W przypadku zagrożeń związanych z platformą Azure — wskaźnikiemHunt for threats with Azure Sentinel

Jeśli jesteś analitykiem, który chce być aktywny w sprawie wyszukania zagrożeń bezpieczeństwa, platforma Azure bada zaawansowane narzędzia wyszukiwania i zapytań w poszukiwaniu zagrożeń związanych z bezpieczeństwem w źródłach danych organizacji.If you're an investigator who wants to be proactive about looking for security threats, Azure Sentinel powerful hunting search and query tools to hunt for security threats across your organization's data sources. Jednak systemy i urządzenia zabezpieczeń generują górach danych, które mogą być trudne do analizy i filtrowania do znaczących zdarzeń.But your systems and security appliances generate mountains of data that can be difficult to parse and filter into meaningful events. Aby ułatwić analitykom zabezpieczeń odszukanie nowych anomalii, które nie zostały wykryte przez aplikacje zabezpieczające, wbudowane zapytania polowające dotyczące platformy Azure wskazują, że zażądają odpowiednich pytań, aby znaleźć problemy w danych, które już znajdują się w sieci.To help security analysts look proactively for new anomalies that weren't detected by your security apps, Azure Sentinel' built-in hunting queries guide you into asking the right questions to find issues in the data you already have on your network.

Na przykład jedno wbudowane zapytanie udostępnia dane dotyczące najbardziej nietypowych procesów uruchomionych w infrastrukturze — nie można utworzyć alertu dotyczącego każdego uruchomienia, ale mogą one zostać całkowicie nieszkodliwene, ale warto zajrzeć do zapytania, aby sprawdzić, czy występują jakieś sytuacje.For example, one built-in query provides data about the most uncommon processes running on your infrastructure - you wouldn't want an alert about each time they are run, they could be entirely innocent, but you might want to take a look at the query on occasion to see if there's anything unusual.

Korzystając z łowiectwa wskaźnikowego platformy Azure, możesz korzystać z następujących możliwości:With Azure Sentinel hunting, you can take advantage of the following capabilities:

  • Wbudowane zapytania: Aby rozpocząć, Strona początkowa zawiera przykłady wstępnie załadowanych zapytań, które umożliwiają rozpoczęcie pracy i zapoznanie się z tabelami oraz językiem zapytań.Built-in queries: To get you started, a starting page provides preloaded query examples designed to get you started and get you familiar with the tables and the query language. Te wbudowane zapytania polowania są opracowywane przez badaczy zabezpieczeń firmy Microsoft w sposób ciągły, dodawanie nowych zapytań i dostosowywanie istniejących zapytań w celu udostępnienia punktu wejścia do wyszukiwania nowych wykryć i ustalenia miejsca, w którym należy zacząć polowanie na początku nowych ataków.These built-in hunting queries are developed by Microsoft security researchers on a continuous basis, adding new queries, and fine-tuning existing queries to provide you with an entry point to look for new detections and figure out where to start hunting for the beginnings of new attacks.

  • Zaawansowany język zapytań z technologią IntelliSense: wbudowaną na podstawie języka zapytań, który zapewnia elastyczność potrzebną do skorzystania z kolejnego poziomu.Powerful query language with IntelliSense: Built on top of a query language that gives you the flexibility you need to take hunting to the next level.

  • Tworzenie własnych zakładek: w trakcie procesu polowania mogą trafiać dopasowania lub wyniki, pulpity nawigacyjne lub działania, które wyglądają nierzadko lub podejrzane.Create your own bookmarks: During the hunting process, you may come across matches or findings, dashboards, or activities that look unusual or suspicious. Aby oznaczyć te elementy tak, aby można było je w przyszłości wrócić do nich, użyj funkcji Zakładka.In order to mark those items so you can come back to them in the future, use the bookmark functionality. Zakładki umożliwiają zapisywanie elementów w celu ich późniejszego użycia w celu utworzenia incydentu do badania.Bookmarks let you save items for later, to be used to create an incident for investigation. Aby uzyskać więcej informacji na temat zakładek, zobacz Używanie zakładek w łowiectwie.For more information about bookmarks, see Use bookmarks in hunting.

  • Korzystaj z notesów do automatyzowania badań: Notesy przypominają elementy PlayBook krok po kroku, które można skompilować, aby zapoznać się z krokami badania i wyszukiwania.Use notebooks to automate investigation: Notebooks are like step-by-step playbooks that you can build to walk through the steps of an investigation and hunt. Notesy hermetyzują wszystkie kroki polowania w element PlayBook wielokrotnego użytku, które mogą być współużytkowane z innymi osobami w organizacji.Notebooks encapsulate all the hunting steps in a reusable playbook that can be shared with others in your organization.

  • Zbadaj przechowywane dane: dane są dostępne w tabelach, aby można było wykonywać zapytania.Query the stored data: The data is accessible in tables for you to query. Można na przykład wykonywać zapytania dotyczące tworzenia procesów, zdarzeń DNS i wielu innych typów zdarzeń.For example, you can query process creation, DNS events, and many other event types.

  • Linki do społeczności: wykorzystanie mocy większej społeczności do znajdowania dodatkowych zapytań i źródeł danych.Links to community: Leverage the power of the greater community to find additional queries and data sources.

Wprowadzenie do łowiectwaGet started hunting

  1. W portalu wskaźnikowym platformy Azure kliknij pozycję łowiectwo.In the Azure Sentinel portal, click Hunting. Azure — wskaźnik startowyAzure Sentinel starts hunting

  2. Po otwarciu strony polowania wszystkie zapytania polowania są wyświetlane w pojedynczej tabeli.When you open the Hunting page, all the hunting queries are displayed in a single table. W tabeli wymieniono wszystkie zapytania, które zostały utworzone przez zespół analityków zabezpieczeń firmy Microsoft, a także wszelkie dodatkowe lub zmodyfikowane zapytania.The table lists all the queries written by Microsoft's team of security analysts as well as any additional query you created or modified. Każde zapytanie zawiera opis tego, czego szuka i jakiego rodzaju dane są uruchamiane.Each query provides a description of what it hunts for, and what kind of data it runs on. Te szablony są pogrupowane według różnych taktykę — ikony po prawej stronie są typu zagrożenia, takie jak początkowy dostęp, trwałość i eksfiltracji.These templates are grouped by their various tactics - the icons on the right categorize the type of threat, such as initial access, persistence, and exfiltration. Te szablony zapytań polowania można filtrować przy użyciu dowolnych pól.You can filter these hunting query templates using any of the fields. Możesz zapisać dowolne zapytanie do ulubionych.You can save any query to your favorites. Zapisanie zapytania do ulubionych spowoduje automatyczne uruchomienie zapytania przy każdej próbie uzyskania dostępu do strony polowania .By saving a query to your favorites, the query automatically runs each time the Hunting page is accessed. Możesz utworzyć własne zapytanie polowania lub klonować i dostosowywać istniejący szablon zapytania polowania.You can create your own hunting query or clone and customize an existing hunting query template.

  3. Kliknij przycisk Uruchom zapytanie na stronie szczegółów zapytania polowania, aby uruchomić dowolne zapytanie bez opuszczania strony polowania.Click Run query in the hunting query details page to run any query without leaving the hunting page. W tabeli zostanie wyświetlona liczba dopasowań.The number of matches is displayed within the table. Przejrzyj listę zapytań polowania i ich dopasowania.Review the list of hunting queries and their matches. Sprawdź, który etap łańcucha kasowania jest skojarzony z.Check out which stage in the kill chain the match is associated with.

  4. Wykonaj szybkie przegląd bazowego zapytania w okienku szczegółów zapytania lub kliknij pozycję Wyświetl wynik zapytania , aby otworzyć zapytanie w log Analytics.Perform a quick review of the underlying query in the query details pane or click View query result to open the query in Log Analytics. W dolnej części zapoznaj się z dopasowaniem do zapytania.At the bottom, review the matches for the query.

  5. Kliknij wiersz i wybierz pozycję Dodaj zakładkę , aby dodać wiersze do zbadania — można to zrobić dla wszystkich elementów, które wyglądają podejrzanie.Click on the row and select Add bookmark to add the rows to be investigated - you can do this for anything that looks suspicious.

  6. Następnie wróć do strony głównej łowiectwa i kliknij kartę zakładki , aby wyświetlić wszystkie podejrzane działania.Then, go back to the main Hunting page and click the Bookmarks tab to see all the suspicious activities.

  7. Wybierz zakładkę, a następnie kliknij przycisk Zbadaj , aby otworzyć środowisko badania.Select a bookmark and then click Investigate to open the investigation experience. Można filtrować zakładki.You can filter the bookmarks. Na przykład, jeśli badasz kampanię, możesz utworzyć tag dla kampanii, a następnie filtrować wszystkie zakładki na podstawie kampanii.For example, if you're investigating a campaign, you can create a tag for the campaign and then filter all the bookmarks based on the campaign.

  8. Po wykryciu, które zapytanie polowające zapewnia wysoką wartość wglądu w możliwe ataki, można także utworzyć niestandardowe reguły wykrywania na podstawie zapytania i przedstawić te informacje jako alerty w odniesieniu do odpowiedzi na zdarzenia zabezpieczeń.After you discovered which hunting query provides high value insights into possible attacks, you can also create custom detection rules based on your query and surface those insights as alerts to your security incident responders.

Język zapytańQuery language

Łowiectwo na platformie Azure — na podstawie języka zapytań Kusto.Hunting in Azure Sentinel is based on Kusto query language. Aby uzyskać więcej informacji na temat języka zapytań i obsługiwanych operatorów, zobacz Dokumentacja języka zapytań.For more information on the query language and supported operators, see Query Language Reference.

Zapytanie dotyczące publicznego polowania w repozytorium GitHubPublic hunting query GitHub repository

Zapoznaj się z repozytorium zapytań polowania.Check out the Hunting query repository. Współtworzenie i używanie przykładowych zapytań udostępnionych przez naszych klientów.Contribute and use example queries shared by our customers.

Przykładowe zapytanieSample query

Typowa kwerenda rozpoczyna się od nazwy tabeli, po której następuje seria operatorów rozdzielonych przez | .A typical query starts with a table name followed by a series of operators separated by |.

W powyższym przykładzie Zacznij od nazwy tabeli SecurityEvent i Dodaj elementy potokowe zgodnie z wymaganiami.In the example above, start with the table name SecurityEvent and add piped elements as needed.

  1. Zdefiniuj filtr czasu, aby przeglądać tylko rekordy z ostatnich siedmiu dni.Define a time filter to review only records from the previous seven days.

  2. Dodaj filtr w zapytaniu, aby wyświetlić tylko zdarzenie o IDENTYFIKATORze 4688.Add a filter in the query to only show event ID 4688.

  3. Dodaj filtr do zapytania w wierszu polecenia, aby zawierał tylko wystąpienia cscript.exe.Add a filter in the query on the CommandLine to contain only instances of cscript.exe.

  4. Projektuj tylko te kolumny, które interesują Cię, i Ogranicz wyniki do 1000, a następnie kliknij przycisk Uruchom zapytanie.Project only the columns you're interested in exploring and limit the results to 1000 and click Run query.

  5. Kliknij zielony trójkąt i uruchom zapytanie.Click the green triangle and run the query. Możesz przetestować zapytanie i uruchomić je w celu wyszukania nietypowego zachowania.You can test the query and run it to look for anomalous behavior.

Przydatne operatoryUseful operators

Język zapytań jest zaawansowany i ma wiele dostępnych operatorów, niektóre przydatne operatory są wymienione tutaj:The query language is powerful and has many available operators, some useful operators are listed here:

WHERE -filteruje tabelę do podzestawu wierszy, które spełniają predykat.where - Filter a table to the subset of rows that satisfy a predicate.

Podsumowując — tworzy tabelę, która agreguje zawartość tabeli wejściowej.summarize - Produce a table that aggregates the content of the input table.

Dołącz — Scala wiersze dwóch tabel, aby utworzyć nową tabelę przez dopasowanie wartości określonych kolumn z każdej tabeli.join - Merge the rows of two tables to form a new table by matching values of the specified column(s) from each table.

Count — zwraca liczbę rekordów w zestawie rekordów wejściowych.count - Return the number of records in the input record set.

Top — zwraca pierwsze N rekordów posortowane według określonych kolumn.top - Return the first N records sorted by the specified columns.

Limit — zwraca do określonej liczby wierszy.limit - Return up to the specified number of rows.

projekt — wybierz kolumny do dołączenia, zmiany nazwy lub usunięcia oraz Wstaw nowe kolumny obliczane.project - Select the columns to include, rename or drop, and insert new computed columns.

Rozwiń — Utwórz kolumny obliczeniowe i Dołącz je do zestawu wyników.extend - Create calculated columns and append them to the result set.

MakeSet — zwraca tablicę dynamiczną (JSON) zestawu unikatowych wartości, które wyrażenie ma w grupiemakeset - Return a dynamic (JSON) array of the set of distinct values that Expr takes in the group

Znajdź — umożliwia znalezienie wierszy pasujących do predykatu w zestawie tabel.find - Find rows that match a predicate across a set of tables.

Zapisz zapytanieSave a query

Możesz utworzyć lub zmodyfikować zapytanie i zapisać je jako własne zapytanie lub udostępnić je użytkownikom, którzy znajdują się w tej samej dzierżawie.You can create or modify a query and save it as your own query or share it with users who are in the same tenant.

Zapisz zapytanie

Utwórz nowe zapytanie polowania:Create a new hunting query:

  1. Kliknij pozycję nowe zapytanie i wybierz pozycję Zapisz.Click New query and select Save.

  2. Wypełnij wszystkie puste pola i wybierz pozycję Zapisz.Fill in all the blank fields and select Save.

    Nowe zapytanie

Klonuj i Modyfikuj istniejące zapytanie polowania:Clone and modify an existing hunting query:

  1. Wybierz zapytanie polowania w tabeli, którą chcesz zmodyfikować.Select the hunting query in the table you want to modify.

  2. Wybierz wielokropek (...) w wierszu zapytania, które chcesz zmodyfikować, a następnie wybierz pozycję Klonuj zapytanie.Select the ellipsis (...) in the line of the query you want to modify, and select Clone query.

    Klonuj zapytanie

  3. Zmodyfikuj zapytanie i wybierz pozycję Utwórz.Modify the query and select Create.

    zapytanie niestandardowe

Następne krokiNext steps

W tym artykule wyjaśniono, jak uruchomić badanie polowania za pomocą oceny platformy Azure.In this article, you learned how to run a hunting investigation with Azure Sentinel. Aby dowiedzieć się więcej na temat platformy Azure, zobacz następujące artykuły:To learn more about Azure Sentinel, see the following articles: