Foretag proaktiv trusselsjagt fra ende til anden i Microsoft Sentinel

  • Gælder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Proaktiv trusselsjagt er en proces, hvor sikkerhedsanalytikere opsøger uopdagede trusler og ondsindet adfærd. Ved at oprette en hypotese, søge efter data og validere denne hypotese bestemmer de, hvad der skal reageres på. Handlinger kan omfatte oprettelse af nye opdagelser, ny trusselsintelligens eller oprettelse af en ny hændelse.

Brug slutningen til at afslutte jagtoplevelsen inden for Microsoft Sentinel til at:

  • Proaktiv jagt baseret på specifikke MITRE-teknikker, potentielt skadelig aktivitet, seneste trusler eller din egen brugerdefinerede hypotese.
  • Brug sikkerhedsforskergenererede jagtforespørgsler eller brugerdefinerede jagtforespørgsler til at undersøge skadelig adfærd.
  • Udfør dine jagter ved hjælp af flere faner med vedvarende forespørgsler, der gør det muligt for dig at bevare konteksten over tid.
  • Indsaml beviser, undersøg UEBA-kilder, og anmærk dine resultater ved hjælp af jagt bestemte bogmærker.
  • Samarbejd og dokumenter dine resultater med kommentarer.
  • Handle på resultater ved at oprette nye analyseregler, nye hændelser, nye trusselsindikatorer og køre playbooks.
  • Hold styr på dine nye, aktive og lukkede jagter på ét sted.
  • Få vist målepunkter baseret på validerede hypoteser og konkrete resultater.

Vigtigt!

Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.

Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.

Forudsætninger

Hvis du vil bruge funktionen jagter, skal du enten tildeles en indbygget Microsoft Sentinel rolle eller en brugerdefineret Azure rolle som RBAC. Her er dine muligheder:

Du kan få flere oplysninger under Roller og tilladelser på platformen Microsoft Sentinel.

Definer din hypotese

Definition af en hypotese er en åben, fleksibel proces og kan indeholde enhver idé, du vil validere. Almindelige hypoteser omfatter:

  • Mistænkelig adfærd – Undersøg potentielt skadelig aktivitet, der er synlig i dit miljø, for at finde ud af, om der forekommer et angreb.
  • Ny trusselskampagne – Søg efter typer af ondsindet aktivitet baseret på nyopdagede trusselsaktører, teknikker eller sårbarheder. Det kan være noget, du har hørt om i en artikel om sikkerhedsnyheder.
  • Huller i registrering – Øg registreringsdækningen ved hjælp af MITRE ATT-&CK-kortet for at identificere huller.

Microsoft Sentinel giver dig fleksibilitet, når du er nul i det rette sæt jagtforespørgsler for at undersøge din hypotese. Når du opretter en jagt, skal du starte den med forudmarkerede jagtforespørgsler eller tilføje forespørgsler, efterhånden som du skrider frem. Her er anbefalinger til forudvalgte forespørgsler baseret på de mest almindelige hypoteser.

Hypotese – Mistænkelig adfærd

  1. For Microsoft Sentinel i Azure Portal skal du under Trusselsstyring vælge Jagt.
    For Microsoft Sentinel på Defender-portalen skal du vælge Microsoft Sentinel>Threat management>Hunting.

  2. Vælg fanen Forespørgsler . Kør alle forespørgsler for at identificere potentielt skadelige funktionsmåder.

  3. Vælg Kør alle forespørgsler> vent, indtil forespørgslerne udføres. Denne proces kan tage et stykke tid.

  4. Vælg Tilføj filterresultater>> fjern markeringen i afkrydsningsfelterne "!", "I/T", "-" og "0" >AnvendSkærmbillede, der viser det filter, der er beskrevet i trin 3.

  5. Sortér disse resultater efter kolonnen Results Delta for at se, hvad der senest er ændret. Disse resultater giver indledende vejledning om jagten.

Hypotese - Ny trusselskampagne

Indholdshubben tilbyder trusselskampagne og domænebaserede løsninger til jagt efter specifikke angreb. I følgende trin skal du installere en af disse typer løsninger.

  1. Gå til Indholdshub.

  2. Installér en trusselskampagne eller domænebaseret løsning, f.eks. Log4J Vulnerability Detection eller Apache Tomcat.

    Skærmbillede, der viser indholdshubben i gittervisning med Løsningerne Log4J og Apache valgt.

  3. Når løsningen er installeret, skal du i Microsoft Sentinel gå til Jagt.

  4. Vælg fanen Forespørgsler .

  5. Søg efter løsningsnavn, eller filtrer efter løsningens kildenavn .

  6. Vælg forespørgslen, og kør forespørgslen.

Hypotese – huller i registrering

MITRE ATT&CK-kortet hjælper dig med at identificere specifikke huller i registreringsdækningen. Brug foruddefinerede jagtforespørgsler for bestemte MITRE ATT-&CK-teknikker som udgangspunkt for at udvikle ny registreringslogik.

  1. Gå til siden MITRE ATT&CK (prøveversion).

  2. Fjern markeringen af elementer i rullemenuen Aktiv.

  3. Vælg Jagtforespørgsler i filteret Simuleret for at se, hvilke teknikker der har tilknyttet jagtforespørgsler.

    Skærmbillede, der viser MITRE ATT-&CK-siden med indstillingen for simulerede jagtforespørgsler valgt.

  4. Vælg kortet med den ønskede teknik.

  5. Vælg linket Vis ud for Jagtforespørgsler nederst i detaljeruden. Dette link fører dig til en filtreret visning af fanen Forespørgsler på siden Jagt baseret på den valgte teknik.

    Skærmbillede, der viser MITRE ATT&CK-kortvisning med linket Visning af jagtforespørgsler.

  6. Vælg alle forespørgsler for den pågældende teknik.

Opret en jagt

Der er to primære måder at oprette en jagt på.

  1. Hvis du startede med en hypotese, hvor du valgte forespørgsler, skal du vælge rullemenuen >JagthandlingerOpret ny jagt. Alle de forespørgsler, du har valgt, klones for denne nye jagt.

    Skærmbillede, der viser de valgte forespørgsler og menuindstillingen Opret ny jagt valgt.

  2. Hvis du endnu ikke har besluttet dig for forespørgsler, skal du vælge fanen >Jagter (prøveversion)Ny jagt for at oprette en tom jagt.

    Skærmbillede, der viser menuen til at oprette en tom jagt uden forudmarkerede forespørgsler.

  3. Udfyld navnet på jagten og valgfrie felter. Beskrivelsen er et godt sted at verbalisere din hypotese. I rullemenuen Hypotese kan du angive status for din arbejds hypotese.

  4. Vælg Opret for at komme i gang.

    Skærmbillede, der viser siden til oprettelse af jagt med huntnavn, beskrivelse, ejer, status og hypotesetilstand.

Vis oplysninger om jagt

  1. Vælg fanen Jagter (prøveversion) for at få vist din nye jagt.

  2. Vælg linket jagt efter navn for at få vist detaljerne og udføre handlinger.

    Skærmbillede, der viser ny jagt under fanen Jagt.

  3. Få vist detaljeruden med navnet På jagt, Beskrivelse, Indhold, Tidspunkt for seneste opdatering og Tidspunktet for oprettelse.

  4. Bemærk fanerne for forespørgsler, bogmærker og enheder.

    Skærmbillede, der viser jagtdetaljerne.

Fanen Forespørgsler

Fanen Forespørgsler indeholder jagtforespørgsler , der er specifikke for denne jagt. Disse forespørgsler er kloner af originalerne, uafhængigt af alle andre i arbejdsområdet. Opdater eller slet dem uden at påvirke dit overordnede sæt jagtforespørgsler eller forespørgsler i andre jagter.

Føj en forespørgsel til jagten

  1. Vælg Forespørgselshandlinger>tilføj forespørgsler, der skal jages
  2. Vælg de forespørgsler, du vil tilføje. Skærmbillede, der viser menuen forespørgselshandlinger på fanen Forespørgsler.

Kør forespørgsler

  1. Vælg Kør alle forespørgsler , eller vælg bestemte forespørgsler, og vælg Kør valgte forespørgsler.
  2. Vælg Annuller for at annullere udførelsen af forespørgslen når som helst.

Administrer forespørgsler

  1. Højreklik på en forespørgsel, og vælg en af følgende i genvejsmenuen:

    • Kør
    • Redigere
    • Klon
    • Slette
    • Opret analyseregel

    Skærmbillede, der viser genvejsmenuindstillinger under fanen Forespørgsler i en jagt.

    Disse indstillinger fungerer på samme måde som den eksisterende forespørgselstabel på siden Jagt , bortset fra at handlingerne kun gælder i denne jagt. Når du vælger at oprette en analyseregel, udfyldes navnet, beskrivelsen og KQL-forespørgslen på forhånd i den nye regeloprettelse. Der oprettes et link for at få vist den nye analyseregel, der findes under Relaterede analyseregler.

    Skærmbillede, der viser jagtdetaljer med en relateret analyseregel.

Vis resultater

Denne funktion giver dig mulighed for at se resultater af jagtforespørgsler i Log Analytics-søgeoplevelsen. Herfra kan du analysere dine resultater, tilpasse dine forespørgsler og oprette bogmærker for at registrere oplysninger og undersøge de enkelte rækkeresultater yderligere.

  1. Vælg knappen Vis resultater .
  2. Hvis du pivotere til en anden del af Microsoft Sentinel portalen og derefter navigerer tilbage til LA-logsøgningsoplevelsen fra jagtsiden, forbliver alle dine LA-forespørgselsfaner.
  3. Disse LA-forespørgselsfaner går tabt, hvis du lukker browserfanen. Hvis du vil bevare forespørgslerne på lang sigt, skal du gemme forespørgslen, oprette en ny jagtforespørgsel eller kopiere den til en kommentar til senere brug i jagten.

Tilføj et bogmærke

Når du finder interessante resultater eller vigtige rækker med data, kan du føje disse resultater til jagten ved at oprette et bogmærke. Du kan finde flere oplysninger under Brug jagtbogmærker til dataundersøgelser.

  1. Markér den eller de ønskede rækker.

  2. Vælg Tilføj bogmærke over resultattabellen. Skærmbillede, der viser ruden Tilføj bogmærke med valgfrie felter udfyldt.

  3. Navngiv bogmærket.

  4. Angiv kolonnen med hændelsestidspunkter.

  5. Tilknyt enheds-id'er.

  6. Angiv MITRE's taktik og teknikker.

  7. Tilføj mærker, og tilføj noter.

    Bogmærkerne bevarer de specifikke rækkeresultater, KQL-forespørgslen og det tidsinterval, der genererede resultatet.

  8. Vælg Opret for at føje bogmærket til jagten.

Vis bogmærker

  1. Gå til bogmærkefanen for jagten for at få vist dine bogmærker.

    Skærmbillede, der viser et bogmærke med alle dets detaljer og handlingsmenuen Jagter åben.

  2. Vælg et ønsket bogmærke, og udfør følgende handlinger:

    • Vælg objektlinks for at få vist den tilsvarende UEBA-enhedsside.
    • Få vist rå resultater, mærker og noter.
    • Vælg Vis kildeforespørgsel for at se kildeforespørgslen i Log Analytics.
    • Vælg Vis bogmærkelogfiler for at se bogmærkeindholdet i loganalysens bogmærketabel.
    • Vælg knappen Undersøg for at få vist bogmærket og relaterede objekter i undersøgelsesgrafen.
    • Vælg knappen Rediger for at opdatere mærker, MITRE-taktikker og teknikker og noter.

Interager med objekter

  1. Gå til fanen Enheder for din jagt for at få vist, søge efter og filtrere enhederne i jagten. Denne liste genereres ud fra listen over objekter i bogmærkerne. Under fanen Enheder løses duplikerede poster automatisk.

  2. Vælg objektnavne for at besøge den tilsvarende UEBA-objektside.

  3. Højreklik på objektet for at udføre handlinger, der er relevante for objekttyperne, f.eks. føje en IP-adresse til TI eller køre en objekttypespecifik playbook.

    Skærmbillede, der viser genvejsmenuen for objekter.

Tilføj kommentarer

Kommentarer er et glimrende sted at samarbejde med kolleger, bevare noter og dokumentresultater.

  1. Vælg

  2. Skriv og formatér din kommentar i redigeringsfeltet.

  3. Tilføj et forespørgselsresultat som et link til samarbejdspartnere for hurtigt at forstå konteksten.

  4. Vælg knappen Kommentar for at anvende dine kommentarer.

    Skærmbillede, der viser kommentarredigeringsfeltet med LA-forespørgsel som et link.

Opret hændelser

Der er to valgmuligheder for oprettelse af hændelser under jagt.

Mulighed 1: Brug bogmærker.

  1. Vælg et bogmærke eller bogmærker.

  2. Vælg knappen Hændelseshandlinger.

  3. Vælg Opret ny hændelse eller Føj til eksisterende hændelse

    Skærmbillede, der viser menuen hændelseshandlinger fra bogmærkevinduet.

    • For Opret ny hændelse skal du følge de guidede trin. Fanen bogmærker udfyldes på forhånd med dine valgte bogmærker.
    • For Føj til eksisterende hændelse skal du vælge hændelsen og vælge knappen Acceptér .

Mulighed 2: Brug jagthandlinger.

  1. Vælg menuen >Handlinger Oprethændelse, og følg de guidede trin.

    Skærmbillede, der viser menuen jagthandlinger fra bogmærkevinduet.

  2. Under trinnet Tilføj bogmærker skal du bruge handlingen Tilføj bogmærke til at vælge bogmærker fra jagten for at føje dem til hændelsen. Du er begrænset til bogmærker, der ikke er tildelt til en hændelse.

  3. Når hændelsen er oprettet, linkes den til listen Relaterede hændelser for den pågældende jagt.

Opdateringsstatus

  1. Når du har hentet nok beviser til at validere eller annullere din hypotese, skal du opdatere din hypotesetilstand.

    Skærmbillede, der viser valg af menu for hypotesetilstand.

  2. Når alle de handlinger, der er knyttet til jagten, er fuldført, f.eks. oprettelse af analyseregler, hændelser eller tilføjelse af indikatorer for kompromis (IOCs) til TI, skal du lukke jagten.

    Skærmbillede, der viser valg af menuen Jagttilstand.

Disse statusopdateringer er synlige på hovedsiden Jagt og bruges til at spore målepunkter.

Spor målepunkter

Spor håndgribelige resultater fra jagtaktivitet ved hjælp af målepunktslinjen under fanen Jagter . Målepunkter viser antallet af validerede hypoteser, nye hændelser, der er oprettet, og nye analyseregler, der er oprettet. Brug disse resultater til at sætte mål eller fejre milepæle i dit jagtprogram.

Skærmbillede, der viser jagtmetrik.

Næste trin

I denne artikel har du lært, hvordan du kører en jagtundersøgelse med jagtfunktionen i Microsoft Sentinel.

Du kan finde flere oplysninger under:

  • Last updated on