Проведение комплексной упреждающей охоты на угрозы в Microsoft Sentinel
Упреждающая охота на угрозы — это процесс, в котором аналитики безопасности ищут незамеченные угрозы и вредоносные действия. Создавая гипотезу, просматривая данные и проверяя данную гипотезу, они определяют, на что действовать. Действия могут включать создание новых обнаружений, новую аналитику угроз или создание нового инцидента.
Используйте полный интерфейс охоты в Microsoft Sentinel, чтобы:
- Упреждающая охота на основе конкретных методов MITRE, потенциально вредоносных действий, недавних угроз или собственной пользовательской гипотезы.
- Используйте запросы на охоту, созданные исследователем безопасности, или пользовательские запросы охоты, чтобы исследовать вредоносное поведение.
- Проводите охоту с помощью нескольких вкладок сохраняемого запроса, которые позволяют сохранять контекст с течением времени.
- Соберите доказательства, изучите источники UEBA и заметьте свои выводы с помощью определенных закладок.
- Совместная работа и документирование результатов с комментариями.
- Действовать на основе результатов путем создания новых аналитических правил, новых инцидентов, новых индикаторов угроз и выполнения сборников схем.
- Следите за новыми, активными и закрытыми охотами в одном месте.
- Просмотр метрик на основе проверенных гипотез и реальных результатов.
Внимание
Microsoft Sentinel теперь общедоступен на платформе унифицированных операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Необходимые компоненты
Чтобы использовать функцию охоты, необходимо назначить встроенную роль Microsoft Sentinel или пользовательскую роль RBAC Azure. Ниже приведены параметры.
Назначьте встроенное назначение роли участника Microsoft Sentinel.
Дополнительные сведения о ролях в Microsoft Sentinel см. в статье "Роли и разрешения" в Microsoft Sentinel.Назначьте пользовательскую роль RBAC Azure с соответствующими разрешениями в Microsoft.SecurityInsights/hunts.
Дополнительные сведения о пользовательских ролях см. в статье "Пользовательские роли" и дополнительные возможности Azure RBAC.
Определение гипотезы
Определение гипотезы является открытым, гибким процессом и может включать любую идею, которую вы хотите проверить. Распространенные гипотезы включают:
- Подозрительное поведение. Анализ потенциально вредоносных действий, видимых в вашей среде, чтобы определить, происходит ли атака.
- Новая кампания по угрозе. Найдите типы вредоносных действий на основе недавно обнаруженных субъектов угроз, методов или уязвимостей. Это может быть то, что вы слышали о в статье новостей системы безопасности.
- Пробелы в обнаружении. Увеличьте охват обнаружения с помощью карты MITRE ATT&CK для выявления пробелов.
Microsoft Sentinel обеспечивает гибкость по мере того, как вы ноль в правильном наборе запросов охоты для изучения гипотезы. При создании охоты инициируйте его с предварительно выбранными запросами охоты или добавляйте запросы по мере выполнения. Ниже приведены рекомендации по предварительно выбранным запросам на основе наиболее распространенных гипотез.
Гипотеза — подозрительное поведение
Для Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите "Охота".
Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Threat Management>Hunting.Перейдите на вкладку "Запросы ". Чтобы определить потенциально вредоносное поведение, выполните все запросы.
Выберите "Выполнить все запросы", пока запросы> будут выполнены. Этот процесс может занять некоторое время.
Выберите "Добавить результаты> фильтра>" снимите флажки "!", "N/A", "-" и "0" применить значения >
Сортируйте эти результаты по столбцу Results Delta , чтобы узнать, что изменилось в последнее время. Эти результаты предоставляют первоначальные рекомендации по охоте.
Гипотеза — новая кампания по угрозе
Центр содержимого предлагает кампании угроз и решения на основе домена для поиска конкретных атак. На следующих шагах необходимо установить один из этих типов решений.
Перейдите в Центр содержимого.
Установите кампанию угроз или решение на основе домена, например обнаружение уязвимостей Log4J или Apache Tomcat.
После установки решения в Microsoft Sentinel перейдите в службу "Охота".
Перейдите на вкладку "Запросы ".
Выполните поиск по имени решения или фильтрации по имени источника решения.
Выберите запрос и выполните запрос.
Гипотеза — пробелы в обнаружении
Карта MITRE ATT&CK помогает определить определенные пробелы в охвате обнаружения. Используйте предопределенные запросы охоты для конкретных методов MITRE ATT&CK в качестве отправной точки для разработки новой логики обнаружения.
Перейдите на страницу MITRE ATT&CK (предварительная версия).
Отмена выбора элементов в раскрывающемся меню "Активный".
Выберите запросы охоты в фильтре "Имитация", чтобы узнать, какие методы имеют запросы охоты, связанные с ними.
Выберите карточку с нужным методом.
Щелкните ссылку "Вид" рядом с запросами "Охота" в нижней части области сведений. Эта ссылка позволяет просмотреть отфильтрованное представление вкладки "Запросы " на странице "Охота " на основе выбранного метода.
Выберите все запросы для этого метода.
Создание охоты
Существует два основных способа создания охоты.
Если вы начали с гипотезы, в которой вы выбрали запросы, выберите раскрывающееся меню >"Действия охоты" создать новую охоту. Все выбранные запросы клонируются для этой новой охоты.
Если вы еще не решили на запросы, выберите вкладку > "Охота ( предварительная версия)", чтобы создать пустую охоту.
Заполните имя охоты и необязательные поля. Описание является хорошим местом для словесной речевой гипотезы. Меню "Гипотеза " вытягивается в том месте, где вы задаете состояние вашей рабочей гипотезы.
Нажмите кнопку "Создать" , чтобы приступить к работе.
Просмотр сведений о охоте
Перейдите на вкладку "Охота" (предварительная версия), чтобы просмотреть новую охоту.
Выберите ссылку охоты по имени, чтобы просмотреть сведения и выполнить действия.
Просмотрите область сведений с именем охоты, описанием, содержимым, временем последнего обновления и временем создания.
Обратите внимание на вкладки для запросов, закладок и сущностей.
Вкладка "Запросы"
Вкладка "Запросы" содержит запросы охоты, относящиеся к этой охоте. Эти запросы являются клонами исходных данных, независимо от всех остальных в рабочей области. Обновите или удалите их, не влияя на общий набор запросов охоты или запросов в других охотах.
Добавление запроса в охоту
Выполнение запросов
- Выберите "Выполнить все запросы" или выберите определенные запросы и выберите "Выполнить выбранные запросы".
- Выберите "Отмена", чтобы отменить выполнение запроса в любое время.
Управление запросами
Щелкните правой кнопкой мыши запрос и выберите одно из следующих элементов в контекстном меню:
- Выполнить
- Изменить
- Клонировать
- Удаление
- Создание правила аналитики
Эти параметры работают так же, как и существующая таблица запросов на странице "Поиск ", за исключением действий, применяемых только в рамках этой охоты. При выборе создания правила аналитики имя, описание и запрос KQL предварительно заполнен в создании нового правила. Ссылка создается для просмотра нового правила аналитики, найденного в соответствии с правилами связанной аналитики.
Показать результаты
Эта функция позволяет просматривать результаты поиска log Analytics в результатах поиска Log Analytics. Отсюда проанализируйте результаты, укажите запросы и создайте закладки для записи сведений и дальнейшего изучения отдельных результатов строки.
- Нажмите кнопку "Просмотреть результаты ".
- Если перейти к другой части портала Microsoft Sentinel, перейдите обратно к интерфейсу поиска по журналам LA на странице охоты, все вкладки запросов LA остаются.
- Если закрыть вкладку браузера, эти вкладки запросов LA будут потеряны. Если вы хотите сохранить запросы в долгосрочной перспективе, необходимо сохранить запрос, создать новый поисковый запрос или скопировать его в комментарий для последующего использования в охоте.
Добавление закладки
При поиске интересных результатов или важных строк данных добавьте эти результаты в охоту, создав закладку. Дополнительные сведения см. в разделе "Использование закладок для поиска данных".
Выберите нужную строку или строки.
Назовите закладку.
Задайте столбец времени события.
Сопоставление идентификаторов сущностей.
Задайте тактику и методы MITRE.
Добавьте теги и добавьте заметки.
Закладки сохраняют результаты определенной строки, запрос KQL и диапазон времени, который создал результат.
Нажмите кнопку "Создать", чтобы добавить закладку в охоту.
Просмотр закладок
Перейдите на вкладку закладки охоты, чтобы просмотреть закладки.
Выберите нужную закладку и выполните следующие действия:
- Выберите ссылки сущности, чтобы просмотреть соответствующую страницу сущности UEBA.
- Просмотр необработанных результатов, тегов и заметок.
- Выберите "Просмотреть исходный запрос", чтобы просмотреть исходный запрос в Log Analytics.
- Выберите "Просмотреть журналы закладок", чтобы просмотреть содержимое закладки в таблице закладок для поиска Log Analytics.
- Нажмите кнопку "Исследовать ", чтобы просмотреть закладку и связанные сущности в графе исследования.
- Нажмите кнопку "Изменить ", чтобы обновить теги, тактику и методы MITRE и заметки.
Взаимодействие с сущностями
Перейдите на вкладку сущностей охоты, чтобы просматривать, искать и фильтровать сущности, содержащиеся в охоте. Этот список создается из списка сущностей в закладках. Вкладка "Сущности" автоматически разрешает повторяющиеся записи.
Выберите имена сущностей, чтобы посетить соответствующую страницу сущности UEBA.
Щелкните правой кнопкой мыши сущность, чтобы выполнить действия, соответствующие типам сущностей, например добавление IP-адреса в TI или запуск конкретного сборника схем типа сущности.
Добавление комментариев
Комментарии являются отличным местом для совместной работы с коллегами, сохранения заметок и выводов документов.
Выберите
Введите и отформатируйте комментарий в поле редактирования.
Добавьте результат запроса в качестве ссылки для участников совместной работы, чтобы быстро понять контекст.
Нажмите кнопку "Комментарий", чтобы применить комментарии.
Создание инцидентов
Существует два варианта создания инцидентов во время охоты.
Вариант 1. Использование закладок.
Выберите закладку или закладки.
Нажмите кнопку "Действия инцидента".
Выберите "Создать новый инцидент" или "Добавить в существующий инцидент"
- Для создания нового инцидента выполните инструкции. Вкладка "Закладки" предварительно заполнена выбранными закладками.
- Чтобы добавить к существующему инциденту, выберите инцидент и нажмите кнопку "Принять ".
Вариант 2. Использование действий охоты.
Выберите меню> "Действия охоты", чтобы создать инцидент, и выполните инструкции.
На этапе добавления закладок используйте действие "Добавить закладки", чтобы выбрать закладки из охоты, чтобы добавить в инцидент. Вы ограничены закладками, которые не назначены инциденту.
После создания инцидента он будет связан в списке связанных инцидентов для этой охоты .
Состояние обновления
Когда вы захватили достаточно доказательств для проверки или отмены гипотезы, обновите состояние гипотезы.
Когда все действия, связанные с охотой, завершены, например создание правил аналитики, инцидентов или добавление индикаторов компрометации (IOCs) в TI, закройте охоту.
Эти обновления состояния отображаются на главной странице охоты и используются для отслеживания метрик.
Отслеживание метрики
Отслеживайте реальные результаты действий охоты с помощью панели метрик на вкладке "Охота ". Метрики показывают количество проверенных гипотез, созданных новых инцидентов и созданных правил аналитики. Используйте эти результаты, чтобы задать цели или отпраздновать вехи программы охоты.
Следующие шаги
В этой статье вы узнали, как запустить исследование охоты с функцией охоты в Microsoft Sentinel.
Дополнительные сведения см. в разделе: