Mantenha o controle dos dados durante a busca com o Microsoft Sentinel

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A busca de ameaças normalmente requer a verificação de inúmeros dados de log, em busca de evidências de comportamento mal-intencionado. Nesse processo, você pode encontrar eventos que queira relembrar, revisitar e analisar como parte da validação de possíveis hipóteses, e também para entender o contexto completo de uma violação.

Os indicadores de busca no Microsoft Sentinel ajudam você na busca de ameaças preservando as consultas executadas nos Microsoft Sentinel – Logs, juntamente com os resultados de consultas que você considere relevantes. Você também pode registrar observações de contexto e consultar as descobertas alcançadas adicionando anotações e marcações. Os dados de indicadores ficam visíveis para você e seus colegas de equipe para facilitar a colaboração.

Agora você pode identificar e solucionar lacunas na cobertura de técnica de MITRE ATT&CK, em todas as consultas de busca, mapeando suas consultas de busca personalizadas para as técnicas de MITRE ATT&CK.

Investigue mais tipos de entidades ao buscar com indicadores, mapeando o conjunto completo de tipos de entidade e identificadores que têm suporte nas Análises do Microsoft Sentinel nas suas consultas personalizadas. Use indicadores para explorar as entidades retornadas na busca de resultados da consulta usando as páginas de entidade, os incidentes e o grafo de investigação. Se um indicador capturar os resultados de uma consulta de busca, ele herdará automaticamente a técnica de MITRE ATT&CK e os mapeamentos de entidade da consulta.

Se você encontrar algo que precisa ser resolvido com urgência durante a busca nos seus logs, poderá criar facilmente um indicador e promovê-lo para um incidente ou adicioná-lo a um incidente existente. Para obter mais informações sobre incidentes, confira Investigar incidentes com o Microsoft Sentinel.

Se você encontrou algo que vale a pena marcar, mas que não é imediatamente urgente, poderá criar um indicador e revisitar os dados marcados a qualquer momento na guia Indicadores do painel Busca. Você pode usar as opções de filtragem e pesquisa a fim de localizar rapidamente dados específicos para sua investigação atual.

Você pode visualizar seus dados marcados selecionando Investigar nos detalhes do indicador. Isso inicia a experiência de investigação na qual você pode exibir, investigar e comunicar visualmente suas descobertas usando um diagrama de entidade-gráfico e uma linha do tempo interativos.

Como alternativa, você pode examinar dados marcados salvos diretamente na tabela HuntingBookmark, no espaço de trabalho do Log Analytics. Por exemplo:

Captura de tela da exibição da tabela de indicadores de busca.

A exibição de indicadores da tabela permite filtrar, resumir e unir dados marcados com outras fontes de dados, o que facilita a procura de evidências de confirmação.

Observação

Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Importante

O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma unificada de operações de segurança no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Adicionar um indicador

Crie um indicador para preservar as consultas, os resultados, as observações e as descobertas.

  1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Busca.
    Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de ameaças>Busca.

  2. Selecione uma das consultas de busca.

  3. Nos detalhes da consulta de busca, selecione Executar Consulta.

  4. Selecione Exibir resultados da consulta. Por exemplo:

    Captura de tela da exibição dos resultados da consulta na busca do Microsoft Sentinel.

    Essa ação abre os resultados da consulta no painel Logs.

  5. Na lista de resultados da consulta de log, use as caixas de seleção para selecionar uma ou mais linhas que contenham as informações que você considere interessantes.

  6. Selecione Adicionar indicador:

    Captura de tela da adição do indicador de busca à consulta.

  7. À direita, no painel Adicionar indicador, atualize opcionalmente o nome do indicador e adicione marcas e notas para ajudar a identificar os pontos de interesse no item.

  8. Os indicadores podem ser mapeados opcionalmente para técnicas ou subtécnicas MITRE ATT&CK. Os mapeamentos do MITRE ATT&CK são herdados de valores mapeados em consultas de busca, mas você também pode criá-los manualmente. Selecione a tática MITRE ATT&CK associada à técnica desejada no menu suspenso da seção Táticas e técnicas do painel Adicionar indicador. O menu se expande para mostrar todas as técnicas MITRE ATT&CK e você poderá selecionar várias técnicas e subtécnicas nesse menu.

    Captura de tela de como mapear táticas e técnicas de Mitre Attack para indicadores.

  9. Agora, um conjunto expandido de entidades pode ser extraído dos resultados da consulta com indicador para investigação adicional. Na seção Mapeamento de entidade, use os menus suspensos para selecionar identificadores e tipos de entidade. Em seguida, mapeie a coluna nos resultados da consulta que contêm o identificador correspondente. Por exemplo:

    Captura de tela do mapeamento de tipos de entidades para indicadores de busca.

    Para exibir o indicador no grafo de investigação, você precisa mapear pelo menos uma entidade. Há suporte para mapeamentos de entidade para tipos de entidade de URL, IP, host e conta criados, preservando a compatibilidade com versões anteriores.

  10. Selecione Salvar para confirmar suas alterações e adicionar o indicador. Todos os dados marcados são compartilhados com outros analistas e essa é a primeira etapa para uma experiência de investigação colaborativa.

Os resultados da consulta de log oferecem suporte a indicadores sempre que esse painel é aberto do Microsoft Sentinel. Por exemplo, você seleciona Geral>Logs na barra de navegação, seleciona links de eventos no gráfico de investigações ou uma ID de alerta nos detalhes completos de um incidente. Não é possível criar indicadores quando o painel Logs é aberto de outros locais, como diretamente do Azure Monitor.

Exibir e atualizar indicadores

Localize e atualize um indicador da guia indicador.

  1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Busca.
    Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de ameaças>Busca.

  2. Selecione a guia Indicadores para exibir a lista de indicadores.

  3. Pesquise ou filtre para localizar um indicador ou indicadores específicos.

  4. Selecione indicadores individuais para exibir seus detalhes no painel à direita.

  5. Faça as alterações conforme necessário. Suas alterações são salvas automaticamente.

Exploração de indicadores no gráfico de investigação

Visualize seus dados com indicadores iniciando a experiência de investigação na qual você pode exibir, investigar e comunicar visualmente suas descobertas usando um diagrama de grafo de entidade interativo e uma linha do tempo.

  1. Na guia Indicadores, selecione o indicador ou os indicadores que você deseja investigar.

  2. Nos detalhes do indicador, verifique se pelo menos uma entidade está mapeada.

  3. Selecione Investigar para exibir o indicador no grafo de investigação.

Para obter instruções sobre como usar o gráfico de investigação, consulte Usar o gráfico de investigação para aprofundar-se.

Adicionar indicadores a um incidente novo ou existente

Adicione indicadores a um incidente da guia de indicadores na página Busca.

  1. Na guia Indicadores, selecione o indicador ou os indicadores que você deseja adicionar a um incidente.

  2. Selecione Ações do incidente na barra de comandos:

    Captura de tela da adição de indicadores no incidente.

  3. Selecione Criar incidente ou Adicionar no incidente existente, conforme apropriado. Em seguida:

    • Para um novo incidente: opcionalmente, atualize os detalhes do incidente e selecione Criar.
    • Para adicionar um indicador a um incidente existente: selecione um incidente e Adicionar.

Como alternativa à opção Ações do incidente na barra de comandos, você pode usar o menu de contexto ( ... ) para um ou mais indicadores a fim de selecionar opções para Criar incidente, Adicionar no incidente existente e Remover do incidente.

Para exibir o indicador no incidente: acesse Microsoft Sentinel>Gerenciamento de ameaças>Incidentes e selecione o incidente com o seu indicador. Selecione Exibir detalhes completose a guia Indicadores.

Exibir dados marcados em logs

Exiba consultas, resultados ou seu histórico com indicadores.

  1. Selecione o indicador na guia Busca>Indicadores.

  2. Selecione os links fornecidos no painel de detalhes:

    • Exibir consulta de origem, para exibir a consulta de origem no painel Logs.

    • Exibir logs de indicadores, para ver todos os metadados de indicador, que incluem quem fez a atualização, os valores atualizados e a hora da atualização.

  3. Exiba os dados brutos de indicadores para todos os indicadores, selecionando Logs de indicadores na barra de comando da guia Busca>Indicadores:

    Captura de tela do comando de logs de indicadores.

Mostra todos os indicadores com metadados associados. Você pode usar consultas KQL (Linguagem de Consulta Kusto) para filtrar a versão mais recente do indicador específico que está procurando.

Pode haver um atraso significativo (medido em minutos) entre o momento em que você cria um indicador e sua exibição na guia Indicadores.

Excluir um indicador

Excluir o indicador remove o indicador da lista na guia Indicador. A tabela HuntingBookmark para seu workspace do Log Analytics continua a conter entradas de indicadores anteriores, mas a entrada mais recente altera o valor de SoftDelete para “true”, facilitando a filtragem de indicadores antigos. A exclusão de um indicador não remove da experiência de investigação nenhuma entidade associada a outros indicadores ou alertas.

Para excluir um indicador, conclua as etapas a seguir.

  1. Na guia Busca>Indicadores, selecione o indicador ou os indicadores que você deseja excluir.

  2. Clique com o botão direito do mouse e selecione a opção para excluir os indicadores selecionados.

Conteúdo relacionado

Neste artigo, você aprendeu como fazer uma investigação de busca usando indicadores no Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, confira os artigos a seguir: