Risposta per le minacce con nell'anteprima di Azure SentinelHunt for threats with in Azure Sentinel Preview

Importante

Sentinel Azure è attualmente in anteprima pubblica.Azure Sentinel is currently in public preview. Questa versione di anteprima viene messa a disposizione senza contratto di servizio e non è consigliata per i carichi di lavoro di produzione.This preview version is provided without a service level agreement, and it's not recommended for production workloads. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate.Certain features might not be supported or might have constrained capabilities. Per altre informazioni, vedere Condizioni supplementari per l'utilizzo delle anteprime di Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Se sei un responsabile dell'indagine che vogliono essere proattivi alla ricerca di minacce alla sicurezza, Azure Sentinel strumenti ricerca e query di ricerca potente cercare minacce per la sicurezza tra le origini dati dell'organizzazione.If you're an investigator who wants to be proactive about looking for security threats, Azure Sentinel powerful hunting search and query tools to hunt for security threats across your organization’s data sources. Ma i sistemi e dispositivi di sicurezza generano montagne di dati che possono essere difficili da analizzare e filtrare in eventi significativi.But your systems and security appliances generate mountains of data that can be difficult to parse and filter into meaningful events. Sicurezza per gli analisti cercare in modo proattivo nuove anomalie che non venivano rilevate dall'App per la sicurezza, Azure Sentinel' le query di ricerca incorporate consentono a porre le domande corrette per individuare problemi nei dati è già nella rete.To help security analysts look proactively for new anomalies that weren't detected by your security apps, Azure Sentinel' built-in hunting queries guide you into asking the right questions to find issues in the data you already have on your network.

Ad esempio, una query predefinita fornisce i dati sui processi non più comuni eseguite sulla tua infrastruttura: è preferibile un avviso per ogni volta che vengono eseguiti, possono essere interamente inoffensivo, ma è possibile esaminare la query in alcuni casi per verificare se th ere's nulla di insolito.For example, one built-in query provides data about the most uncommon processes running on your infrastructure - you wouldn't want an alert about each time they are run, they could be entirely innocent, but you might want to take a look at the query on occasion to see if there's anything unusual.

Con ricerca di Azure Sentinel, è possibile sfruttare le funzionalità seguenti:With Azure Sentinel hunting, you can take advantage of the following capabilities:

  • Query predefinite: Per iniziare a usare, una pagina inizia vengono forniti esempi di query precaricati pensati per iniziare avviata e acquisire familiarità con le tabelle e il linguaggio di query.Built-in queries: To get you started, a starting page provides preloaded query examples designed to get you started and get you familiar with the tables and the query language. Queste query di ricerca predefinite sono sviluppate da ricercatori Microsoft sulla sicurezza in modo continuo, aggiunta di nuove query, e ottimizzazione esistente esegue una query per fornire un punto di ingresso per cercare i rilevamenti nuovi e capire da dove iniziare la ricerca per il degli albori dei nuovi attacchi.These built-in hunting queries are developed by Microsoft security researchers on a continuous basis, adding new queries, and fine-tuning existing queries to provide you with an entry point to look for new detections and figure out where to start hunting for the beginnings of new attacks.

  • Linguaggio di query avanzato con IntelliSense: Basato su un linguaggio di query che ti offre la flessibilità che necessaria per rendere la caccia a un livello superiore.Powerful query language with IntelliSense: Built on top of a query language that gives you the flexibility you need to take hunting to the next level.

  • Creare i propri segnalibri: Durante il processo di ricerca, è possibile imbattersi in corrispondenze o i risultati, i dashboard o le attività con un aspetto sospetta o insoliti oppure elementi.Create your own bookmarks: During the hunting process, you may come across matches or findings, dashboards, or activities that look unusual or suspicious. Per contrassegnare gli elementi in modo che è possibile tornare ad essi in futuro, usare la funzionalità di segnalibro.In order to mark those items so you can come back to them in the future, use the bookmark functionality. I segnalibri consentono di salvare gli elementi per un momento successivo, per essere utilizzato per creare un caso per l'analisi.Bookmarks let you save items for later, to be used to create a case for investigation. Per altre informazioni sui segnalibri, vedere usare [i segnalibri in caccia].For more information about bookmarks, see Use [bookmarks in hunting].

  • Usare i notebook per automatizzare l'analisi: I notebook sono simili a Playbook dettagliate che è possibile compilare per eseguire la procedura di un'indagine e di risposta.Use notebooks to automate investigation: Notebooks are like step-by-step playbooks that you can build to walk through the steps of an investigation and hunt. I notebook incapsulano tutti i passaggi di ricerca in un playbook riutilizzabile che possono essere condivisi con altri utenti nell'organizzazione.Notebooks encapsulate all the hunting steps in a reusable playbook that can be shared with others in your organization.

  • Eseguire query sui dati archiviati: I dati sono accessibili nelle tabelle per poter eseguire query.Query the stored data: The data is accessible in tables for you to query. Ad esempio, è possibile eseguire una query la creazione del processo, gli eventi di DNS e molti altri tipi di eventi.For example, you can query process creation, DNS events, and many other event types.

  • Collegamenti alla community: Sfruttare le potenzialità della community di maggiore sono state trovate origini dati e query aggiuntive.Links to community: Leverage the power of the greater community to find additional queries and data sources.

Introduzione a ricerca di lavoroGet started hunting

  1. Nel portale di Azure Sentinel, fare clic su caccia.In the Azure Sentinel portal, click Hunting. Azure Sentinel Inizia ricercaAzure Sentinel starts hunting

  2. Quando si apre la caccia pagina, tutte le query di ricerca vengono visualizzate in una singola tabella.When you open the Hunting page, all the hunting queries are displayed in a single table. La tabella elenca tutte le query scritte dal team di Microsoft di analisti della sicurezza, nonché eventuali query aggiuntive è stato creato o modificato.The table lists all the queries written by Microsoft's team of security analysts as well as any additional query you created or modified. Ogni query viene fornita una descrizione di ciò che ricerca per e dal tipo di dati cui è in esecuzione.Each query provides a description of what it hunts for, and what kind of data it runs on. Questi modelli sono raggruppati per le diverse tattiche: le icone nella parte destra classificare il tipo di minaccia, ad esempio l'accesso iniziale, la persistenza e l'esfiltrazione.These templates are grouped by their various tactics - the icons on the right categorize the type of threat, such as initial access, persistence, and exfiltration. È possibile filtrare questi modelli di query di ricerca usando uno dei campi.You can filter these hunting query templates using any of the fields. È possibile salvare qualsiasi query ai Preferiti.You can save any query to your favorites. Salvando una query ai Preferiti, la query viene eseguita automaticamente ogni volta che il caccia accedere alla pagina.By saving a query to your favorites, the query automatically runs each time the Hunting page is accessed. È possibile creare proprie query di ricerca o la clonazione e personalizzare un modello di query di ricerca esistente.You can create your own hunting query or clone and customize an existing hunting query template.

  3. Fare clic su eseguire query in ricerca di pagina dei dettagli di query per eseguire qualsiasi query senza uscire dalla pagina di ricerca.Click Run query in the hunting query details page to run any query without leaving the hunting page. Il numero di corrispondenze viene visualizzato all'interno della tabella.The number of matches is displayed within the table. Esaminare l'elenco delle query di ricerca e le corrispondenze.Review the list of hunting queries and their matches. Scopri quale fase della kill chain la corrispondenza è associata.Check out which stage in the kill chain the match is associated with.

  4. Eseguire un'analisi rapida di query sottostante nel riquadro dei dettagli query oppure fare clic su visualizzare i risultati della query per aprire la query in Log Analitica.Perform a quick review of the underlying query in the query details pane or click View query result to open the query in Log Analytics. Nella parte inferiore, esaminare le corrispondenze per la query.At the bottom, review the matches for the query.

  5. Fare clic sulla riga e selezionare Aggiungi segnalibro per aggiungere le righe di essere esaminato - è possibile farlo per tutto ciò che risulta sospetto.Click on the row and select Add bookmark to add the rows to be investigated - you can do this for anything that looks suspicious.

  6. Quindi, tornare alla finestra principale caccia e fare clic sui segnalibri scheda per visualizzare tutte le attività sospette.Then, go back to the main Hunting page and click the Bookmarks tab to see all the suspicious activities.

  7. Selezionare un segnalibro e quindi fare clic su ricerca causa per aprire l'esperienza di analisi.Select a bookmark and then click Investigate to open the investigation experience. È possibile filtrare i segnalibri.You can filter the bookmarks. Ad esempio, se si sta esaminando una campagna, è possibile creare un tag per la campagna e quindi filtrare tutti i segnalibri in base alla campagna.For example, if you're investigating a campaign, you can create a tag for the campaign and then filter all the bookmarks based on the campaign.

  8. Dopo che è stato individuato la query di ricerca fornisce informazioni approfondite di valore elevato di possibili attacchi, è possibile creare anche rilevamento personalizzata regole in base alla query e questi approfondimenti sotto forma di avvisi e i risponditori agli eventi imprevisti di sicurezza.After you discovered which hunting query provides high value insights into possible attacks, you can also create custom detection rules based on your query and surface those insights as alerts to your security incident responders.

Linguaggio di queryQuery language

Ricerca di Azure Sentinel si basa sul linguaggio di query Analitica di Log di Azure.Hunting in Azure Sentinel is based on Azure Log Analytics query language. Per altre informazioni sul linguaggio di query e gli operatori supportati, vedere riferimenti al linguaggio di Query.For more information on the query language and supported operators, see Query Language Reference.

Repository di GitHub pubblico caccia queryPublic hunting query GitHub repository

Consultare il repository di query di ricerca.Check out the Hunting query repository. Contribuire e usare le query di esempio viene condivise da parte dei clienti.Contribute and use example queries shared by our customers.

Query di esempioSample query

Una query tipica inizia con un nome di tabella seguito da una serie di operatori separati dal |.A typical query starts with a table name followed by a series of operators separated by |.

Nell'esempio precedente, iniziare con la tabella nome SecurityEvent e aggiungere inoltrato tramite pipe gli elementi in base alle esigenze.In the example above, start with the table name SecurityEvent and add piped elements as needed.

  1. Definire un filtro temporale per visualizzare solo i record da sette giorni precedenti.Define a time filter to review only records from the previous seven days.

  2. Aggiungere un filtro nella query per mostrare solo l'evento ID 4688.Add a filter in the query to only show event ID 4688.

  3. Aggiungere un filtro nella query nella riga di comando per contenere solo istanze di cscript.exe.Add a filter in the query on the CommandLine to contain only instances of cscript.exe.

  4. Progetto solo le colonne è interessati a esplorare e limitare i risultati a 1000 e fare clic su eseguire query.Project only the columns you're interested in exploring and limit the results to 1000 and click Run query.

  5. Fare clic sul triangolo verde ed eseguire la query.Click the green triangle and run the query. È possibile testare la query ed eseguire la ricerca di comportamenti anomali.You can test the query and run it to look for anomalous behavior.

Operatori utiliUseful operators

Il linguaggio di query è potente e è disponibili molti operatori disponibili, alcune utili gli operatori sono elencati di seguito:The query language is powerful and has many available operators, some useful operators are listed here:

in cui -filtrare una tabella per il subset di righe che soddisfano un predicato.where - Filter a table to the subset of rows that satisfy a predicate.

riepilogare -produrre una tabella che aggrega il contenuto della tabella di input.summarize - Produce a table that aggregates the content of the input table.

join -unire le righe di due tabelle in modo da formare una nuova tabella facendo corrispondere i valori delle colonne specificate da ogni tabella.join - Merge the rows of two tables to form a new table by matching values of the specified column(s) from each table.

conteggio -restituisce il numero di record nel set di record di input.count - Return the number of records in the input record set.

inizio -restituire i primi N record ordinati in base alle colonne specificate.top - Return the first N records sorted by the specified columns.

limite -restituiscono fino al numero specificato di righe.limit - Return up to the specified number of rows.

progetto : selezionare le colonne da includere, rinominare o rimuovere e inserire nuove colonne calcolate.project - Select the columns to include, rename or drop, and insert new computed columns.

estendere : creare colonne calcolate e li aggiunge al set di risultati.extend - Create calculated columns and append them to the result set.

makeset -restituire una matrice dinamica (JSON) del set di valori distinct che accetta Expr nel gruppomakeset - Return a dynamic (JSON) array of the set of distinct values that Expr takes in the group

trovare -trovare righe che soddisfano un predicato in un set di tabelle.find - Find rows that match a predicate across a set of tables.

Salvare una querySave a query

È possibile creare o modificare una query e salvarla come una query o condividerlo con gli utenti che sono nello stesso tenant.You can create or modify a query and save it as your own query or share it with users who are in the same tenant.

Salvare la query

Creare una nuova query di ricerca:Create a new hunting query:

  1. Fare clic su nuova query e selezionare salvare.Click New query and select Save.

  2. Compilare tutti i campi vuoti e selezionare salvare.Fill in all the blank fields and select Save.

    Nuova query

Clonare e modificare una query di ricerca esistente:Clone and modify an existing hunting query:

  1. Selezionare la query di ricerca nella tabella che si desidera modificare.Select the hunting query in the table you want to modify.

  2. Selezionare i puntini di sospensione (...) nella riga della query si desidera modificare e quindi selezionare Clona query.Select the ellipsis (...) in the line of the query you want to modify, and select Clone query.

    Clona query

  3. Modificare la query e selezionare Create.Modify the query and select Create.

    query personalizzata

Passaggi successiviNext steps

In questo articolo si appreso come eseguire un'analisi di ricerca con Azure Sentinel.In this article, you learned how to run a hunting investigation with Azure Sentinel. Per altre informazioni su Azure Sentinel, vedere gli articoli seguenti:To learn more about Azure Sentinel, see the following articles: