Azure Sentinel ile tehditleri avlama

Önemli

  • Avlanma panosuna yükseltmeler şu anda ÖNIZLE'dedir. Bu yükseltmeyle ilgili aşağıdaki öğeler "(önizleme)" olarak işaretlenir. Beta, önizleme veya başka bir sürümde henüz genel kullanılabilirlik aşamasında olan Azure özellikleri için geçerli olan ek yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Güvenlik analistleri ve araştırmacıları olarak güvenlik tehditlerini arama konusunda proaktif olmak istiyor ama çeşitli sistemleriniz ve güvenlik gereçleri anlamlı olayları ayrıştırması ve filtrelemesi zor olan çok sayıda veri üretir. Azure Sentinel, kuruluş veri kaynakları genelinde güvenlik tehditlerini avlamak için güçlü tehdit avcılığı arama ve sorgu araçlarına sahip olur. Güvenlik analistleri, güvenlik uygulamalarınız veya zamanlanmış analiz kurallarınız tarafından algılanmadı yeni anomalileri proaktif bir şekilde aramalarına yardımcı olmak için Azure Sentinel'nin yerleşik avlanma sorguları, ağ üzerinde zaten sahip olduğunuz verilerde sorun bulmak için doğru soruları sormanız için size yol sağlar.

Örneğin, yerleşik sorgulardan biri altyapınız üzerinde çalışan en yaygın olmayan işlemlerle ilgili veriler sağlar. Her çalıştırıla ilgili bir uyarı istemeyebilirsiniz; bunlar tamamen garip olabilir, ancak bazı durumlarda olağan dışı bir şey olup olmadığını görmek için sorguya göz atabilirsiniz.

Bu Azure Sentinel, aşağıdaki özelliklerden faydalanma:

  • Yerleşik sorgular: Azure Sentinel gezinti menüsünden erişilebilen ana avlanma sayfası, başlamanız ve tabloları ve sorgu dilini tanımanız için tasarlanmış hazır sorgu örnekleri sağlar. Bu yerleşik avlanma sorguları, Microsoft güvenlik araştırmacıları tarafından sürekli olarak geliştiriliyor. Hem yeni sorgular ekleme hem de yeni algılamaları aramanız ve yeni saldırıların başlangıcını avlamaya nereden başlayacağınız hakkında bir giriş noktası sağlamak için mevcut sorguları ince ayarlıyor.

  • IntelliSense ile güçlü sorgu dili: Avlanma sorguları, avlanmayı bir üst düzeye çıkaracak gücü ve esnekliği size veren bir sorgu dili olan Kusto Sorgu Dili'nde (KQL)yerleşiktir. Bu, analiz kurallarınıza ve diğer analiz kurallarınıza göre sorgular tarafından kullanılan dille Azure Sentinel.

  • Avlanma panosu (önizleme): Ana sayfanın bu yükseltmesi, tüm sorgularınızı veya seçili bir alt kümeyi tek tıklamayla çalıştırmanıza olanak sağlar. 24 saatlik bir süre içinde sonuç sayısına, ani artışlara veya sonuç sayısı değişikliğine bakarak avlanmaya nereden başlayacağını belirleme. Ayrıca sık kullanılanlara, veri kaynağına, MITRE ATT'ye ve CK taktik&tekniğine, sonuçlarına veya sonuç deltasna göre de sıralar ve filtrelersiniz. Henüz gerekli veri kaynaklarına bağlı olan sorguları görüntüleme ve bu sorguları etkinleştirme hakkında öneriler alın.

  • Kendi yer işaretlerinizi oluşturun: Avlanma işlemi sırasında, olağan dışı veya şüpheli gibi görünüyor olabilir sorgu sonuçlarıyla karşı karşıya gelebilirsiniz. Bu öğeleri "yer işaretlerine" yer işareti olarak ebilirsiniz; bunları kaydederek bir kenara koyarak daha sonra bunlara geri başvurabilirsiniz. Yer işareti işaretli öğelerinizi kullanarak araştırma için bir olay oluşturabilir veya zenginleştirebilirsiniz. Yer işaretleri hakkında daha fazla bilgi için bkz. Avlanmada yer işaretlerini kullanma.

  • Araştırma için not defterlerini kullanma: Not defterleri size kendi çekirdeğiyle eksiksiz bir sanal korumalı alan ortamı sunar. Makine öğrenmesi, görselleştirme ve veri analizi ile avlanma ve araştırmalarınızı geliştirmek için not defterlerini kullanabilirsiniz. Bir not defterinde tam bir araştırma gerçekleştirerek ham verileri, üzerinde çalıştırdığınız kodu, sonuçları ve görselleştirmelerini ve bunların tümünü kaydedebilir ve böylece kuruluşunuzdaki diğer kullanıcılar tarafından yeniden kullanılabilir.

  • Depolanan verileri sorgulama: veri, sorgulamanızı sağlamak için tablolarda erişilebilir. Örneğin, işlem oluşturma, DNS olayları ve diğer birçok olay türünü sorgulayabilirsiniz.

  • Topluluk bağlantıları: ek sorgular ve veri kaynakları bulmak için daha fazla topluluğun gücünden yararlanın.

Kullanmaya başlayın

Azure Sentinel portalında, hunme' ye tıklayın.

Azure Sentinel, aramaya başlıyor

  • Hunme sayfasını açtığınızda, tüm arama sorguları tek bir tabloda görüntülenir. Tabloda Microsoft 'un Güvenlik analistlerinin ekibi tarafından yazılan tüm sorgular ve oluşturduğunuz veya değiştirdiğiniz ek sorgular listelenir. Her sorgu, ne araydıklarından ve üzerinde ne tür verilerin çalıştığı hakkında bir açıklama sağlar. Bu şablonlar çeşitli taktiklerinde gruplandırılır. sağ taraftaki simgeler, tehdit türünü kategorilere ayırarak, ilk erişim, kalıcılık ve exfiltrame gibi.

  • Önizle Sorguların ortamınıza nasıl uygulandığını görmek için tüm sorguları Çalıştır (Önizleme) düğmesine tıklayın veya her bir satırın solundaki onay kutularını kullanarak bir sorgu alt kümesi seçin ve Seçilen sorguları Çalıştır (Önizleme) düğmesini seçin. Sorguların yürütülmesi, kaç sorgunun seçildiğine, zaman aralığına ve sorgulanmakta olan veri miktarına bağlı olarak birkaç saniyeden birkaç dakikaya kadar zaman alabilir.

  • Önizle Sorgular çalışmayı tamamladıktan sonra, sonuçlar filtresini kullanarak hangi sorguların sonuç döndürmüş olduğunu görebilirsiniz. Daha sonra hangi sorguların en çok veya en az sonuç olduğunu görmek için sıralama yapabilirsiniz. Ayrıca, sonuçlar filtresinde yok ' u seçerek ortamınızda hangi sorguların etkin olmadığını görebilirsiniz. Bu sorgunun etkin hale getirmek için gerekli veri kaynaklarını görmek için, N/A ' nın yanındaki bilgi simgesinin üzerine gelin.

  • (Önizleme) Sonuçlar deltası'nda sıralama veya filtreleme ile verilerde ani artışları tanımlayabilirsiniz. Bu, son 24 saat sonuçlarını son 24-48 saat sonuçlarıyla karşılaştırarak büyük hacim farklarını kolayca görmelerini sağlar.

  • (Önizleme) MITRE ATT&CK taktik çubuğu, tablonun üst kısmında her BIR MITRE ATT'ye CK taktiğiyle eşlenen sorgu&listeler. Uygulanan geçerli filtre kümesine göre taktik çubuğu dinamik olarak güncelleştirilir. Bu, belirli bir sonuç sayısına, yüksek sonuç deltası, Yok sonuçlarına veya başka bir filtre kümesine göre filtrelediğinde hangi MITRE ATT&CK taktiklerinin ortaya konduğunu görmek için kolay bir yol sağlar.

  • (Önizleme) Sorgular ayrıca CK teknikleri için MITRE ATT&eşlenebilir. Teknik filtresini kullanarak CK tekniklerini kullanarak MITRE ATT&filtrelenebilir veya sıralayabiliyorsanız. Bir sorguyu açarak tekniğin MITRE ATT ve CK&teknike tıklar.

  • Herhangi bir sorguyu sık kullanılanlara kaydedebilirsiniz. Sık kullanılanlara kaydedilen sorgular, Avlanma sayfasına her erişilmesinde otomatik olarak çalışır. Kendi avlanma sorgunuz oluşturabilir veya mevcut bir avlanma sorgusu şablonunu kopyap özelleştirebilirsiniz.

  • Avlanma sorgusu ayrıntıları sayfasında Sorguyu Çalıştır'a tıklayarak, avlanma sayfasından ayrılmadan herhangi bir sorguyu çalıştırabilirsiniz. Eşleşme sayısı, sonuçlar sütunundaki tabloda görüntülenir. Avlanma sorguları listesini ve bunların eşleşmelerini gözden geçirme.

  • Sorgu ayrıntıları bölmesinde temel alınan sorguyu hızlı bir şekilde gözden geçirebilirsiniz. Sonuçları görmek için Sorgu sonuçlarını görüntüle bağlantısına (sorgu penceresinin altında) veya Sonuçları Görüntüle düğmesine (bölmenin alt kısmında) tıklayabilirsiniz. Sorgu Günlükler (Log Analytics) dikey penceresinde açılır ve sorgunun altında sorgunun eşleşmelerini gözden geçirebilirsiniz.

  • Log Analytics'te bir sorgudan gelen şüpheli veya ilginç bulguları korumak için korumak istediğiniz satırların onay kutularını işaretleyin ve Yer işareti ekle'yi seçin. Bu, işaretli her satır için bir kayıt-, satır sonuçlarını içeren bir yer işareti, sonuçları oluşturan sorgu ve kullanıcıları, konakları ve IP adreslerini ayıklamak için varlık eşlemeleri oluşturur. Kendi etiketlerinizi (aşağıya bakın) ve her bir yer işaretine not ekleyebilirsiniz.

  • Ana hunme sayfasındaki yer işaretleri sekmesine tıklayarak tüm yer işaretli bulguları görebilirsiniz. Bunları filtrelemeye göre sınıflandırmak için yer işaretlerine Etiketler ekleyebilirsiniz. Örneğin, bir saldırı kampanyasını araştırıyorsanız kampanya için bir etiket oluşturabilir, etiketi ilgili yer işaretlerine uygulayabilir ve ardından kampanyaya göre tüm yer işaretlerine filtre uygulayabilirsiniz.

  • Yer işaretini seçip, ardından Ayrıntılar bölmesindeki Araştır ' a tıklayarak araştırma deneyimini açabilirsiniz. Ayrıca, bir veya daha fazla yer işareti arasından bir olay oluşturabilir veya mevcut bir olaya bir veya daha fazla yer işareti ekleyerek, istenen yer işaretlerinin sol tarafına onay kutularını işaretleyip, ardından Yeni olay oluştur ' u seçerek veya ekranın üst kısmındaki olay eylemleri açılan menüsünden var olan olaya Ekle ' yi seçebilirsiniz. Daha sonra olayı önceliklendirmek ve diğer gibi araştırın.

  • Olası saldırılara karşı yüksek değerli Öngörüler sağlayan bir arama sorgusu keşfedildiğinde, bu sorguyu temel alan özel algılama kuralları oluşturabilir ve bu öngörüleri güvenlik olay yanıtlamalarınıza uyarı olarak bırakabilirsiniz. Sorgunun sonuçlarını Log Analytics görüntüleyin (yukarıya bakın), sonra bölmenin en üstündeki Yeni uyarı kuralı düğmesine tıklayın ve Azure Sentinel uyarısı oluştur' u seçin. Analiz Kuralı Sihirbazı açılır. Tehditleri algılamak için özel analiz kuralları oluşturmabölümünde açıklandığı gibi gerekli adımları doldurun.

Sorgu dili

Azure Sentinel 'de arama, kusto sorgu dilini temel alır. Sorgu dili ve desteklenen işleçler hakkında daha fazla bilgi için bkz. sorgu dili başvurusu.

Ortak arama GitHub deposu

Sorgu deposunagöz atın. Müşterilerimiz tarafından paylaşılan örnek sorguları katkıda bulun ve kullanın.

Örnek sorgu

Tipik bir sorgu, bir tablo adıyla başlar ve tarafından ayrılmış bir dizi işleç izler | .

Yukarıdaki örnekte, SecurityEvent adlı tablo adı ' nı başlatın ve gerektiği gibi, ifklu öğeler ekleyin.

  1. Yalnızca önceki yedi günün kayıtlarını gözden geçirmek için bir zaman filtresi tanımlayın.

  2. Yalnızca olay KIMLIĞI 4688 ' i göstermek için sorguya bir filtre ekleyin.

  3. Yalnızca cscript.exe örneklerini içerecek şekilde CommandLine 'daki sorguya bir filtre ekleyin.

  4. Yalnızca araştırırken İlgilendiğiniz sütunları ve sonuçları 1000 olarak sınırlamak ve Sorguyu Çalıştır' a tıklayın.

  5. Yeşil üçgene tıklayıp sorguyu çalıştırın. Sorguyu test edebilir ve anormal davranışları aramak için çalıştırabilirsiniz.

Yararlı işleçler

Sorgu dili güçlüdür ve çok sayıda kullanılabilir operatör vardır ve bunların bazıları burada listelenenlerden bazılarıdır:

WHERE -bir koşulu karşılayan satır alt kümesiyle bir tablo filtreleyin.

özetleme -giriş tablosunun içeriğini toplayan bir tablo oluşturur.

birleştirme -her tablodan belirtilen sütunların değerlerini eşleştirerek yeni bir tablo oluşturmak için iki tablo satırını birleştirin.

Count -giriş kayıt kümesindeki kayıt sayısını döndürür.

top -belirtilen sütunlara göre sıralanan ilk N kaydı döndürür.

limit -belirtilen sayıda satıra kadar döndürün.

Proje -dahil edilecek, yeniden adlandırılacak veya bırakılacak sütunları seçin ve yeni hesaplanan sütunları ekleyin.

Genişlet -hesaplanmış sütunları oluşturun ve sonuç kümesine ekleyin.

makeset -ifadenin grupta aldığı ayrı değerler kümesinin dınamık (JSON) dizisini döndürür

find - Bir tablo kümesi genelinde bir önkate eşan satırları bulur.

Sorguyu kaydetme

Sorguyu oluşturabilir veya değiştirebilir ve kendi sorgunuz olarak kaydedebilir veya aynı kiracıda olan kullanıcılarla paylaşabilirsiniz.

Sorguyu kaydetme

Yeni bir avlanma sorgusu oluşturma

  1. Yeni sorgu'ya tıklayın.

  2. Tüm boş alanları doldurun ve Oluştur'a seçin.

    Yeni sorgu

Mevcut bir avlanma sorgusunu kopyalama ve değiştirme

  1. Değiştirmek istediğiniz tabloda avlanma sorgusunu seçin.

  2. Değiştirmek istediğiniz sorgunun satırlarında bulunan üç noktayı (...) ve Sorguyu kopyala'yi seçin.

    Sorguyu kopyalama

  3. Sorguyu değiştirerek Oluştur'a seçin.

    Özel sorgu

Sonraki adımlar

Bu makalede, Azure Sentinel ile bir avlanma araştırması Azure Sentinel. Daha fazla bilgi Azure Sentinel için aşağıdaki makalelere bakın: