Jaga efter hot med Azure Sentinel

Viktigt

  • Uppgraderingar av instrumentpanelen för jakt är för närvarande i FÖRHANDSVERSION. Objekt nedan som rör den här uppgraderingen markeras som "(förhandsversion)". Se kompletterande användningsvillkor för Microsoft Azure-förhandsversioner för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som ännu inte har släppts i allmän tillgänglighet.

Som säkerhetsanalytiker och utredare vill du vara proaktiv när det gäller att leta efter säkerhetshot, men dina olika system och säkerhetsutrustning genererar en mängd data som kan vara svåra att parsa och filtrera fram meningsfulla händelser. Azure Sentinel har kraftfulla sök- och frågeverktyg för jakt efter säkerhetshot i organisationens datakällor. För att hjälpa säkerhetsanalytiker att proaktivt söka efter nya avvikelser som inte har identifierats av dina säkerhetsappar eller ens av dina schemalagda analysregler hjälper Azure Sentinel:s inbyggda jaktfrågor dig att ställa rätt frågor för att hitta problem i de data som du redan har i nätverket.

En inbyggd fråga innehåller till exempel data om de mest ovanliga processer som körs i din infrastruktur. Du vill inte ha någon avisering om varje gång de körs – de kan vara helt ovanliga – men du kanske vill ta en titt på frågan för att se om det finns något ovanligt.

Med Azure Sentinel jakt kan du dra nytta av följande funktioner:

  • Inbyggda frågor: Den huvudsakliga jaktsidan, som är tillgänglig från Azure Sentinel-navigeringsmenyn, innehåller färdiga frågeexempel som är utformade för att komma igång och bekanta dig med tabellerna och frågespråket. Dessa inbyggda jaktfrågor utvecklas kontinuerligt av Microsofts säkerhetsforskare. De lägger till nya frågor och finjusterar befintliga frågor så att du kan hitta nya identifieringar och ta reda på var du kan börja leta efter nya attacker.

  • Kraftfullt frågespråk med IntelliSense: Jaktfrågor är inbyggda i Kusto Query Language (KQL), ett frågespråk som ger dig den kraft och flexibilitet du behöver för att ta jakt till nästa nivå. Det är samma språk som används av frågorna i dina analysregler och på andra ställen i Azure Sentinel.

  • Jaktinstrumentpanel (förhandsversion): Med den här uppgraderingen av huvudsidan kan du köra alla dina frågor, eller en vald delmängd, med ett enda klick. Identifiera var du kan börja jaga genom att titta på resultatantal, toppar eller ändringar i resultatantal under en 24-timmarsperiod. Du kan också sortera och filtrera efter favoriter, datakälla, MITRE ATT&CK-taktik eller teknik, resultat eller resultatdelta. Visa de frågor som ännu inte har de nödvändiga datakällorna anslutna och få rekommendationer om hur du aktiverar dessa frågor.

  • Skapa egna bokmärken: Under jaktprocessen kan du stöta på frågeresultat som kan se ovanliga eller misstänkta ut. Du kan "bokmärka" dessa objekt – spara dem och lägga dem åt sidan så att du kan referera tillbaka till dem i framtiden. Du kan använda dina bokmärkta objekt för att skapa eller utöka en incident för undersökning. Mer information om bokmärken finns i Använda bokmärken i jakt.

  • Använd notebook-datorer för att undersöka: Notebooks ger dig en typ av virtuell sandbox-miljö, komplett med en egen kernel. Du kan använda anteckningsböcker för att förbättra jakt och undersökningar med maskininlärning, visualisering och dataanalys. Du kan utföra en fullständig undersökning i en notebook-dator, kapsla in rådata, koden som du kör på den, resultaten och deras visualiseringar och spara hela bladet så att den kan delas med och återanvändas av andra i din organisation.

  • Fråga lagrade data: Data är tillgängliga i tabeller som du kan fråga efter. Du kan till exempel skapa frågeprocess, DNS-händelser och många andra händelsetyper.

  • Länkar till communityn: Utnyttja kraften hos communityn för att hitta fler frågor och datakällor.

Kom igång med jakt

I Azure Sentinel portal klickar du på Jakt.

Azure Sentinel börjar jaga

  • När du öppnar sidan Jakt visas alla jaktfrågor i en enda tabell. I tabellen visas alla frågor som skrivits av Microsofts team med säkerhetsanalytiker samt eventuella ytterligare frågor som du har skapat eller ändrat. Varje fråga innehåller en beskrivning av vad den söker efter och vilken typ av data den körs på. Dessa mallar grupperas efter deras olika metoder – ikonerna till höger kategoriserar typen av hot, till exempel inledande åtkomst, beständighet och exfiltrering.

  • (Förhandsversion) Om du vill se hur frågorna gäller för din miljö klickar du på knappen Kör alla frågor (förhandsversion) eller väljer en delmängd av frågorna med hjälp av kryssrutorna till vänster om varje rad och väljer knappen Kör valda frågor (förhandsversion). Det kan ta allt från några sekunder till många minuter att köra frågorna, beroende på hur många frågor som väljs, tidsperioden och mängden data som efterfrågas.

  • (Förhandsversion) När dina frågor har körts klart kan du se vilka frågor som returnerade resultat med hjälp av filtret Resultat. Du kan sedan sortera för att se vilka frågor som hade mest eller färre resultat. Du kan också se vilka frågor som inte är aktiva i din miljö genom att välja N/A i resultatfiltret. Hovra över informationsikonen (i) bredvid saknas för att se vilka datakällor som krävs för att göra den här frågan aktiv.

  • (Förhandsversion) Du kan identifiera toppar i data genom att sortera eller filtrera på Resultat delta. Detta jämför resultaten från de senaste 24 timmarna med resultaten från de senaste 24–48 timmarna för att göra det enkelt att se stora volymskillnader.

  • (Förhandsversion) MITRE ATT&CK-taktikfältet längst upp i tabellen visar hur många frågor som mappas till varje MITRE ATT&CK-taktik. Taktikfältet uppdateras dynamiskt baserat på den aktuella uppsättningen filter som tillämpas. Det här är ett enkelt sätt att se vilka MITRE ATT&CK-taktiker som visas när du filtrerar efter ett visst resultatantal, ett högt resultat(delta) eller N/A-resultat eller någon annan uppsättning filter.

  • (Förhandsversion) Frågor kan också mappas till MITRE ATT&CK-tekniker. Du kan filtrera eller sortera efter MITRE ATT&CK-tekniker med hjälp av filtret Teknik. Genom att öppna en fråga kan du klicka på tekniken för att se MITRE ATT&CK-beskrivningen av tekniken.

  • Du kan spara en fråga till dina favoriter. Frågor som sparas till dina favoriter körs automatiskt varje gång sidan Jakt öppnas. Du kan skapa en egen jaktfråga eller klona och anpassa en befintlig jaktfrågemall.

  • Genom att klicka på Kör fråga på sidan med information om jaktfrågor kan du köra en fråga utan att lämna jaktsidan. Antalet matchningar visas i tabellen i kolumnen Resultat. Granska listan över jaktfrågor och deras matchningar.

  • Du kan utföra en snabb granskning av den underliggande frågan i fönstret med frågeinformation. Du kan se resultatet genom att klicka på länken Visa frågeresultat (under frågefönstret) eller knappen Visa resultat (längst ned i fönstret). Frågan öppnas i bladet Loggar (Log Analytics) och under frågan kan du granska matchningarna för frågan.

  • Om du vill bevara misstänkta eller intressanta resultat från en fråga i Log Analytics markerar du kryssrutorna för de rader som du vill bevara och väljer Lägg till bokmärke. Detta skapar för varje markerad rad en post – ett bokmärke – som innehåller radresultat, frågan som skapade resultaten och entitetsmappningar för att extrahera användare, värdar och IP-adresser. Du kan lägga till egna taggar (se nedan) och anteckningar till varje bokmärke.

  • Du kan se alla bokmärken genom att klicka på fliken Bokmärkenhuvudsidan Jakt. Du kan lägga till taggar i bokmärken för att klassificera dem för filtrering. Om du till exempel undersöker en attackkampanj kan du skapa en tagg för kampanjen, tillämpa taggen på alla relevanta bokmärken och sedan filtrera alla bokmärken baserat på kampanjen.

  • Du kan undersöka en enskild bokmärkess finding genom att välja bokmärket och sedan klicka på Undersök i informationsfönstret för att öppna undersökningsupplevelsen. Du kan också skapa en incident från ett eller flera bokmärken eller lägga till ett eller flera bokmärken i en befintlig incident genom att markera kryssrutorna till vänster om önskade bokmärken och sedan välja antingen Skapa ny incident eller Lägg till i befintlig incident från listrutan Incidentåtgärder längst upp på skärmen. Du kan sedan undersöka incidenten precis som vilken annan incident som helst.

  • När du har identifierat eller skapat en jaktfråga som ger värdefulla insikter om möjliga attacker kan du skapa anpassade identifieringsregler baserat på frågan och identifiera dessa insikter som aviseringar till säkerhetsincidentens bearbetare. Visa frågans resultat i Log Analytics (se ovan) och klicka sedan på knappen Ny aviseringsregel längst upp i fönstret och välj Skapa Azure Sentinel avisering. Guiden Analytics-regel öppnas. Slutför de nödvändiga stegen enligt beskrivningen i Självstudie: Skapa anpassade analysregler för att identifiera hot.

Frågespråk

Jakt i Azure Sentinel baseras på Kusto-frågespråket. Mer information om frågespråket och operatorer som stöds finns i Referens för frågespråk.

GitHub-lagringsplats för offentlig jaktfråga

Kolla in lagringsplatsen för Jaktfrågor. Bidra och använd exempelfrågor som delas av våra kunder.

Exempelfråga

En typisk fråga börjar med ett tabellnamn följt av en serie operatorer avgränsade med | .

I exemplet ovan börjar du med tabellnamnet SecurityEvent och lägger till piped-element efter behov.

  1. Definiera ett tidsfilter för att endast granska poster från de senaste sju dagarna.

  2. Lägg till ett filter i frågan för att endast visa händelse-ID 4688.

  3. Lägg till ett filter i frågan på kommandoraden så att endast innehåller instanser av cscript.exe.

  4. Projicera endast de kolumner som du är intresserad av att utforska och begränsa resultaten till 1 000 och klicka på Kör fråga.

  5. Klicka på den gröna triangeln och kör frågan. Du kan testa frågan och köra den för att leta efter avvikande beteende.

Användbara operatorer

Frågespråket är kraftfullt och har många tillgängliga operatorer, varav några är användbara som anges här:

where – Filtrera en tabell till den delmängd av rader som uppfyller ett predikat.

summarize – Skapa en tabell som aggregerar innehållet i indatatabellen.

join – Sammanfoga raderna i två tabeller för att skapa en ny tabell genom att matcha värdena för de angivna kolumnerna från varje tabell.

count – returnerar antalet poster i indatapostuppsättningen.

top – returnera de första N posterna sorterade efter de angivna kolumnerna.

limit – returnerar upp till det angivna antalet rader.

project – Välj de kolumner som ska inkluderas, byt namn på eller släpp och infoga nya beräknade kolumner.

extend – Skapa beräknade kolumner och lägg till dem i resultatuppsättningen.

makeset – Returnera en dynamisk matris (JSON) med uppsättningen distinkta värden som Expr tar i gruppen

find – Hitta rader som matchar ett predikat i en uppsättning tabeller.

Spara en fråga

Du kan skapa eller ändra en fråga och spara den som din egen fråga eller dela den med användare som finns i samma klientorganisation.

Spara fråga

Skapa en ny jaktfråga

  1. Klicka på Ny fråga.

  2. Fyll i alla tomma fält och välj Skapa.

    Ny fråga

Klona och ändra en befintlig jaktfråga

  1. Välj jaktfrågan i den tabell som du vill ändra.

  2. Välj ellipsen (...) på raden för den fråga som du vill ändra och välj Klona fråga.

    Klona fråga

  3. Ändra frågan och välj Skapa.

    Anpassad fråga

Nästa steg

I den här artikeln har du lärt dig hur du kör en jaktundersökning med Azure Sentinel. Mer information om Azure Sentinel finns i följande artiklar: