Cercare le minacce con Azure SentinelHunt for threats with Azure Sentinel

Se sei un investigatore che vuole essere proattivo per la ricerca di minacce per la sicurezza, Azure Sentinel Cerca potenti strumenti di ricerca e query per cercare le minacce alla sicurezza nelle origini dati dell'organizzazione.If you're an investigator who wants to be proactive about looking for security threats, Azure Sentinel powerful hunting search and query tools to hunt for security threats across your organization's data sources. Tuttavia, i sistemi e le appliance di sicurezza generano montagne di dati che possono risultare difficili da analizzare e filtrare in eventi significativi.But your systems and security appliances generate mountains of data that can be difficult to parse and filter into meaningful events. Per aiutare gli analisti della sicurezza a cercare in modo proattivo nuove anomalie che non sono state rilevate dalle app per la sicurezza, le query di ricerca predefinite di Azure Sentinel consentono di porre le domande appropriate per individuare i problemi nei dati già presenti nella rete.To help security analysts look proactively for new anomalies that weren't detected by your security apps, Azure Sentinel' built-in hunting queries guide you into asking the right questions to find issues in the data you already have on your network.

Una query predefinita, ad esempio, fornisce dati relativi ai processi più comuni in esecuzione nell'infrastruttura. non è necessario un avviso per ogni volta che vengono eseguiti, ma è possibile che si voglia dare un'occhiata alla query in occasione per verificare se c'è qualcosa di insolito.For example, one built-in query provides data about the most uncommon processes running on your infrastructure - you wouldn't want an alert about each time they are run, they could be entirely innocent, but you might want to take a look at the query on occasion to see if there's anything unusual.

Con Azure Sentinel Hunting è possibile sfruttare le funzionalità seguenti:With Azure Sentinel hunting, you can take advantage of the following capabilities:

  • Query predefinite: per iniziare, una pagina iniziale fornisce esempi di query precaricati progettati per iniziare e acquisire familiarità con le tabelle e il linguaggio di query.Built-in queries: To get you started, a starting page provides preloaded query examples designed to get you started and get you familiar with the tables and the query language. Queste query di caccia predefinite vengono sviluppate dai ricercatori della sicurezza Microsoft su base continuativa, aggiungendo nuove query e ottimizzando le query esistenti per fornire un punto di ingresso per cercare nuovi rilevamenti e scoprire dove iniziare a cercare gli inizi di nuovi attacchi.These built-in hunting queries are developed by Microsoft security researchers on a continuous basis, adding new queries, and fine-tuning existing queries to provide you with an entry point to look for new detections and figure out where to start hunting for the beginnings of new attacks.

  • Linguaggio di query avanzato con IntelliSense: basato su un linguaggio di query che ti offre la flessibilità necessaria per passare a un livello superiore.Powerful query language with IntelliSense: Built on top of a query language that gives you the flexibility you need to take hunting to the next level.

  • Creare segnalibri personalizzati: durante il processo di ricerca è possibile che si verifichino corrispondenze o risultati, dashboard o attività che hanno un aspetto insolito o sospetto.Create your own bookmarks: During the hunting process, you may come across matches or findings, dashboards, or activities that look unusual or suspicious. Per contrassegnare gli elementi in modo da poterli tornare in futuro, usare la funzionalità di segnalibro.In order to mark those items so you can come back to them in the future, use the bookmark functionality. I segnalibri consentono di salvare gli elementi per un momento successivo, da usare per creare un evento imprevisto per l'analisi.Bookmarks let you save items for later, to be used to create an incident for investigation. Per ulteriori informazioni sui segnalibri, vedere Use Bookmarks in Hunting.For more information about bookmarks, see Use bookmarks in hunting.

  • Usare i notebook per automatizzare l'analisi: i notebook sono simili a schemi Step-by-step che è possibile compilare per esaminare i passaggi di un'indagine e una ricerca.Use notebooks to automate investigation: Notebooks are like step-by-step playbooks that you can build to walk through the steps of an investigation and hunt. I notebook incapsulano tutti i passaggi di caccia in un PlayBook riutilizzabile che può essere condiviso con altri utenti dell'organizzazione.Notebooks encapsulate all the hunting steps in a reusable playbook that can be shared with others in your organization.

  • Eseguire una query sui dati archiviati: i dati sono accessibili nelle tabelle in cui è possibile eseguire una query.Query the stored data: The data is accessible in tables for you to query. Ad esempio, è possibile eseguire query su creazione di processi, eventi DNS e molti altri tipi di evento.For example, you can query process creation, DNS events, and many other event types.

  • Collegamenti alla community: sfruttare la potenza della community più grande per trovare query e origini dati aggiuntive.Links to community: Leverage the power of the greater community to find additional queries and data sources.

Inizia a cercareGet started hunting

  1. Nel portale di Azure Sentinel fare clic su Hunting.In the Azure Sentinel portal, click Hunting. Azure Sentinel avvia la ricercaAzure Sentinel starts hunting

  2. Quando si apre la pagina di ricerca , tutte le query di ricerca vengono visualizzate in un'unica tabella.When you open the Hunting page, all the hunting queries are displayed in a single table. La tabella elenca tutte le query scritte dal team Microsoft degli analisti di sicurezza, nonché qualsiasi query aggiuntiva creata o modificata.The table lists all the queries written by Microsoft's team of security analysts as well as any additional query you created or modified. Ogni query fornisce una descrizione di ciò che cerca e del tipo di dati in cui viene eseguito.Each query provides a description of what it hunts for, and what kind of data it runs on. Questi modelli sono raggruppati in base alle varie tattiche, ovvero le icone a destra categorizzano il tipo di minaccia, ad esempio l'accesso iniziale, la persistenza e la exfiltration.These templates are grouped by their various tactics - the icons on the right categorize the type of threat, such as initial access, persistence, and exfiltration. È possibile filtrare i modelli di query di caccia usando uno dei campi.You can filter these hunting query templates using any of the fields. È possibile salvare qualsiasi query nei Preferiti.You can save any query to your favorites. Salvando una query nei Preferiti, la query viene eseguita automaticamente ogni volta che si accede alla pagina di ricerca .By saving a query to your favorites, the query automatically runs each time the Hunting page is accessed. È possibile creare una query di ricerca personalizzata o clonare e personalizzare un modello di query di ricerca esistente.You can create your own hunting query or clone and customize an existing hunting query template.

  3. Fare clic su Esegui query nella pagina dei dettagli della query di ricerca per eseguire qualsiasi query senza uscire dalla pagina di caccia.Click Run query in the hunting query details page to run any query without leaving the hunting page. Il numero di corrispondenze viene visualizzato all'interno della tabella.The number of matches is displayed within the table. Esaminare l'elenco di query di ricerca e le relative corrispondenze.Review the list of hunting queries and their matches. Verificare la fase della catena di Kill a cui è associata la corrispondenza.Check out which stage in the kill chain the match is associated with.

  4. Eseguire una rapida verifica della query sottostante nel riquadro Dettagli query oppure fare clic su Visualizza risultati query per aprire la query in log Analytics.Perform a quick review of the underlying query in the query details pane or click View query result to open the query in Log Analytics. Nella parte inferiore esaminare le corrispondenze per la query.At the bottom, review the matches for the query.

  5. Fare clic sulla riga e selezionare Aggiungi segnalibro per aggiungere le righe da analizzare. è possibile eseguire questa operazione per qualsiasi elemento che sembra sospetto.Click on the row and select Add bookmark to add the rows to be investigated - you can do this for anything that looks suspicious.

  6. Tornare quindi alla pagina principale di Hunting e fare clic sulla scheda segnalibri per visualizzare tutte le attività sospette.Then, go back to the main Hunting page and click the Bookmarks tab to see all the suspicious activities.

  7. Selezionare un segnalibro e quindi fare clic su Cerca per aprire l'esperienza di analisi.Select a bookmark and then click Investigate to open the investigation experience. È possibile filtrare i segnalibri.You can filter the bookmarks. Ad esempio, se si sta esaminando una campagna, è possibile creare un tag per la campagna, quindi filtrare tutti i segnalibri in base alla campagna.For example, if you're investigating a campaign, you can create a tag for the campaign and then filter all the bookmarks based on the campaign.

  8. Dopo aver individuato la query di ricerca che fornisce informazioni dettagliate sul valore di possibili attacchi, è anche possibile creare regole di rilevamento personalizzate basate sulla query e far emergere tali informazioni come avvisi per i risponditori degli eventi imprevisti della sicurezza.After you discovered which hunting query provides high value insights into possible attacks, you can also create custom detection rules based on your query and surface those insights as alerts to your security incident responders.

Linguaggio di queryQuery language

La ricerca in Sentinel di Azure è basata sul linguaggio di query kusto.Hunting in Azure Sentinel is based on Kusto query language. Per altre informazioni sul linguaggio di query e sugli operatori supportati, vedere riferimento al linguaggio di query.For more information on the query language and supported operators, see Query Language Reference.

Repository GitHub della query di ricerca pubblicaPublic hunting query GitHub repository

Vedere il repository di query di caccia.Check out the Hunting query repository. Collaborazione e utilizzo di query di esempio condivise dai clienti.Contribute and use example queries shared by our customers.

Query di esempioSample query

Una query tipica inizia con un nome di tabella seguito da una serie di operatori separati da |.A typical query starts with a table name followed by a series of operators separated by |.

Nell'esempio precedente, iniziare con il nome della tabella SecurityEvent e aggiungere gli elementi inviati tramite pipe in base alle esigenze.In the example above, start with the table name SecurityEvent and add piped elements as needed.

  1. Definire un filtro temporale per esaminare solo i record dei sette giorni precedenti.Define a time filter to review only records from the previous seven days.

  2. Aggiungere un filtro nella query per visualizzare solo l'ID evento 4688.Add a filter in the query to only show event ID 4688.

  3. Aggiungere un filtro nella query nella riga di comando per contenere solo le istanze di cscript.exe.Add a filter in the query on the CommandLine to contain only instances of cscript.exe.

  4. Proiettare solo le colonne a cui si è interessati a esplorare e limitare i risultati a 1000 e fare clic su Esegui query.Project only the columns you're interested in exploring and limit the results to 1000 and click Run query.

  5. Fare clic sul triangolo verde ed eseguire la query.Click the green triangle and run the query. È possibile testare la query ed eseguirla per cercare un comportamento anomalo.You can test the query and run it to look for anomalous behavior.

Operatori utiliUseful operators

Il linguaggio di query è potente ed è dotato di molti operatori disponibili. di seguito sono elencati alcuni operatori utili:The query language is powerful and has many available operators, some useful operators are listed here:

dove -filtrare una tabella per il subset di righe che soddisfano un predicato.where - Filter a table to the subset of rows that satisfy a predicate.

riepilogare : creare una tabella che aggrega il contenuto della tabella di input.summarize - Produce a table that aggregates the content of the input table.

join : unisce le righe di due tabelle per formare una nuova tabella in base ai valori corrispondenti delle colonne specificate da ogni tabella.join - Merge the rows of two tables to form a new table by matching values of the specified column(s) from each table.

count : restituisce il numero di record nel set di record di input.count - Return the number of records in the input record set.

Top : restituisce i primi N record ordinati in base alle colonne specificate.top - Return the first N records sorted by the specified columns.

limit -restituisce fino al numero di righe specificato.limit - Return up to the specified number of rows.

progetto : selezionare le colonne da includere, rinominare o eliminare e inserire nuove colonne calcolate.project - Select the columns to include, rename or drop, and insert new computed columns.

extend : consente di creare colonne calcolate e di aggiungerle al set di risultati.extend - Create calculated columns and append them to the result set.

maket : restituisce una matrice dinamica (JSON) del set di valori distinct che expr accetta nel gruppomakeset - Return a dynamic (JSON) array of the set of distinct values that Expr takes in the group

Find : trova le righe che corrispondono a un predicato in un set di tabelle.find - Find rows that match a predicate across a set of tables.

Salvare una querySave a query

È possibile creare o modificare una query e salvarla come query o condividerla con utenti che si trovano nello stesso tenant.You can create or modify a query and save it as your own query or share it with users who are in the same tenant.

Salvare la query

Creare una nuova query di ricerca:Create a new hunting query:

  1. Fare clic su nuova query e selezionare Salva.Click New query and select Save.

  2. Compilare tutti i campi vuoti e selezionare Salva.Fill in all the blank fields and select Save.

    Nuova query

Clonare e modificare una query di ricerca esistente:Clone and modify an existing hunting query:

  1. Selezionare la query di ricerca nella tabella che si vuole modificare.Select the hunting query in the table you want to modify.

  2. Selezionare i puntini di sospensione (...) nella riga della query che si desidera modificare e selezionare clona query.Select the ellipsis (...) in the line of the query you want to modify, and select Clone query.

    Clona query

  3. Modificare la query e selezionare Crea.Modify the query and select Create.

    query personalizzata

Passaggi successiviNext steps

In questo articolo si è appreso come eseguire un'indagine di caccia con Azure Sentinel.In this article, you learned how to run a hunting investigation with Azure Sentinel. Per altre informazioni su Azure Sentinel, vedere gli articoli seguenti:To learn more about Azure Sentinel, see the following articles: