Bedreigingen zoeken met Microsoft Sentinel
Notitie
Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.
Belangrijk
De query-ervaring voor verschillende resources en upgrades naar aangepaste query's en bladwijzers (zie gemarkeerde items hieronder) zijn momenteel beschikbaar in preview. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bètaversies of preview-functies hebben of die nog niet algemeen beschikbaar zijn.
Notitie
Zie de Microsoft Sentinel-tabellen in Cloud-functiebeschikbaarheid voor Amerikaanse overheidsklanten voor meer informatie over de beschikbaarheid van functies in clouds voor de Amerikaanse overheid.
Als beveiligingsanalisten en onderzoekers wilt u proactief zijn bij het zoeken naar beveiligingsrisico's, maar uw verschillende systemen en beveiligingsapparaten genereren een grote groep gegevens die moeilijk te parseren en te filteren zijn in zinvolle gebeurtenissen. Microsoft Sentinel heeft krachtige opsporingszoek- en queryhulpprogramma's om te zoeken naar beveiligingsrisico's in de gegevensbronnen van uw organisatie. Om beveiligingsanalisten te helpen proactief te zoeken naar nieuwe afwijkingen die niet zijn gedetecteerd door uw beveiligings-apps of zelfs door uw geplande analyseregels, helpen de ingebouwde hunting-query's van Microsoft Sentinel u bij het stellen van de juiste vragen om problemen te vinden in de gegevens die u al in uw netwerk hebt.
Eén ingebouwde query biedt bijvoorbeeld gegevens over de meest ongebruikelijke processen die in uw infrastructuur worden uitgevoerd. U wilt niet elke keer dat ze worden uitgevoerd een waarschuwing ontvangen, maar misschien wilt u de query in de gelegenheid bekijken om te zien of er iets ongebruikelijks is.
Ingebouwde query's gebruiken
Het hunting-dashboard bevat kant-en-klaar queryvoorbeelden die zijn ontworpen om u op weg te helpen en vertrouwd te raken met de tabellen en de querytaal. Query's worden uitgevoerd op gegevens die zijn opgeslagen in logboektabellen, zoals voor het maken van processen, DNS-gebeurtenissen of andere gebeurtenistypen.
Ingebouwde opsporingsquery's worden doorlopend ontwikkeld door beveiligingsonderzoekers van Microsoft, waarbij zowel nieuwe query's worden toegevoegd als bestaande query's worden afgestemd om u een beginpunt te bieden om te zoeken naar nieuwe detecties en te achterhalen waar u kunt beginnen met het opsporen van het begin van nieuwe aanvallen.
Gebruik query's voor, tijdens en na een compromis om de volgende acties uit te voeren:
Voordat er een incident optreedt: Wachten op detecties is niet voldoende. Neem proactief actie door minstens één keer per week bedreigingsquery's uit te voeren die betrekking hebben op de gegevens die u in uw werkruimte opneemt.
Resultaten van uw proactieve hunting bieden vroegtijdig inzicht in gebeurtenissen die kunnen bevestigen dat er een compromis wordt gemaakt, of die ten minste zwakkere gebieden in uw omgeving laten zien die risico lopen en aandacht nodig hebben.
Tijdens een compromis: gebruik livestream om een specifieke query voortdurend uit te voeren en de resultaten weer te geven wanneer deze binnen komen. Gebruik livestream wanneer u gebruikersgebeurtenissen actief moet bewaken, bijvoorbeeld als u wilt controleren of er nog een specifiek compromis plaatsvindt, om te helpen bepalen wat de volgende actie van een bedreigingsacacteur is en aan het einde van een onderzoek om te bevestigen dat de compromise inderdaad is afgelopen.
Na een compromis: Nadat er een compromis of een incident is opgetreden, moet u uw dekking en inzicht verbeteren om vergelijkbare incidenten in de toekomst te voorkomen.
Wijzig uw bestaande query's of maak nieuwe om u te helpen bij vroege detectie, op basis van inzichten die u hebt verkregen door uw compromis of incident.
Als u een opsporingsquery hebt gedetecteerd of gemaakt die waardevolle inzichten biedt in mogelijke aanvallen, maakt u aangepaste detectieregels op basis van die query en geeft u deze inzichten weer als waarschuwingen voor de responders van beveiligingsincidenten.
Bekijk de resultaten van de query en selecteer Nieuwe waarschuwingsregel > Microsoft Sentinel-waarschuwing maken. Gebruik de wizard Analyseregels om een nieuwe regel te maken op basis van uw query. Zie Aangepaste analyseregels maken om bedreigingen te detecteren voor meer informatie.
Tip
In de openbare preview kunt u ook hunting- en livestream-query's maken voor gegevens die zijn opgeslagen in Azure Data Explorer. Zie voor meer informatie details over het maken van query's voor meerdere resources in de Azure Monitor documentatie.
Gebruik community-resources, zoals de Opslagplaats van Microsoft Sentinel GitHub om aanvullende query's en gegevensbronnen te vinden.
Het hunting-dashboard gebruiken
Met het hunting-dashboard kunt u al uw query's of een geselecteerde subset in één selectie uitvoeren. Selecteer in de Microsoft Sentinel-portal de optie Hunting.
De tabel die wordt weergegeven, bevat alle query's die zijn geschreven door het team van beveiligingsanalisten van Microsoft en eventuele extra query's die u hebt gemaakt of gewijzigd. Elke query bevat een beschrijving van waar de query naar op zoek is en op welk type gegevens de query wordt uitgevoerd. Deze query's worden gegroepeerd op hun MITRE ATT&CK-tactieken. De pictogrammen aan de rechterkant categoriseren het type bedreiging, zoals initiële toegang, persistentie en exfiltratie. MITRE ATT&CK-technieken worden weergegeven in de kolom Technieken en beschrijven het specifieke gedrag dat wordt geïdentificeerd door de hunting-query.
Gebruik het hunting-dashboard om te bepalen waar de hunting moet worden begonnen, door te kijken naar het aantal resultaten, pieken of de wijziging in het aantal resultaten gedurende een periode van 24 uur. Sorteer en filter op favorieten, gegevensbron, MITRE ATT&CK-tactiek of -techniek, resultaten, resultaat delta of resultaat deltapercentage. Bekijk query's die nog steeds verbinding moeten maken met gegevensbronnen** en krijg aanbevelingen voor het inschakelen van deze query's.
In de volgende tabel worden gedetailleerde acties beschreven die beschikbaar zijn via het hunting-dashboard:
| Actie | Beschrijving |
|---|---|
| Zie hoe query's van toepassing zijn op uw omgeving | Selecteer de knop Alle query's uitvoeren (preview) of selecteer een subset van query's met behulp van de selectievakjes links van elke rij en selecteer de knop Geselecteerde query's uitvoeren (preview). Het uitvoeren van uw query's kan enkele seconden tot veel minuten duren, afhankelijk van het aantal query's dat is geselecteerd, het tijdsbereik en de hoeveelheid gegevens die wordt opgevraagd. |
| De query's weergeven die resultaten hebben geretourneerd | Nadat uw query's zijn uitgevoerd, bekijkt u de query's die resultaten hebben geretourneerd met behulp van het filter Resultaten: - Sorteren om te zien welke query's de meeste of de minste resultaten hadden. - Bekijk de query's die helemaal niet actief zijn in uw omgeving door N/A te selecteren in het filter Resultaten. - Beweeg de muisaanwijzer over het infopictogram( i ) naast de N.v.t. om te zien welke gegevensbronnen vereist zijn om deze query actief te maken. |
| Pieken in uw gegevens identificeren | Identificeer pieken in de gegevens door te sorteren of te filteren op Resultaten delta of Resultaat deltapercentage. Hiermee vergelijkt u de resultaten van de afgelopen 24 uur met de resultaten van de vorige 24-48 uur, waarin eventuele grote verschillen of relatieve verschillen in volume worden belicht. |
| Query's weergeven die zijn&MITRE ATT-tactiek | De MITRE ATT&CK-tactiekbalk, boven aan de tabel, geeft een lijst van het aantal query's worden aan elke MITRE ATT&CK-tactiek. De tactiekbalk wordt dynamisch bijgewerkt op basis van de huidige set toegepaste filters. Hiermee kunt u zien welke MITRE ATT&CK-tactieken worden weer gegeven wanneer u filtert op een bepaald aantal resultaten, een delta met hoge resultaten, N/A-resultaten of een andere set filters. |
| Query's weergeven die zijn&MITRE ATT-technieken | Query's kunnen ook worden toegepast op MITRE ATT-&CK-technieken. U kunt filteren of sorteren op MITRE ATT&CK-technieken met behulp van het filter Techniek. Door een query te openen, kunt u de techniek selecteren om de MITRE ATT&CK-beschrijving van de techniek te zien. |
| Een query opslaan in uw favorieten | Query's die naar uw favorieten worden opgeslagen, worden automatisch uitgevoerd telkens wanneer de pagina Hunting wordt weergegeven. U kunt uw eigen hunting-query maken of een bestaande querysjabloon voor de hunting maken en aanpassen. |
| Query's uitvoeren | Selecteer Query uitvoeren op de pagina met details van de hunting-query om de query rechtstreeks vanaf de pagina voor de hunting uit te voeren. Het aantal overeenkomsten wordt weergegeven in de tabel, in de kolom Resultaten. Bekijk de lijst met zoekquery's en hun overeenkomsten. |
| Een onderliggende query controleren | Voer een snelle beoordeling uit van de onderliggende query in het deelvenster querydetails. U kunt de resultaten bekijken door te klikken op de koppeling Queryresultaten weergeven (onder het queryvenster) of op de knop Resultaten weergeven (onderaan het deelvenster). De query wordt geopend op de blade Logboeken (Log Analytics) en onder de query kunt u de overeenkomsten voor de query bekijken. |
Een aangepaste hunting-query maken
Maak of wijzig een query en sla deze op als uw eigen query of deel deze met gebruikers die zich in dezelfde tenant hebben.
Een nieuwe query maken:
Selecteer Nieuwe query.
Vul alle lege velden in en selecteer Maken.
(Preview) Maak entiteitstoewijzingen door entiteitstypen, id's en kolommen te selecteren.
(Preview) Wijs MITRE ATT&CK-technieken toe aan uw onderzoeksquery's door de tactiek, techniek en subtechniek (indien van toepassing) te selecteren.
Een bestaande query klonen en wijzigen:
Selecteer de hunting-query in de tabel die u wilt wijzigen.
Selecteer het beletselteken (...) in de regel van de query die u wilt wijzigen en selecteer Query klonen.
Wijzig de query en selecteer Maken.
Voorbeeldquery
Een typische query begint met een tabelnaam, gevolgd door een reeks operators, gescheiden door een s pipe-teken (" | ").
In het bovenstaande voorbeeld begint u met de tabelnaam SecurityEvent en voegt u waar nodig doorspijpelementen toe.
Definieer een tijdfilter om alleen records van de afgelopen zeven dagen te controleren.
Voeg een filter toe aan de query om alleen gebeurtenis-id 4688 weer te geven.
Voeg een filter toe aan de query op de opdrachtregel om alleen exemplaren van de cscript.exe.
Project alleen de kolommen die u wilt verkennen en beperk de resultaten tot 1000 en selecteer Query uitvoeren.
Selecteer de groene driehoek en voer de query uit. U kunt de query testen en uitvoeren om te zoeken naar afwijkende gedragingen.
Bladwijzers maken
Tijdens het opsporings- en onderzoeksproces kunt u queryresultaten zien die er ongebruikelijk of verdacht uit kunnen zien. Maak een bladwijzer voor deze items om er in de toekomst naar terug te verwijzen, bijvoorbeeld bij het maken of verrijken van een incident voor onderzoek.
Markeer in de resultaten de selectievakjes voor de rijen die u wilt behouden en selecteer Bladwijzer toevoegen. Hiermee maakt u een record voor elke gemarkeerde rij - een bladwijzer - die de rijresultaten bevat, evenals de query die de resultaten heeft gemaakt. U kunt uw eigen tags en notities toevoegen aan elke bladwijzer.
- (Preview) Net als bij aangepaste query's kunt u uw bladwijzers verrijken met entiteitstoewijzingen om meerdere entiteitstypen en -id's te extraheren, en MITRE ATT&CK-toewijzingen om bepaalde tactieken en technieken te koppelen.
- (Preview) Bladwijzers gebruiken standaard dezelfde entiteit en MITRE ATT&CK-techniektoewijzingen als de hunting-query die de resultaten met bladwijzers heeft geproduceerd.
Alles weergeven resultaten met bladwijzers door te klikken op het tabblad Bladwijzers op de hoofdpagina van de hunting. Tags toevoegen aan bladwijzers om ze te classificeren voor filteren. Als u bijvoorbeeld een aanvalscampagne onderzoekt, kunt u een tag voor de campagne maken, de tag toepassen op relevante bladwijzers en vervolgens alle bladwijzers filteren op basis van de campagne.
Onderzoek één bladwijzer zoeken door de bladwijzer te selecteren en vervolgens te klikken op Onderzoeken in het detailvenster om de onderzoekservaring te openen. U kunt ook rechtstreeks een vermelde entiteit selecteren om de bijbehorende entiteitspagina van die entiteit weer te geven.
U kunt ook een incident maken van een of meer bladwijzers of een of meer bladwijzers toevoegen aan een bestaand incident. Selecteer een selectievakje links van bladwijzers die u wilt gebruiken en selecteer vervolgens Incidentacties Nieuw incident maken of > Toevoegen aan bestaand incident. Triage and investigate the incident like any other.
Tip
Bladwijzers staan voor belangrijke gebeurtenissen die opvallen en moeten worden geëscaleerd naar incidenten als ze ernstig genoeg zijn om een onderzoek te rechtvaardigen. Gebeurtenissen zoals mogelijke hoofdoorzaken, indicatoren van een compromis of andere belangrijke gebeurtenissen moeten als bladwijzer worden verhoogd.
Zie Bladwijzers gebruiken in de hunting voor meer informatie.
Notebooks gebruiken om onderzoek te doen
Wanneer uw opsporing en onderzoek complexer worden, gebruikt u Microsoft Sentinel-notebooks om uw activiteit te verbeteren met machine learning, visualisaties en gegevensanalyse.
Notebooks bieden een soort virtuele sandbox, compleet met een eigen kernel, waar u een volledig onderzoek kunt uitvoeren. Uw notebook kan de onbewerkte gegevens, de code die u op die gegevens hebt uitgevoerd, de resultaten en hun visualisaties bevatten. Sla uw notebooks op zodat u deze kunt delen met anderen om ze opnieuw te gebruiken in uw organisatie.
Notebooks kunnen handig zijn wanneer uw opsporing of onderzoek te groot wordt om gemakkelijk te onthouden, details weer te geven of wanneer u query's en resultaten moet opslaan. Om u te helpen bij het maken en delen van notebooks, biedt Microsoft Sentinel Jupyter Notebooks,een opensourceomgeving voor interactieve ontwikkeling en gegevensmanipulatie, die rechtstreeks is geïntegreerd op de pagina Microsoft Sentinel Notebooks.
Zie voor meer informatie:
- Jupyter Notebook gebruiken om beveiligingsbedreigingen op te sporen
- De documentatie voor Jupyter Project
- Inleidende documentatie voor Jupyter.
- Het Infosec Jupyter Book
- Echte Python-zelfstudies
In de volgende tabel worden enkele methoden beschreven voor het gebruik van Juypter-notebooks om uw processen in Microsoft Sentinel te helpen:
| Methode | Beschrijving |
|---|---|
| Gegevens persistentie, herhaalbaarheid en backtracking | Als u met veel query's en resultatensets werkt, hebt u waarschijnlijk een aantal impasses. U moet bepalen welke query's en resultaten u wilt behouden en hoe u de nuttige resultaten in één rapport kunt verzamelen. Gebruik Jupyter Notebooks om query's en gegevens onderweg op te slaan, variabelen te gebruiken om query's opnieuw uit te stellen met verschillende waarden of datums, of om uw query's op te slaan om toekomstige onderzoeken opnieuw uit te werken. |
| Scripts en programmeren | Gebruik Jupyter Notebooks om programmering toe te voegen aan uw query's, waaronder: - Declaratieve talen zoals Kusto Query Language (KQL) of SQL, om uw logica te coderen in één, mogelijk complexe, instructie. - Procedurele programmeertalen voor het uitvoeren van logica in een reeks stappen. Door uw logica op te splitsen in stappen kunt u tussenliggende resultaten bekijken en er fouten in opsporen, functionaliteit toevoegen die mogelijk niet beschikbaar is in de querytaal en gedeeltelijke resultaten hergebruiken in latere verwerkingsstappen. |
| Koppelingen naar externe gegevens | Terwijl Microsoft Sentinel-tabellen de meeste telemetrie- en gebeurtenisgegevens bevatten, kunnen Jupyter Notebooks een koppeling maken naar alle gegevens die toegankelijk zijn via uw netwerk of vanuit een bestand. Met Jupyter Notebooks kunt u gegevens opnemen, zoals: - Gegevens in externe services die u niet bezit, zoals geolocatiegegevens of bronnen van bedreigingsinformatie - Gevoelige gegevens die alleen binnen uw organisatie worden opgeslagen, zoals human resourcedatabases of lijsten met waardevolle assets - Gegevens die u nog niet naar de cloud hebt gemigreerd. |
| Gespecialiseerde hulpprogramma's voor machine learning, gegevensverwerking en visualisatie | Jupyter Notebooks biedt aanvullende visualisaties, machine learning bibliotheken en functies voor gegevensverwerking en transformatie. Gebruik bijvoorbeeld Jupyter Notebooks met de volgende Python-mogelijkheden: - pandas voor gegevensverwerking, opschoning en engineering - Matplotlib, HoloViewsen Plotly voor visualisatie - NumPy en SciPy voor geavanceerde numerieke en wetenschappelijke verwerking - scikit-learn voor machine learning - TensorFlow, PyTorchen Keras voor deep learning Tip: Jupyter Notebooks ondersteunt kernels met meerdere talen. Gebruik magics om talen binnen hetzelfde notebook te combineren door het uitvoeren van afzonderlijke cellen met behulp van een andere taal toe te staan. U kunt bijvoorbeeld gegevens ophalen met behulp van een PowerShell-scriptcel, de gegevens in Python verwerken en JavaScript gebruiken om een visualisatie weer te geven. |
MSTIC-, Jupyter- en Python-beveiligingshulpprogramma's
Microsoft Threat Intelligence Center (MSTIC) is een team van Beveiligingsanalisten en -technici van Microsoft die beveiligingsdetecties schrijven voor verschillende Microsoft-platforms en werken aan identificatie en onderzoek van bedreigingen.
