost funkcí pro státní správu USA.
Jako analytici a vyšetřovacíci zabezpečení chcete být proaktivní o vyhledávání bezpečnostních hrozeb, ale vaše různé systémy a bezpečnostní zařízení generují Mountains dat, která se můžou obtížně analyzovat a filtrovat na smysluplné události. Microsoft Sentinel obsahuje výkonné nástroje pro hledání v loveckém prostředí a dotazy k lovu pro bezpečnostní hrozby v rámci zdrojů dat vaší organizace. Aby se analytikům zabezpečení dokázali aktivně podívat na nové anomálie, které nezjistily vaše aplikace zabezpečení, nebo dokonce vaše plánovaná analytická pravidla, průvodce ověřovacími a loveckými dotazy společnosti Microsoft se dotáže na tyto otázky, které vám pomohou najít problémy v datech, která už máte ve vaší síti.
Například jeden integrovaný dotaz poskytuje data o většině neobvyklých procesů, které jsou na vaší infrastruktuře spuštěné. Nechcete, aby se při každém spuštění zobrazila výstraha – můžou být zcela Innocent, ale můžete se podívat na dotaz v souvislosti s tím, že zjistíte, jestli nedošlo k nějakému neobvyklému využití.
Použití integrovaných dotazů
Řídicí panel pro lov nabízí předem připravené příklady dotazů, které vám pomůžou začít a seznámit se s tabulkami a dotazovacím jazykem. Dotazy běží na datech uložených v tabulkách protokolu, například pro vytváření procesů, události DNS nebo jiné typy událostí.
Vestavěné lovecké dotazy jsou vyvíjené výzkumnými pracovníky Microsoftu, a to tak, že se přidávají nové dotazy a vyladí stávající dotazy, které vám poskytnou vstupní bod, který vám poskytne nové detekce a zjistí, kde začít s vývojem nových útoků na začátek.
Pomocí dotazů před, během a po ohrožení zabezpečení proveďte následující akce:
Předtím, než dojde k incidentu: čekání na detekci není dostatečné. Využijte proaktivní akce tak, že spustíte všechny dotazy na hrozby související s daty, která do svého pracovního prostoru sledujete aspoň jednou týdně.
Výsledky proaktivního lovu poskytují včasné přehledy o událostech, které mohou potvrdit, že došlo k ohrožení zabezpečení, nebo alespoň zobrazit slabší oblasti ve vašem prostředí, které jsou ohrožené a vyžadují pozornost.
Během ohrožení: pomocí živě spustit konkrétní dotaz nepřetržitě a prezentujte výsledky tak, jak jsou. Živě použijte v případě, že potřebujete aktivně monitorovat události uživatelů, například pokud potřebujete ověřit, jestli je stále prováděné určité napadení, abyste zjistili další akci útočníka s hrozbami a na konci šetření ověřili, že je narušeno zabezpečení.
Po ohrožení: po ohrožení nebo incidentu se ujistěte, že vylepšíte své pokrytí a přehled, abyste zabránili podobným incidentům v budoucnu.
V závislosti na přehledech, které jste získali z vašeho ohrožení nebo incidentu, můžete upravit svoje existující dotazy nebo vytvořit nové.
Pokud jste zjistili nebo vytvořili lovecký dotaz, který poskytuje přehledy o možných útokech s vysokými hodnotami, vytvořte na základě tohoto dotazu pravidla pro vlastní detekci a obdržíte tyto poznatky jako upozornění na vaše reakce na incidenty zabezpečení.
Zobrazte výsledky dotazu a vyberte nové pravidlo výstrahy > vytvořit výstrahu Microsoft Sentinel. Pomocí Průvodce analytickým pravidlem vytvořte nové pravidlo založené na dotazu. Další informace najdete v tématu Vytvoření vlastních pravidel analýzy pro detekci hrozeb.
Tip
Nyní ve verzi Public Preview můžete také vytvářet lovecké a živě dotazy nad daty uloženými v Azure Průzkumník dat. Další informace najdete v tématu podrobnosti o vytváření dotazů mezi prostředky v dokumentaci k Azure monitor.
pokud chcete najít další dotazy a zdroje dat, použijte komunitní prostředky, jako je například Microsoft Sentinel GitHub úložiště .
Použití řídicího panelu pro lov
Řídicí panel pro lov umožňuje spouštět všechny dotazy nebo vybrané podmnožiny v jednom výběru. Na portálu Microsoft Sentinel vyberte možnost lov.
V zobrazené tabulce jsou uvedené všechny dotazy napsané týmem analytiků zabezpečení od Microsoftu a dalších dalších dotazů, které jste vytvořili nebo upravili. Každý dotaz poskytuje popis toho, co je v nástroji k dispozici, a druh dat, na kterých se spouští. Tyto dotazy jsou seskupeny podle jejich MITRE ATT&CK taktiku. Ikony vpravo roztřídí typ hrozby, například počáteční přístup, trvalost a exfiltrace. Techniky MITRE ATT&CK se zobrazují ve sloupci techniky a popisují konkrétní chování zjištěné loveckým dotazem.
Pomocí řídicího panelu pro lov se můžete podívat na to, kde začít lov, a to zobrazením počtu výsledků, špičky nebo změny v počtu výsledků za 24 hodin. Řazení a filtrování podle oblíbených položek, zdroje dat, MITRE ATT&CK cílemí nebo techniky, výsledků, rozdílových výsledků nebo procentuálního rozdílu výsledků. Umožňuje zobrazit dotazy, které stále potřebují zdroje dat připojené * *, a získat doporučení, jak tyto dotazy povolit.
Následující tabulka popisuje podrobné akce, které jsou k dispozici na řídicím panelu pro lov:
| Akce | Popis |
|---|---|
| Podívejte se, jak se dotazy vztahují na vaše prostředí. | Vyberte tlačítko Spustit všechny dotazy (Preview) nebo vyberte podmnožinu dotazů pomocí zaškrtávacích políček vlevo od každého řádku a vyberte tlačítko Spustit vybrané dotazy (Preview) . Spouštění dotazů může trvat pár sekund až několik minut, a to v závislosti na tom, kolik dotazů se vybralo, časový rozsah a množství dat, která se dotazují. |
| Zobrazení dotazů, které vrátily výsledky | Po dokončení vašich dotazů si prohlédněte dotazy, které vrátily výsledky, pomocí filtru výsledků : – Pokud chcete zjistit, které dotazy měly nejvyšší nebo nejnižší výsledky. – Zobrazení dotazů, které nejsou ve vašem prostředí aktivní, tak, že v filtru výsledků vyberete N/a . – Umístěte ukazatel myši na ikonu informace (i) vedle pole N/a , abyste viděli, které zdroje dat jsou nutné k tomu, aby tento dotaz byl aktivní. |
| Identifikujte špičky ve vašich datech | Identifikujte špičky v datech řazením nebo filtrováním pro rozdíl výsledků nebo procento rozdílů výsledků. To porovnává výsledky posledních 24 hodin s výsledky předchozích 24-48 hodin a zvýrazní se velké rozdíly nebo relativní rozdíl v objemu. |
| Zobrazit dotazy namapované na MITRE ATT&CK cílem | Mitre ATT&CK cílem v horní části tabulky uvádí, kolik dotazů je namapovaných na každý MITRE ATT&CK cílem. Panel cílem se dynamicky aktualizuje na základě aktuální sady použitých filtrů. To vám umožní zjistit, který MITRE ATT&CK taktiku se zobrazí, když filtrujete podle daného počtu výsledků, vysokého rozdílu výsledků, N/a výsledků nebo jakékoli jiné sady filtrů. |
| Zobrazit dotazy namapované na MITRE ATT&CK techniky | Dotazy je také možné namapovat na MITRE technologie ATT&CK. Pomocí filtru technik můžete filtrovat nebo řadit podle Mitre technologie ATT&CK. Když otevřete dotaz, budete moct vybrat techniku, abyste viděli MITRE ATT&CK Popis techniky. |
| Uložení dotazu do oblíbených položek | Dotazy uložené do oblíbených položek se automaticky spouštějí při každém otevření stránky pro lov . Můžete vytvořit vlastní lovecký dotaz nebo klonovat a přizpůsobit existující šablonu pro lovecké dotazy. |
| Spustit dotazy | Vyberte Spustit dotaz na stránce s podrobnostmi o loveckém dotazu pro spuštění dotazu přímo ze stránky pro lov. Počet shod se zobrazí v tabulce ve sloupci výsledky . Prohlédněte si seznam loveckých dotazů a jejich shody. |
| Kontrola podkladového dotazu | V podokně podrobností dotazu proveďte rychlou kontrolu základního dotazu. Výsledky můžete zobrazit kliknutím na odkaz Zobrazit výsledky dotazu (pod oknem dotazu) nebo na tlačítko Zobrazit výsledky (ve spodní části podokna). Dotaz se otevře v okně protokoly (Log Analytics) a pod dotazem můžete zkontrolovat shodu pro dotaz. |
Vytvoření vlastního loveckého dotazu
Vytvořte nebo upravte dotaz a uložte ho jako vlastní dotaz nebo ho sdílejte s uživateli, kteří se nacházejí ve stejném tenantovi.
Vytvoření nového dotazu:
Vyberte Nový dotaz.
Vyplňte všechna prázdná pole a vyberte vytvořit.
(Preview) Vytvořte mapování entit výběrem typů entit, identifikátorů a sloupců.
(Preview) Namapujte MITRE technologie ATT&CK na své lovecké dotazy tím, že vyberete cílem, techniku a dílčí techniku (Pokud je k dispozici).
Naklonování a Změna existujícího dotazu:
V tabulce, kterou chcete upravit, vyberte dotaz pro lov.
Na řádku dotazu, který chcete upravit, vyberte tři tečky (...) a vyberte klonovat dotaz.
Upravte dotaz a vyberte vytvořit.
Ukázkový dotaz
Typický dotaz začíná názvem tabulky následovaný řadou operátorů oddělenými znakem svislé čáry (" | ").
V předchozím příkladu začněte s názvem tabulky SecurityEvent a podle potřeby přidejte do kanálu prvky.
Definujte časový filtr, který bude kontrolovat jenom záznamy za posledních sedm dnů.
Přidejte do dotazu filtr, aby se zobrazila pouze událost s ID 4688.
Přidejte do dotazu na příkazovém řádku filtr, který bude obsahovat pouze instance cscript.exe.
Project jenom sloupce, které vás zajímají, a vyzkoumejte výsledky na 1000 a vyberte spustit dotaz.
Vyberte zelený trojúhelník a spusťte dotaz. Můžete otestovat dotaz a spustit ho pro hledání neobvyklé chování.
Vytváření záložek
Během procesu lovu a vyšetřování můžete přijít mezi výsledky dotazů, které můžou vypadat neobvyklým nebo podezřelým způsobem. Tyto položky si můžete označit záložkou, abyste se na ně v budoucnu vracet, například při vytváření nebo rozšiřování incidentu pro šetření.
Ve výsledcích označte zaškrtávací políčka u všech řádků, které chcete zachovat, a vyberte Přidat záložku. Tím se vytvoří záznam pro každý označený řádek – záložku – obsahující výsledky řádku a také dotaz, který výsledky vytvořil. Ke každé záložce můžete přidat vlastní značky a poznámky.
- (Preview) Stejně jako u vlastních dotazů můžete záložky obohatit o mapování entit, která extrahují více typů a identifikátorů entit, a mapování MITRE ATT&CK pro přidružení konkrétní taktiky a technik.
- (Preview) Záložky ve výchozím nastavení používají stejnou entitu a MITRE ATT&CK jako dotaz pro proacích, který vytvořil výsledky v záložkách.
Zobrazit vše záložky kliknutím na kartu Záložky na hlavní stránce Proacích. Přidejte do záložek značky, které je klasifikují pro filtrování. Pokud například zkoumáte kampaň útoku, můžete pro kampaň vytvořit značku, použít značku na všechny relevantní záložky a pak filtrovat všechny záložky na základě kampaně.
Prozkoumejte jedno hledání v záložkách tak, že vyberete záložku a pak v podokně podrobností kliknete na Prozkoumat. Otevře se prostředí pro šetření. Můžete také přímo vybrat uvedenou entitu a zobrazit tak příslušnou stránku entity.
Incident můžete také vytvořit z jedné nebo více záložek nebo přidat jednu nebo více záložek k existujícímu incidentu. Zaškrtněte políčko nalevo od všech záložek, které chcete použít, a pak vyberte Akce incidentu Vytvořit nový > incident nebo Přidat k existujícímu incidentu. Stejně jako u ostatních incidentů vyšetříte a vyšetříte incident.
Tip
Záložky představují klíčové události, které jsou zajímavé a které by měly být eskalovány na incidenty, pokud jsou dostatečně závažné, aby bylo možné šetření prošetření. Události, jako jsou potenciální hlavní příčiny, indikátory ohrožení zabezpečení nebo jiné události, by měly být vyvolány jako záložka.
Další informace najdete v tématu Použití záložek v proacích.
Použití poznámkových bloků k řízení vyšetřování
Až bude proaování a vyšetřování složitější, využijte poznámkové bloky Microsoft Sentinelu k vylepšení vaší aktivity pomocí strojového učení, vizualizací a analýzy dat.
Poznámkové bloky poskytují druh virtuálního sandboxu s vlastním jádrem, kde můžete provést úplné šetření. Poznámkový blok může obsahovat nezpracovaná data, kód, který na těchto datech spustíte, výsledky a jejich vizualizace. Poznámkové bloky si uložte, abyste je mohli sdílet s ostatními a znovu je použít ve vaší organizaci.
Poznámkové bloky mohou být užitečné, když je proašetřování nebo vyšetřování příliš velké na to, aby si ho snadno pamatoval, mohli zobrazit podrobnosti nebo když potřebujete uložit dotazy a výsledky. Microsoft Sentinel pomáhá vytvářet a sdílet poznámkové bloky tím, že poskytuje poznámkové bloky Jupyter,open source, interaktivní vývojové prostředí a prostředí pro manipulaci s daty integrované přímo na stránce Poznámkových bloků Microsoft Sentinel.
Další informace naleznete v tématu:
- Proaktivní vyhledávání bezpečnostních hrozeb s využitím aplikace Jupyter Notebook
- Dokumentace ke Project Jupyter
- Úvodní dokumentace k Jupyteru
- Kniha Infosec Jupyter
- Skutečné kurzy k Pythonu
Následující tabulka popisuje některé metody použití poznámkových bloků Juypter, které vám pomůžou s procesy v Microsoft Sentinelu:
| Metoda | Popis |
|---|---|
| Trvalost, opakovatelnost a mechanismus navracení dat | Pokud pracujete s mnoha dotazy a sadami výsledků, pravděpodobně budete mít nějaké neschůdné konce. Budete se muset rozhodnout, které dotazy a výsledky se mají zachovat a jak akumulovat užitečné výsledky v jedné sestavě. Poznámkové bloky Jupyter můžete používat k ukládání dotazů a dat, používání proměnných k opětovnému spouštění dotazů s různými hodnotami nebo kalendářními daty nebo k uložení dotazů, abyste je při budoucím vyšetřování znovu shodli. |
| Skriptování a programování | Pomocí poznámkových bloků Jupyter můžete do dotazů přidat programování, včetně: - Deklarativní jazyky, jako je KQL (Kusto Query Language) nebo SQL, ke kódování logiky jediným, pravděpodobně složitým příkazem. - Procedurální programovací jazyky pro spouštění logiky v řadě kroků. Rozdělení logiky na kroky vám může pomoct zobrazit a ladit mezilehlé výsledky, přidat funkce, které nemusí být v dotazovacím jazyce dostupné, a znovu použít částečné výsledky v dalších krocích zpracování. |
| Odkazy na externí data | I když tabulky Microsoft Sentinelu obsahují většinu telemetrických dat a dat událostí, poznámkové bloky Jupyter mohou propojit s libovolnými daty dostupnými přes vaši síť nebo ze souboru. Použití poznámkových bloků Jupyter umožňuje zahrnout například tato data: – Data v externích službách, které vlastníte, jako jsou data geografické polohy nebo zdroje informací o hrozbě – Citlivá data uložená pouze ve vaší organizaci, jako jsou databáze lidských zdrojů nebo seznamy prostředků s vysokou hodnotou – Data, která jste ještě nemigrují do cloudu. |
| Specializované nástroje pro zpracování dat, strojové učení a vizualizace | Poznámkové bloky Jupyter poskytují další vizualizace, knihovny strojového učení a funkce zpracování a transformace dat. Používejte například poznámkové bloky Jupyter s následujícími možnostmi Pythonu: - Pandas pro zpracování, čištění a inženýrství dat - Matplotlib, HoloViews a Plotly pro vizualizaci - NumPy a SciPy pro pokročilé číselné a vědecké zpracování - scikit-learn pro strojové učení - TensorFlow, PyTorcha Keras pro hluboké učení Tip: Poznámkové bloky Jupyter notebook podporují jádra s více jazyky. Pomocí magických příkazů můžete kombinovat jazyky v rámci stejného poznámkového bloku tím, že umožníte provádění jednotlivých buněk pomocí jiného jazyka. Můžete například načíst data pomocí buňky skriptu PowerShellu, zpracovat je v Pythonu a pomocí JavaScriptu vykreslit vizualizaci. |
Nástroje zabezpečení MSTIC, Jupyter a Python
Microsoft Threat Intelligence Center (MSTIC) je tým analytiků zabezpečení a techniků Microsoftu, kteří autorují bezpečnostní detekce pro několik platforem Microsoftu a pracují na identifikaci a vyšetřování hrozeb.
MSTIC – vytvořená knihovna MSTICPypro prošetření zabezpečení informací a proašování v poznámkových blocích Jupyter. MSTICPy poskytuje znovu použitelné funkce, které mají za cíl urychlit vytváření poznámkových bloků a usnadnit uživatelům čtení poznámkových bloků v Microsoft Sentinelu.
MSTICPy může například:
- Dotazování na data protokolu z více zdrojů
- Rozšiřte data o informace o hrozbách, geografické polohy a data prostředků Azure.
- Extrahujte z protokolů indikátory aktivity (IoA) a rozbalte kódovaná data.
- Proveďte sofistikované analýzy, jako je detekce neobvyklé relace a dekompozice časových řad.
- Vizualizujte data pomocí interaktivních časových os, stromů procesů a multidimenzionálních grafů.
MSTICPy obsahuje také některé nástroje poznámkového bloku, které šetří čas, například widgety, které nastavují hranice času dotazu, vy vybírání a zobrazování položek ze seznamů a konfigurují prostředí poznámkového bloku.
Další informace naleznete v tématu:
- Dokumentace k MSTICPy
- Kurz: Začínáme s poznámkovými bloky Jupyter a MSTICPy v Microsoft Sentinelu
- Pokročilé konfigurace pro poznámkové bloky Jupyter a MSTICPy v Microsoft Sentinelu
Užitečné operátory a funkce
Dotazy pro proacích jsou sestavené v dotazovacím jazyce Kusto (KQL),výkonném dotazovacím jazyku s jazykem IntelliSense, který poskytuje výkon a flexibilitu, kterou potřebujete k tomu, abyste proašeného vyhledávání převezli na další úroveň.
Jedná se o stejný jazyk, který používají dotazy ve vašich analytických pravidlech a jinde v Microsoft Sentinelu. Další informace najdete v referenčních informacích k dotazovacím jazyku.
Následující operátory jsou zvláště užitečné v dotazech pro proacích Microsoft Sentinelu:
where – filtruje tabulku na podmnožinu řádků, které splňují predikát.
summarize – vytvoří tabulku, která agreguje obsah vstupní tabulky.
join – sloučí řádky dvou tabulek, aby se z každé tabulky vytyly nové tabulky.
count – vrátí počet záznamů ve vstupní sadě záznamů.
top – vrátí prvních N záznamů seřazených podle zadaných sloupců.
limit – vrátí až zadaný počet řádků.
project – vyberte sloupce, které chcete zahrnout, přejmenovat nebo odstranit a vložit nové vypočítané sloupce.
extend – vytvořte počítané sloupce a připojte je k sadě výsledků dotazu.
makeset – vrátí dynamické pole (JSON) sady jedinečných hodnot, které Expr přebírá ve skupině.
find – najde řádky, které odpovídají predikátu v sadě tabulek.
adx() (Preview) – Tato funkce provádí dotazy napříč prostředky Azure Data Explorer zdrojů dat z prostředí pro proaktivní vyhledávání v Microsoft Sentinelu a Log Analytics. Další informace najdete v tématu Dotazování mezi prostředky Azure Data Explorer pomocí Azure Monitor.
Další kroky
V tomto článku jste zjistili, jak spustit proašeření pomocí služby Microsoft Sentinel.
Další informace naleznete v tématu:
- Spouštění automatických kampaní pro proacích pomocí poznámkových bloků
- Ukládání zajímavých informací při proacích pomocí záložek
Seznamte se s příkladem použití vlastních analytických pravidel při monitorování zoomu pomocí vlastního konektoru.