Jaga efter hot med Microsoft Sentinel
Anteckning
Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.
Viktigt
Frågeupplevelsen mellan resurser och uppgraderingar till anpassade frågor och bokmärken (se markerade objekt nedan) finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Microsoft Azure-förhandsversioner för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som ännu inte har släppts i allmän tillgänglighet.
Anteckning
Information om funktionstillgänglighet i US Government-moln finns i Microsoft Sentinel-tabeller i Cloud feature availability for US Government customers (Funktionstillgänglighet för amerikanska myndigheter).
Som säkerhetsanalytiker och utredare vill du vara proaktiv när det gäller att leta efter säkerhetshot, men dina olika system och säkerhetsutrustning genererar en mängd data som kan vara svåra att parsa och filtrera fram meningsfulla händelser. Microsoft Sentinel har kraftfulla sök- och frågeverktyg för jakt efter säkerhetshot i organisationens datakällor. För att hjälpa säkerhetsanalytiker att proaktivt söka efter nya avvikelser som inte har identifierats av dina säkerhetsappar eller ens av dina schemalagda analysregler vägleder Microsoft Sentinel:s inbyggda jaktfrågor dig till att ställa rätt frågor för att hitta problem i de data som du redan har i nätverket.
En inbyggd fråga innehåller till exempel data om de mest ovanliga processer som körs i din infrastruktur. Du vill inte ha någon avisering om varje gång de körs – de kan vara helt ovanliga – men du kanske vill ta en titt på frågan för att se om det finns något ovanligt.
Använda inbyggda frågor
Instrumentpanelen för jakt innehåller färdiga frågeexempel som är utformade för att komma igång och bekanta dig med tabellerna och frågespråket. Frågor körs på data som lagras i loggtabeller, till exempel för att skapa processer, DNS-händelser eller andra händelsetyper.
Inbyggda jaktfrågor utvecklas kontinuerligt av Microsofts säkerhetsforskare. De lägger till nya frågor och finjusterar befintliga frågor så att du kan hitta nya identifieringar och ta reda på var du kan börja leta efter nya attacker.
Använd frågor före, under och efter en kompromettion för att vidta följande åtgärder:
Innan en incident inträffar: Det räcker inte att vänta på identifieringar. Vidta proaktiva åtgärder genom att köra hotjaktsfrågor som rör de data som du matar in på din arbetsyta minst en gång i veckan.
Resultatet av din proaktiva jakt ger tidiga insikter om händelser som kan bekräfta att en kompromettering pågår eller åtminstone visar svagare områden i din miljö som är utsatta för risk och behöver åtgärder.
Under en kompromettering: Använd livestream för att köra en specifik fråga kontinuerligt och presentera resultat när de kommer in. Använd livestream när du aktivt behöver övervaka användarhändelser, till exempel om du behöver kontrollera om en specifik kompromett kompromettering fortfarande pågår, för att fastställa en hot aktörs nästa åtgärd och mot slutet av en undersökning för att bekräfta att komprometten verkligen är över.
Efter en kompromettering: När en kompromettering eller en incident har inträffat, se till att förbättra täckningen och insikterna för att förhindra liknande incidenter i framtiden.
Ändra dina befintliga frågor eller skapa nya för att hjälpa till med tidig identifiering, baserat på insikter som du har fått från din kompromettering eller incident.
Om du har identifierat eller skapat en jaktfråga som ger värdefulla insikter om möjliga attacker skapar du anpassade identifieringsregler baserat på frågan och visar dessa insikter som aviseringar till säkerhetsincidentens bearbetare.
Visa frågans resultat och välj Ny aviseringsregel > Skapa Microsoft Sentinel-avisering. Använd guiden Analytics-regel för att skapa en ny regel baserat på din fråga. Mer information finns i Skapa anpassade analysregler för att identifiera hot.
Tips
Nu i offentlig förhandsversion kan du även skapa jakt- och livestream-frågor över data som lagras i Azure Data Explorer. Mer information finns i informationen om hur du skapar frågor mellan resurser i Azure Monitor dokumentationen.
Använd community-resurser, till exempel Microsoft Sentinel GitHub databasen för att hitta ytterligare frågor och datakällor.
Använda instrumentpanelen för jakt
Med instrumentpanelen för jakt kan du köra alla dina frågor, eller en vald delmängd, i ett enda val. I Microsoft Sentinel-portalen väljer du Jakt.
I tabellen som visas visas alla frågor som skrivits av Microsofts team med säkerhetsanalytiker och eventuella extra frågor som du har skapat eller ändrat. Varje fråga innehåller en beskrivning av vad den söker efter och vilken typ av data den körs på. Dessa frågor grupperas efter MITRE ATT-&CK-taktiker. Ikonerna till höger kategoriserar typen av hot, till exempel inledande åtkomst, beständighet och exfiltrering. MITRE ATT&CK-tekniker visas i kolumnen Tekniker och beskriver det specifika beteende som identifierats av jaktfrågan.
Använd instrumentpanelen för jakt för att identifiera var du vill börja jaga genom att titta på resultatantal, toppar eller förändring i resultatantal under en 24-timmarsperiod. Sortera och filtrera efter favoriter, datakälla, MITRE ATT&CK-taktik eller CK-metod, resultat, deltaresultat eller deltaprocent för resultat. Visa frågor som fortfarande behöver datakällor anslutna** och få rekommendationer om hur du aktiverar dessa frågor.
I följande tabell beskrivs detaljerade åtgärder som är tillgängliga från instrumentpanelen för jakt:
| Åtgärd | Beskrivning |
|---|---|
| Se hur frågor gäller för din miljö | Välj knappen Kör alla frågor (förhandsversion) eller välj en delmängd frågor med hjälp av kryssrutorna till vänster om varje rad och välj knappen Kör valda frågor (förhandsversion). Det kan ta allt från några sekunder till många minuter att köra dina frågor, beroende på hur många frågor som väljs, tidsperioden och mängden data som efterfrågas. |
| Visa de frågor som returnerade resultat | När dina frågor har körts klart kan du visa de frågor som returnerade resultat med hjälp av resultatfiltret: – Sortera för att se vilka frågor som hade mest eller färre resultat. – Visa de frågor som inte alls är aktiva i din miljö genom att välja N/A i resultatfiltret. – Hovra över informationsikonen( i ) bredvid saknas för att se vilka datakällor som krävs för att göra den här frågan aktiv. |
| Identifiera toppar i dina data | Identifiera toppar i data genom att sortera eller filtrera på Resultat delta eller Resultat deltaprocent. Detta jämför resultaten från de senaste 24 timmarna med resultatet från de senaste 24–48 timmarna, med eventuella stora skillnader eller relativa volymskillnader i fokus. |
| Visa frågor mappade till MITRE ATT&CK-taktik | MITRE ATT&CK-taktikfältet, överst i tabellen, visar hur många frågor som mappas till varje MITRE ATT&CK-taktik. Taktikfältet uppdateras dynamiskt baserat på den aktuella uppsättningen filter som tillämpas. På så sätt kan du se vilka MITRE ATT&CK-taktiker som visas när du filtrerar efter ett givet resultatantal, ett högt resultat med delta, N/A-resultat eller någon annan uppsättning filter. |
| Visa frågor mappade till MITRE ATT&CK-tekniker | Frågor kan också mappas till MITRE ATT&CK-tekniker. Du kan filtrera eller sortera efter MITRE ATT&CK-tekniker med hjälp av teknikfiltret. Genom att öppna en fråga kan du välja teknik för att se MITRE ATT&CK-beskrivning av tekniken. |
| Spara en fråga i dina favoriter | Frågor som sparas till dina favoriter körs automatiskt varje gång sidan Jakt öppnas. Du kan skapa en egen jaktfråga eller klona och anpassa en befintlig jaktfrågemall. |
| Köra frågor | Välj Kör fråga på sidan med information om jaktfrågor för att köra frågan direkt från jaktsidan. Antalet matchningar visas i tabellen i kolumnen Resultat. Granska listan över jaktfrågor och deras matchningar. |
| Granska en underliggande fråga | Utför en snabb genomgång av den underliggande frågan i frågeinformationsfönstret. Du kan se resultatet genom att klicka på länken Visa frågeresultat (under frågefönstret) eller knappen Visa resultat (längst ned i fönstret). Frågan öppnas på bladet Loggar (Log Analytics) och under frågan kan du granska matchningarna för frågan. |
Skapa en anpassad jaktfråga
Skapa eller ändra en fråga och spara den som din egen fråga eller dela den med användare som finns i samma klientorganisation.
Så här skapar du en ny fråga:
Välj Ny fråga.
Fyll i alla tomma fält och välj Skapa.
(Förhandsversion) Skapa entitetsmappningar genom att välja entitetstyper, identifierare och kolumner.
(Förhandsversion) Mappa MITRE ATT&CK-tekniker till dina jaktfrågor genom att välja taktik, teknik och underteknik (om tillämpligt).
Så här klonar och ändrar du en befintlig fråga:
Välj jaktfrågan i den tabell som du vill ändra.
Välj ellipsen (...) på raden för den fråga som du vill ändra och välj Klona fråga.
Ändra frågan och välj Skapa.
Exempelfråga
En typisk fråga börjar med ett tabellnamn följt av en serie operatorer avgränsade med ett pipe-tecken (" | ").
I exemplet ovan börjar du med tabellnamnet SecurityEvent och lägger till piped-element efter behov.
Definiera ett tidsfilter för att endast granska poster från de föregående sju dagarna.
Lägg till ett filter i frågan för att endast visa händelse-ID 4688.
Lägg till ett filter i frågan på kommandoraden så att den endast innehåller instanser av cscript.exe.
Project endast de kolumner som du är intresserad av att utforska och begränsa resultatet till 1 000 och välj Kör fråga.
Välj den gröna triangeln och kör frågan. Du kan testa frågan och köra den för att leta efter avvikande beteende.
Skapa bokmärken
Under jakt- och undersökningsprocessen kan du stöta på frågeresultat som kan se ovanliga eller misstänkta ut. Bokmärk dessa objekt för att referera tillbaka till dem i framtiden, till exempel när du skapar eller berikar en incident för undersökning.
Markera kryssrutorna för alla rader som du vill bevara i resultatet och välj Lägg till bokmärke. Detta skapar för en post för varje markerad rad – ett bokmärke – som innehåller radresultaten samt frågan som skapade resultatet. Du kan lägga till egna taggar och anteckningar i varje bokmärke.
- (Förhandsversion) Precis som med anpassade frågor kan du utöka dina bokmärken med entitetsmappningar för att extrahera flera entitetstyper och identifierare, och MITRE ATT&CK-mappningar för att associera specifika taktiker och tekniker.
- (Förhandsversion) Bokmärken använder som standard samma entitet och MITRE ATT&CK-teknikmappningar som jaktfrågan som skapade det bokmärkta resultatet.
Visa alla på bokmärkena genom att klicka på fliken Bokmärken på huvudsidan Jakt. Lägg till taggar i bokmärken för att klassificera dem för filtrering. Om du till exempel undersöker en attackkampanj kan du skapa en tagg för kampanjen, tillämpa taggen på alla relevanta bokmärken och sedan filtrera alla bokmärken baserat på kampanjen.
Undersök en enskild bokmärkess finding genom att välja bokmärket och sedan klicka på Undersök i informationsfönstret för att öppna undersökningsupplevelsen. Du kan också välja en listad entitet direkt för att visa entitetens motsvarande entitetssida.
Du kan också skapa en incident från ett eller flera bokmärken eller lägga till ett eller flera bokmärken i en befintlig incident. Markera kryssrutan till vänster om alla bokmärken som du vill använda och välj sedan Incidentåtgärder Skapa ny incident eller > Lägg till i befintlig incident. Att undersöka incidenten på samma sätt som andra.
Tips
Bokmärken representerar viktiga händelser som är viktiga och bör eskaleras till incidenter om de är tillräckligt allvarliga för att motivera en undersökning. Händelser som potentiella rotorsaker, indikatorer på kompromettabler eller andra viktiga händelser bör höjas som ett bokmärke.
Mer information finns i Använda bokmärken i jakt.
Använda notebook-datorer för att driva undersökningar
När din jakt och dina undersökningar blir mer komplexa kan du använda Notebooks från Microsoft Sentinel för att förbättra din aktivitet med maskininlärning, visualiseringar och dataanalys.
Notebooks tillhandahåller en typ av virtuell sandbox-miljö, komplett med en egen kernel, där du kan utföra en fullständig undersökning. Din notebook-dator kan innehålla rådata, koden som du kör på dessa data, resultaten och deras visualiseringar. Spara dina notebook-filer så att du kan dela dem med andra så att de kan återanvändas i din organisation.
Notebooks kan vara användbara när din jakt eller undersökning blir för stor för att komma ihåg enkelt, visa information eller när du behöver spara frågor och resultat. För att hjälpa dig att skapa och dela notebook-filer tillhandahåller Microsoft Sentinel Jupyter Notebooks, en miljö för interaktiv utveckling och datamanipulering med öppen källkod som är direkt integrerad på sidan med Microsoft Sentinel Notebooks.
Mer information finns i:
- Använda Jupyter Notebook för att söka efter säkerhetshot
- Jupyter Project dokumentationen
- Introduktionsdokumentation om Jupyter.
- The Infosec Jupyter Book
- Verkliga Python-självstudier
I följande tabell beskrivs några metoder för att använda Juypter-anteckningsböcker för att hjälpa dina processer i Microsoft Sentinel:
| Metod | Beskrivning |
|---|---|
| Datapersistence, repeterbarhet och bakåtspåring | Om du arbetar med många frågor och resultatuppsättningar har du förmodligen några problem. Du måste bestämma vilka frågor och resultat som ska behållas och hur du ska ackumulera användbara resultat i en enda rapport. Använd Jupyter Notebooks för att spara frågor och data allt eftersom, använda variabler för att köra frågor på nytt med olika värden eller datum, eller spara dina frågor för att köra om vid framtida undersökningar. |
| Skript och programmering | Använd Jupyter Notebooks för att lägga till programmering i dina frågor, inklusive: - Deklarativa språk som Kusto Query Language (KQL) eller SQL för att koda logiken i en enda, eventuellt komplex, instruktion. - Procedurell programmeringsspråk för att köra logik i en serie steg. Genom att dela upp logiken i steg kan du se och felsöka mellanliggande resultat, lägga till funktioner som kanske inte är tillgängliga i frågespråket och återanvända partiella resultat i senare bearbetningssteg. |
| Länkar till externa data | Microsoft Sentinel-tabeller har de flesta telemetri- och händelsedata, men Jupyter Notebooks kan länka till alla data som är tillgängliga via nätverket eller från en fil. Med Jupyter Notebooks kan du inkludera data som: – Data i externa tjänster som du inte äger, till exempel geoplatsdata eller hotinformationskällor – Känsliga data som endast lagras i din organisation, till exempel personaldatabaser eller listor över tillgångar med högt värde – Data som du ännu inte har migrerat till molnet. |
| Specialiserade verktyg för databehandling, maskininlärning och visualisering | Jupyter Notebooks innehåller ytterligare visualiseringar, maskininlärningsbibliotek samt funktioner för databearbetning och transformering. Du kan till exempel använda Jupyter Notebooks med följande Python-funktioner: - Pandas för databehandling, rensning och teknik - Matplotlib, HoloViewsoch Plotly för visualisering - NumPy och SciPy för avancerad numerisk och vetenskaplig bearbetning - scikit-learn för maskininlärning - TensorFlow, PyTorchoch Keras för djupinlärning Tips: Jupyter Notebooks stöder flera språkkärnor. Använd magics för att blanda språk i samma notebook-kod, genom att tillåta körning av enskilda celler med hjälp av ett annat språk. Du kan till exempel hämta data med hjälp av en PowerShell-skriptcell, bearbeta data i Python och använda JavaScript för att rendera en visualisering. |
Säkerhetsverktyg för MSTIC, Jupyter och Python
Microsoft Threat Intelligence Center (MSTIC) är ett team med Microsofts säkerhetsanalytiker och tekniker som skapar säkerhetsidentifiering för flera Microsoft-plattformar och arbetar med identifiering och undersökning av hot.
MSTIC skapade MSTICPy, ett bibliotek för informationssäkerhetsundersökningar och jakt i Jupyter Notebooks. MSTICPy innehåller återanvändbara funktioner som gör skapandet av notebook-datorer snabbare och gör det enklare för användarna att läsa notebook-datorer i Microsoft Sentinel.
MSTICPy kan till exempel:
- Fråga loggdata från flera källor.
- Utöka data med hotinformation, geoplatser och Azure-resursdata.
- Extrahera aktivitetsindikatorer (IoA) från loggar och packa upp kodade data.
- Gör avancerade analyser som avvikande sessionsidentifiering och tidsseriedeposition.
- Visualisera data med hjälp av interaktiva tidslinjer, processträd och flerdimensionella morfdiagram.
MSTICPy innehåller också vissa tidsbesparande notebook-verktyg, till exempel widgetar som anger gränser för frågetid, väljer och visar objekt från listor och konfigurerar notebook-miljön.
Mer information finns i:
- MSTICPy-dokumentation
- Självstudie: Komma igång med Jupyter Notebooks och MSTICPy i Microsoft Sentinel
- Avancerade konfigurationer för Jupyter Notebooks och MSTICPy i Microsoft Sentinel
Användbara operatorer och funktioner
Jaktfrågor skapas i Kusto Query Language (KQL),ett kraftfullt frågespråk med IntelliSense-språk som ger dig den kraft och flexibilitet du behöver för att ta jakt till nästa nivå.
Det är samma språk som används av frågorna i dina analysregler och på andra ställen i Microsoft Sentinel. Mer information finns i Referens för frågespråk.
Följande operatorer är särskilt användbara i Microsoft Sentinel-jaktfrågor:
where – Filtrera en tabell till den delmängd av rader som uppfyller ett predikat.
summarize – Skapa en tabell som aggregerar innehållet i indatatabellen.
join – Sammanfoga raderna i två tabeller för att skapa en ny tabell genom att matcha värdena för de angivna kolumnerna från varje tabell.
count – returnerar antalet poster i indatapostuppsättningen.
top – returnera de första N posterna sorterade efter de angivna kolumnerna.
limit – returnerar upp till det angivna antalet rader.
project – Välj de kolumner som ska inkluderas, byt namn på eller släpp och infoga nya beräknade kolumner.
extend – Skapa beräknade kolumner och lägg till dem i resultatuppsättningen.
makeset – Returnera en dynamisk matris (JSON) med uppsättningen distinkta värden som Expr tar i gruppen
find – Hitta rader som matchar ett predikat i en uppsättning tabeller.
adx() (förhandsversion) – den här funktionen utför frågor mellan resurser för att Azure Data Explorer datakällor från Microsoft Sentinel-jaktupplevelsen och Log Analytics. Mer information finns i Frågefrågor mellan resurser Azure Data Explorer med hjälp av Azure Monitor.
Nästa steg
I den här artikeln har du lärt dig hur du kör en jaktundersökning med Microsoft Sentinel.
Mer information finns i:
- Använda anteckningsböcker för att köra automatiserade jaktkampanjer
- Använd bokmärken för att spara intressant information under jakt
Lär dig från ett exempel på hur du använder anpassade analysregler när du övervakar Zoom med en anpassad anslutningsapp.