MSTIC heeft MSTICPy gebouwd,een bibliotheek voor onderzoek naar en opsporing van informatiebeveiliging in Jupyter Notebooks. MSTICPy biedt herbruikbare functionaliteit die is gericht op het versnellen van het maken van notebooks en het eenvoudiger maken voor gebruikers om notebooks te lezen in Microsoft Sentinel.
MSTICPy kan bijvoorbeeld:
- Query's uitvoeren op logboekgegevens uit meerdere bronnen.
- Verrijk de gegevens met bedreigingsinformatie, geolocaties en Azure-resourcegegevens.
- Indicatoren van activiteit (IoA) extraheren uit logboeken en gecodeerde gegevens uitpakken.
- Geavanceerde analyses uitvoeren, zoals afwijkende sessiedetectie en tijdreeksafleding.
- Visualiseer gegevens met behulp van interactieve tijdlijnen, procesboom en multidimensionale Morph-grafieken.
MSTICPy bevat ook tijdbesparende notebookhulpprogramma's, zoals widgets waarmee tijdgrenzen voor query's worden ingesteld, items uit lijsten worden geselecteerd en weergegeven en de notebookomgeving wordt geconfigureerd.
Zie voor meer informatie:
- MSTICPy-documentatie
- Zelfstudie: Aan de slag met Jupyter-notebooks en MSTICPy in Microsoft Sentinel
- Geavanceerde configuraties voor Jupyter-notebooks en MSTICPy in Microsoft Sentinel
Nuttige operators en functies
Hunting-query's zijn gebouwd in Kusto Query Language (KQL),een krachtige querytaal met IntelliSense-taal die u de kracht en flexibiliteit biedt die u nodig hebt om de hunting naar het volgende niveau te brengen.
Het is dezelfde taal die wordt gebruikt door de query's in uw analyseregels en elders in Microsoft Sentinel. Zie Naslaginformatie over querytaal voor meer informatie.
De volgende operators zijn vooral nuttig bij de zoekquery's van Microsoft Sentinel:
where: filter een tabel op de subset van rijen die voldoen aan een predicaat.
summarize: een tabel maken die de inhoud van de invoertabel aggregeert.
join: voeg de rijen van twee tabellen samen om een nieuwe tabel te vormen door waarden van de opgegeven kolom(en) uit elke tabel te matchen.
count: retourner het aantal records in de invoerrecordset.
top: retourneert de eerste N records gesorteerd op de opgegeven kolommen.
limit: retourneert het opgegeven aantal rijen.
project: selecteer de kolommen die u wilt opnemen, een nieuwe naam wilt geven of neerzetten en voeg nieuwe berekende kolommen in.
extend: berekende kolommen maken en deze toevoegen aan de resultatenset.
makeset: retourneert een dynamische matrix (JSON) van de set afzonderlijke waarden die Expr in de groep op zich neemt
find: rijen zoeken die overeenkomen met een predicaat in een set tabellen.
adx() (preview) - Met deze functie worden query's uitgevoerd op meerdere resources van Azure Data Explorer gegevensbronnen uit de Microsoft Sentinel-hunting-ervaring en Log Analytics. Zie Query's uitvoeren op meerdere resources voor Azure Data Explorer met behulp van Azure Monitor.
Volgende stappen
In dit artikel hebt u geleerd hoe u een opsporingsonderzoek kunt uitvoeren met Microsoft Sentinel.
Zie voor meer informatie:
- Notebooks gebruiken om geautomatiseerde hunting-campagnes uit te voeren
- Bladwijzers gebruiken om interessante informatie op te slaan tijdens het zoeken
Leer van een voorbeeld van het gebruik van aangepaste analyseregels bij het bewaken van Zoom met een aangepaste connector.