Gegevens bijhouden tijdens de hunting met Microsoft Sentinel

  • Artikel
  • 7 minuten om te lezen

Notitie

Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.

Notitie

Zie de Microsoft Sentinel-tabellen in Cloud-functiebeschikbaarheid voor Amerikaanse overheidsklanten voor meer informatie over de beschikbaarheid van functies in clouds voor de Amerikaanse overheid.

Voor het vinden van bedreigingen moet doorgaans een grote groep logboekgegevens worden beoordeeld op bewijs van schadelijk gedrag. Tijdens dit proces vinden onderzoekers gebeurtenissen die ze willen onthouden, opnieuw willen bezoeken en analyseren als onderdeel van het valideren van mogelijke hypothesen en het begrijpen van het volledige verhaal van een compromis.

Door bladwijzers te zoeken in Microsoft Sentinel kunt u dit doen door de query's die u hebt uitgevoerd in Microsoft Sentinel - Logboeken te behouden, samen met de queryresultaten die u relevant acht. U kunt ook uw contextuele waarnemingen vastleggen en naar uw bevindingen verwijzen door notities en tags toe te voegen. De van bladwijzers voorziene gegevens zijn zichtbaar voor u en uw teamleden waardoor samenwerking eenvoudig is.

U kunt nu hiaten in de dekking van MITRE ATT&CK-techniek voor alle onderzoeksquery's identificeren en aanpakken door uw aangepaste hunting-query's toe te&MITRE ATT CK-technieken.

Belangrijk

De toewijzing van MITRE ATT&CK-technieken aan bladwijzers is momenteel in preview. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bètaversies of preview-functies hebben of die nog niet algemeen beschikbaar zijn.

U kunt ook meer typen entiteiten onderzoeken tijdens het zoeken met bladwijzers door de volledige set entiteitstypen en -id's die door Microsoft Sentinel Analytics worden ondersteund in uw aangepaste query's toe tewijsen. Hiermee kunt u bladwijzers gebruiken om de entiteiten te verkennen die worden geretourneerd in opsporingsqueryresultaten met behulp van entiteitspagina's, incidenten en de onderzoeksgrafiek. Als een bladwijzer resultaten van een hunting-query vast legt, neemt deze automatisch de MITRE ATT-&CK-techniek en entiteitstoewijzingen van de query over.

Belangrijk

De toewijzing van een uitgebreide set entiteitstypen en id's aan bladwijzers is momenteel in preview. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bètaversies of preview-functies hebben of die nog niet algemeen beschikbaar zijn.

Als u iets vindt dat urgent moet worden aangepakt tijdens het zoeken in uw logboeken, kunt u eenvoudig een bladwijzer maken en deze promoveren naar een incident of toevoegen aan een bestaand incident. Zie Incidenten onderzoeken met Microsoft Sentinel voor meer informatie over incidenten.

Als u iets hebt gevonden dat bladwijzers waard is, maar dat niet onmiddellijk urgent is, kunt u een bladwijzer maken en vervolgens op elk moment uw bladwijzergegevens opnieuw bekijken op het tabblad Bladwijzers van het deelvenster Hunting. U kunt filter- en zoekopties gebruiken om snel specifieke gegevens te vinden voor uw huidige onderzoek.

U kunt uw gegevens met bladwijzers visualiseren door Onderzoeken te selecteren in de details van de bladwijzer. Hiermee wordt de onderzoekservaring gestart waarin u uw bevindingen kunt bekijken, onderzoeken en visueel kunt communiceren met behulp van een interactief diagram en een tijdlijn voor entiteitsgrafieken.

U kunt uw gegevens met bladwijzers ook rechtstreeks weergeven in de tabel HuntingBookmark in uw Log Analytics-werkruimte. Bijvoorbeeld:

Schermopname van het weergeven van de tabel met bladwijzers voor de hunting.

Als u bladwijzers uit de tabel bekijkt, kunt u gegevens met bladwijzers filteren, samenvatten en toevoegen aan andere gegevensbronnen, zodat u eenvoudig kunt zoeken naar bewijs dat is bevestigd.

Een bladwijzer toevoegen

  1. Navigeer Azure Portal naar Microsoft Sentinel Threat Management Hunting om query's uit te voeren op verdacht en > > afwijkende gedrag.

  2. Selecteer een van de hunting-query's en selecteer aan de rechterkant in de details van de hunting-query de optie Query uitvoeren.

  3. Selecteer Queryresultaten weergeven. Bijvoorbeeld:

    Schermopname van het weergeven van queryresultaten van de Microsoft Sentinel-hunting.

    Met deze actie worden de queryresultaten geopend in het deelvenster Logboeken.

  4. Gebruik in de lijst met resultaten van de logboekquery de selectievakjes om een of meer rijen te selecteren die de informatie bevatten die u interessant vindt.

  5. Selecteer Bladwijzer toevoegen:

    Schermopname van het toevoegen van een hunting-bladwijzer aan een query.

  6. Werk aan de rechterkant in het deelvenster Bladwijzer toevoegen desgewenst de naam van de bladwijzer bij, voeg tags en notities toe om te bepalen wat interessant is voor het item.

  7. (Preview) Bladwijzers kunnen eventueel worden toegepast op MITRE ATT&CK-technieken of subtechnieken. MITRE ATT&CK-toewijzingen worden overgenomen van toegewezen waarden in de hunting-query's, maar u kunt ze ook handmatig maken. Selecteer de MITRE ATT&CK-tactiek die is gekoppeld aan de gewenste techniek in de vervolgkeuzelijst in de sectie Tactics & Techniques (Preview) van het deelvenster Bladwijzer toevoegen. Het menu wordt uitgebreid om alle MITRE ATT-&CK-technieken weer te geven. U kunt in dit menu meerdere technieken en subtechnieken selecteren.

    Schermopname van het in kaart brengen van Mitre Attack-tactieken en -technieken aan bladwijzers.

  8. (Preview) Nu kan een uitgebreide set entiteiten worden geëxtraheerd uit queryresultaten met bladwijzers voor verder onderzoek. Gebruik in de sectie Entiteitstoewijzing (preview) de vervolgkeuzen om entiteitstypen en id's te selecteren. Wijs vervolgens de kolom in de queryresultaten toe met de bijbehorende id. Bijvoorbeeld:

    Schermopname van het in kaart brengen van entiteitstypen voor het maken van bladwijzers.

    Als u de bladwijzer in de onderzoeksgrafiek wilt weergeven, moet u ten minste één entiteit in kaart brengen. Entiteitstoewijzingen voor account-, host-, IP- en URL-entiteitstypen die vóór deze preview zijn gemaakt, worden nog steeds ondersteund, met behoud van achterwaartse compatibiliteit.

  9. Klik op Opslaan om uw wijzigingen door te voeren en de bladwijzer toe te voegen. Alle gegevens met bladwijzers worden gedeeld met andere analisten en zijn een eerste stap in de richting van een samenwerkingsonderzoek.

Notitie

De resultaten van de logboekquery ondersteunen bladwijzers wanneer dit deelvenster wordt geopend vanuit Microsoft Sentinel. U selecteert bijvoorbeeld Algemene logboeken in de navigatiebalk, selecteert gebeurteniskoppelingen in de grafiek met onderzoeken of selecteert een waarschuwings-id in de volledige details van een > incident (momenteel in preview). U kunt geen bladwijzers maken wanneer het deelvenster Logboeken wordt geopend vanaf andere locaties, zoals rechtstreeks vanuit Azure Monitor.

Bladwijzers weergeven en bijwerken

  1. Navigeer in Azure Portal naar Microsoft Sentinel Threat > Management > Hunting.

  2. Selecteer het tabblad Bladwijzers om de lijst met bladwijzers te bekijken.

  3. Als u een specifieke bladwijzer wilt zoeken, gebruikt u het zoekvak of filteropties.

  4. Selecteer afzonderlijke bladwijzers en bekijk de details van de bladwijzer in het deelvenster met rechterdetails.

  5. Maak uw wijzigingen naar behoefte, die automatisch worden opgeslagen.

Bladwijzers verkennen in de onderzoeksgrafiek

  1. Ga in Azure Portal naar het tabblad Hunting Bookmarks van Microsoft Sentinel Threat Management en selecteer de bladwijzer of bladwijzers die > > > u wilt onderzoeken.

