Изучение расширенной охоты
Расширенная охота — это средство поиска угроз на основе запросов, которое позволяет изучать необработанные данные за период до 30 дней. Вы можете проводить инспекцию событий в своей сети для поиска индикаторов и объектов угроз на профилактической основе. Гибкий доступ к данным обеспечивает неограниченную охоту на известные и потенциальные угрозы.
Вы можете использовать одни и те же запросы на поиск угроз для создания пользовательских правил обнаружения. Эти правила запускаются автоматически для поиска предполагаемых нарушений, неправильно настроенных компьютеров и других фактов и последующего принятия соответствующих мер. Функция расширенной охоты на угрозы поддерживает запросы, которые проверяют более широкий набор данных из следующих мест:
Microsoft Defender для конечной точки
Microsoft Defender для Office 365
Microsoft Defender for Cloud Apps
Microsoft Defender для удостоверений
Чтобы использовать расширенную охоту, включите XDR в Microsoft Defender.
Актуальность данных и периодичность обновления
Данные расширенной охоты можно разделить на два типа, каждый из которых консолидирован по-разному.
Данные событий или действий — таблицы с предупреждениями, событиями безопасности, системными событиями и оценками подпрограмм. Расширенная охота на угрозы получает эти данные практически сразу после того, как датчики, собирающие такие данные, успешно передают их в соответствующие облачные службы. Например, вы можете запрашивать данные о событиях с исправных датчиков на рабочих станциях или контроллерах домена почти сразу после того, как они станут доступны в Microsoft Defender для конечной точки и Microsoft Defender для удостоверений.
Данные сущности — таблицы с сведениями о пользователях и устройствах. Эти данные получены как из относительно статических источников данных, так и из динамических источников, таких как записи Active Directory и журналы событий. Чтобы предоставлять свежие данные, таблицы обновляются новыми сведениями каждые 15 минут, добавляя строки, которые могут быть заполнены не полностью. Каждые 24 часа данные объединяются для вставки записи, содержащей последний, наиболее полный набор данных о каждом объекте.
Time zone
Сведения о времени при проведении расширенной охоты на угрозы выводятся в формате UTC.
Схема данных
Схема расширенной охоты на угрозы состоит из нескольких таблиц, содержащих сведения о событиях или сведения об устройствах, оповещениях, удостоверениях и других типах сущностей. Для эффективного создания запросов, выполняемых к нескольким таблицам, необходимо понимать принципы использования таблиц и столбцов в схеме расширенной охоты на угрозы.
Получение сведений о схеме
При построении запросов следует использовать встроенную ссылку на схему, чтобы быстро получить следующие сведения о каждой таблице в схеме:
Описание таблицы — тип данных, содержащихся в таблице, и источник этих данных.
Столбцы — все столбцы в таблице.
Типы действий — возможные значения в столбце "Тип данных", представляющие типы событий, поддерживаемые таблицей. Эти сведения предоставляются только для таблиц, содержащих сведения о событиях.
Пример запроса — примеры запросов, которые показывают, как можно использовать таблицу.
Доступ к ссылке на схему
Чтобы быстро получить доступ к ссылке на схему, выберите действие "Просмотреть ссылку" рядом с именем таблицы в представлении схемы. Можно также выбрать элемент "Ссылка на схему", чтобы выполнить поиск таблицы.
Изучение таблиц схемы
Ниже перечислены все таблицы в схеме. Каждое имя таблицы ссылается на страницу, описывающую имена столбцов для этой таблицы. Имена таблиц и столбцов также перечислены в Центре безопасности как часть представления схемы на экране расширенной охоты на угрозы.
| Имя таблицы | Description |
|---|---|
| AlertEvidence | Файлы, IP-адреса, URL-адреса, пользователи или устройства, связанные с оповещениями |
| AlertInfo | Оповещения из Microsoft Defender для конечной точки, Microsoft Defender для Office 365, Microsoft Cloud App Security и Microsoft Defender для удостоверений, включая сведения о серьезности и классификацию угроз |
| CloudAppEvents | События, связанные с учетными записями и объектами в Office 365, а также других облачных приложениях и службах |
| DeviceEvents | Несколько типов событий, включая события, активируемые такими элементами управления безопасности, как антивирусная программа "Защитник Windows" и защита от эксплойтов |
| DeviceFileCertificateInfo | Сведения о сертификате подписанных файлов, полученные от событий проверки сертификата на конечных точках |
| DeviceFileEvents | Создание, изменение файла и другие события файловой системы |
| DeviceImageLoadEvents | Загружаются события DDL |
| DeviceInfo | Сведения о компьютере, включая сведения об ОС |
| DeviceLogonEvents | Входы и другие события проверки подлинности на устройствах |
| DeviceNetworkEvents | Сетевое подключение и связанные события |
| DeviceNetworkInfo | Свойства сети устройств, включая физические адаптеры, IP-адреса и MAC-адреса, а также подключенные сети и домены |
| DeviceProcessEvents | Создание процесса и связанные события |
| DeviceRegistryEvents | Создание и изменение записей реестра |
| DeviceTvmSecureConfigurationAssessment | События оценки управления угрозами и уязвимостями, в которых указывается состояние различных конфигураций безопасности на устройствах |
| DeviceTvmSecureConfigurationAssessmentKB | База знаний с различными конфигурациями безопасности, используемыми компонентом управления угрозами и уязвимостями для оценки устройств; включает сопоставления с различными стандартами и эталонами |
| DeviceTvmSoftwareInventory | Инвентаризация программного обеспечения, установленного на устройствах, включая сведения о версии и статусе окончания поддержки |
| DeviceTvmSoftwareVulnerabilities | Уязвимости программного обеспечения, найденные на устройствах, и список доступных обновлений для системы безопасности, которые устраняют каждую уязвимость |
| DeviceTvmSoftwareVulnerabilitiesKB | База знаний об уязвимостях, о которых сообщалось в открытых источниках, включая сведения об опубликованном коде эксплойта |
| EmailAttachmentInfo | Сведения о вложенных файлах в электронных письмах |
| EmailEvents | События электронной почты Microsoft 365, включая доставку писем и события блокировки |
| EmailPostDeliveryEvents | События безопасности, происходящие после того, как сообщения были доставлены Microsoft 365 в почтовый ящик получателя |
| EmailUrlInfo | Сведения об URL-адресах электронной почты |
| IdentityDirectoryEvents | События, связанные с локальным контроллером домена, на котором работает Active Directory (AD) В этой таблице приводится ряд событий, связанных с удостоверениями, и системных событий на контроллере домена. |
| IdentityInfo | Сведения об учетной записи из различных источников, включая идентификатор Microsoft Entra |
| IdentityLogonEvents | События проверки подлинности в Active Directory и веб-службах Майкрософт |
| IdentityQueryEvents | Запросы объектов Active Directory объектов, таких как пользователи, группы, устройства и домены |
Настраиваемые обнаружения
С помощью пользовательских обнаружений можно организовать упреждающее отслеживание различных событий и состояний системы и реагирование на них, включая потенциальную активность, направленную на использование бреши в системе безопасности, и неправильно настроенные конечные точки. Это стало возможным благодаря настраиваемым правилам обнаружения, которые автоматически активируют предупреждения и ответные действия.
Пользовательские обнаружения поддерживаются расширенной охотой, что предоставляет эффективный и гибкий язык запросов, охватывающий широкий спектр событий и системной информации из сети. Их можно настроить на запуск через регулярные интервалы времени, создание оповещений и выполнение ответных действий при обнаружении совпадений.
Пользовательские обнаружения предоставляют следующее:
оповещения для обнаружений на основе правил, созданных из запросов расширенной охоты;
автоматические ответные действия, которые применяются к файлам и устройствам.
Создание правил обнаружения
Порядок создания правил обнаружения
1. Подготовьте запрос.
В Центре безопасности в Microsoft Defender перейдите в раздел "Расширенная охота на угрозы" и выберите существующий запрос или создайте новый. Если используется новый запрос, выполните запрос, чтобы определить ошибки и понять возможные результаты.
Важно!
Чтобы служба не возвращала слишком много оповещений, каждое правило создает только 100 предупреждений при каждом запуске. Перед созданием правила настройте запрос, чтобы избежать появления оповещений об обычных, повседневных действиях.
Чтобы использовать запрос для настраиваемого правила обнаружения, запрос должен вернуть следующие столбцы.
Метка времени
DeviceId
ReportId
Простые запросы, например в которых не используется оператор project или summarize для настройки или агрегирования результатов, обычно возвращают эти общие столбцы.
Существуют различные способы, позволяющие более сложным запросам возвращать эти столбцы. Например, если требуется выполнить статистическую обработку и подсчет по DeviceId, вы по-прежнему сможете вернуть метки времени (Timestamp) и идентификатор отчета (ReportId), получив их из самого последнего события, включающего каждое устройство.
Ниже приведен пример запроса, который подсчитывает количество уникальных устройств (DeviceId), на которых обнаружены вирусы, и использует эти данные для поиска только тех устройств, количество обнаруженных объектов на которых превышает пять. Чтобы получить последнюю отметку времени (Timestamp) и соответствующий идентификатор отчета (ReportId), используется оператор summarize с функцией arg_max.
DeviceEvents
| where Timestamp > ago(7d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5
2. Создайте новое правило и укажите сведения об оповещении.
С помощью запроса в редакторе запросов выберите "Создать правило обнаружения" и укажите следующие сведения об оповещении.
"Имя для обнаружения" — имя правила обнаружения.
"Периодичность" — интервал времени для выполнения запроса и принятия мер. См. дополнительное руководство ниже.
"Заголовок оповещения" — заголовок, который отображается для оповещений, активированных правилом.
"Серьезность" — потенциальный риск компонента или действия, обнаруженного правилом.
"Категория" — тип компонента или действия угрозы (при наличии).
"Методы MITRE ATT&CK" — один или несколько методов атак, обнаруженных правилом, которые задокументированы в платформе MITRE ATT&CK. Этот раздел недоступен для определенных категорий оповещений, таких как оповещения о вредоносных программах, программах-шантажистах, подозрительных действиях и нежелательных программах.
"Описание" — дополнительные сведения о компоненте или действии, обнаруженном правилом.
"Рекомендуемые действия" — дополнительные действия, которые можно выполнить в ответ на оповещение.
3. Периодичность выполнения правила
После сохранения новое правило обнаружения будет немедленно запущено. Оно проверяет наличие соответствий в данных за последние 30 дней. Затем правило запускается снова с фиксированными интервалами и циклами в зависимости от выбранной периодичности.
"Каждые 24 часа" — выполняется каждые 24 часа и проверяет данные за последние 30 дней.
Каждые 12 часов — выполняется каждые 12 часов, проверка данные за последние 48 часов
Каждые 3 часа — выполняется каждые 3 часа, проверка данные за последние 12 часов
Каждый час — выполняется почасовая проверка данных за последние 4 часа
Непрерывный (NRT) — выполняется непрерывно, проверка данные из событий, как они собираются и обрабатываются в режиме почти в реальном времени (NRT)
Выберите периодичность в соответствии с тем, насколько тщательно следует наблюдать за обнаружением, и при этом учитывайте ресурсы организации, доступные для реагирования на оповещения.
Примечание.
Настройка настраиваемого обнаружения для выполнения в непрерывной (NRT) частоте позволяет быстрее выявлять угрозы в вашей организации.
4. Выберите затронутые объекты.
Определите столбцы в результатах запроса, где предполагается найти основной затронутый объект. Например, запрос может возвращать идентификаторы устройства и пользователя. Определение того, какие из этих столбцов представляют основной затронутый объект, помогает службе объединять соответствующие оповещения, сопоставлять инциденты и определять ответные действия.
Для каждого типа объекта можно выбрать только один столбец. Столбцы, которые не возвращаются запросом, выбрать не удастся.
5. Укажите действия.
Настраиваемое правило обнаружения может автоматически выполнять действия с файлами или устройствами, возвращаемыми запросом.
Действия с устройствами
Эти действия применяются к устройствам в столбце DeviceId в результатах запроса.
"Изолировать устройство" — применение полной сетевой изоляции, что предотвращает подключение устройства к любому приложению или службе, за исключением службы Microsoft Defender для конечной точки.
"Собрать данные пакета исследования" — сбор сведений об устройстве в ZIP-файл.
"Запустить антивирусную проверку" — выполнение полной проверки антивирусной программы в Microsoft Defender на устройстве.
"Запустить исследование" — запуск автоматического исследования на устройстве
Действия с файлами
Эти действия применяются к файлам в столбце SHA1 или InitiatingProcessSHA1 в результатах запроса.
"Разрешить или запретить" — автоматическое добавление файла в список настраиваемых индикаторов, чтобы его запуск был всегда разрешен или запрещен. Можно задать область этого действия, чтобы оно выполнялось только в отношении выбранных групп устройств. Эта область не зависит от области правила.
"Поместить файл на карантин" — удаление файла из текущего расположения и помещение его на карантин.
6. Задайте область правила.
Задайте область, чтобы указать устройства, на которые распространяется правило.
Все устройства
Определенные группы устройств
Запрашиваются только данные с устройств в области. Кроме того, действия будут выполняться только на этих устройствах.
7. Проверьте правило и включите его.
После проверки правила выберите "Создать", чтобы сохранить его. Настраиваемое правило обнаружения запустится незамедлительно. Оно запустится снова в зависимости от настроенной периодичности для проверки соответствий, создания оповещений и выполнения ответных действий.