  2. Zorg ervoor dat in de bladwijzergegevens ten minste één entiteit is toe te staan.

  3. Selecteer Onderzoeken om de bladwijzer weer te geven in de onderzoeksgrafiek.

Zie De onderzoeksgrafiek gebruiken voor gedetailleerde informatie over het gebruik van de onderzoeksgrafiek.

Bladwijzers toevoegen aan een nieuw of bestaand incident

  1. Ga in Azure Portal naar het tabblad Hunting Bookmarks van Microsoft Sentinel Threat Management en selecteer de bladwijzers of bladwijzers > > > die u aan een incident wilt toevoegen.

  2. Selecteer Incidentacties in de opdrachtbalk:

    Schermopname van het toevoegen van bladwijzers aan incidenten.

  3. Selecteer, waar van toepassing, Nieuw incident maken of Toevoegen aan bestaand incident. Daarna kunt u het volgende doen:

    • Voor een nieuw incident: werk eventueel de details voor het incident bij en selecteer vervolgens Maken.
    • Een bladwijzer toevoegen aan een bestaand incident: selecteer één incident en selecteer vervolgens Toevoegen.

De bladwijzer in het incident weergeven: navigeer naar Microsoft Sentinel > Threat Management > Incidents en selecteer het incident met uw bladwijzer. Selecteer Volledige details weergeven en selecteer vervolgens het tabblad Bladwijzers.

Tip

Als alternatief voor de optie Incidentacties op de opdrachtbalk kunt u het contextmenu (...) gebruiken voor een of meer bladwijzers om opties te selecteren voor Het nieuwe incident maken, Toevoegen aan bestaand incident en Verwijderen uit incident.

Gegevens met bladwijzers weergeven in logboeken

Als u query's met bladwijzers, resultaten of hun geschiedenis wilt weergeven, selecteert u de bladwijzer op het tabblad Bladwijzers zoeken en gebruikt u de > koppelingen in het detailvenster:

  • Bekijk de bronquery om de bronquery weer te geven in het deelvenster Logboeken.

  • Bekijk bladwijzerlogboeken om alle metagegevens van bladwijzers weer te geven, waaronder wie de update heeft gemaakt, de bijgewerkte waarden en het tijdstip waarop de update heeft plaatsgevonden.

U kunt ook de onbewerkte bladwijzergegevens voor alle bladwijzers weergeven door Bladwijzerlogboeken te selecteren in de opdrachtbalk op het tabblad Bladwijzers > zoeken:

Schermopname van de opdracht bladwijzerlogboeken.

In deze weergave worden al uw bladwijzers met bijbehorende metagegevens weergegeven. U kunt KQL-query's (Kusto Query Language) gebruiken om te filteren op de nieuwste versie van de specifieke bladwijzer die u zoekt.

Notitie

Er kan een aanzienlijke vertraging (gemeten in minuten) zijn tussen het moment waarop u een bladwijzer maakt en wanneer deze wordt weergegeven op het tabblad Bladwijzers.

Een bladwijzer verwijderen

  1. Ga in Azure Portal naar het tabblad Hunting Bookmarks van Microsoft Sentinel Threat Management en selecteer de bladwijzer of bladwijzers > > > die u wilt verwijderen.

  2. Klik met de rechtermuisknop op uw selecties en selecteer de optie om het aantal bladwijzers te verwijderen dat u hebt geselecteerd.

Als u de bladwijzer verwijdert, wordt de bladwijzer uit de lijst op het tabblad Bladwijzer verwijderd. De HuntingBookmark-tabel voor uw Log Analytics-werkruimte blijft eerdere bladwijzer-vermeldingen bevatten, maar met de meest recente vermelding wordt de waarde softDelete gewijzigd in true, waardoor oude bladwijzers eenvoudig kunnen worden gefilterd. Als u een bladwijzer verwijdert, worden er geen entiteiten verwijderd uit de onderzoekservaring die zijn gekoppeld aan andere bladwijzers of waarschuwingen.

Volgende stappen

In dit artikel hebt u geleerd hoe u een opsporingsonderzoek kunt uitvoeren met behulp van bladwijzers in Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel: