Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Als Sicherheitsanalysten und Ermittler möchten Sie proaktiv nach Sicherheitsbedrohungen suchen, aber Ihre verschiedenen Systeme und Sicherheitsappliances generieren Datenberge, die schwer zu analysieren und in aussagekräftige Ereignisse zu filtern sind. Microsoft Sentinel verfügt über leistungsstarke Such- und Abfragetools für die Suche nach Sicherheitsbedrohungen in den Datenquellen Ihrer organization. Um Sicherheitsanalysten bei der proaktiven Suche nach neuen Anomalien zu unterstützen, die von Ihren Sicherheits-Apps oder sogar von Ihren geplanten Analyseregeln nicht erkannt werden, führen Hunting-Abfragen Sie dazu, die richtigen Fragen zu stellen, um Probleme in den Daten zu finden, die Sie bereits in Ihrem Netzwerk haben.
Beispielsweise stellt eine sofort einsatzbereite Abfrage Daten zu den ungewöhnlichsten Prozessen bereit, die in Ihrer Infrastruktur ausgeführt werden. Sie möchten nicht jedes Mal, wenn sie ausgeführt werden, eine Warnung. Sie könnten völlig unschuldig sein. Aber Sie sollten sich die Abfrage gelegentlich ansehen, um festzustellen, ob etwas Ungewöhnliches vorliegt.
Wichtig
Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.
Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.
Hinweis
Microsoft Sentinel Livestreams sind länger verfügbar. Verwenden Sie KQL-Aufträge, Analyseregeln oder Playbooks, um Abfragen und Benachrichtigungen zu automatisieren. Diese Alternativen bieten persistente Abfrageergebnisse und Unterstützung für verschiedene Messagingplattformen.
Huntings in Microsoft Sentinel (Vorschau)
Mit Jagden in Microsoft Sentinel können Sie nach unentdeckten Bedrohungen und böswilligen Verhaltensweisen suchen, indem Sie eine Hypothese erstellen, Daten durchsuchen, diese Hypothese überprüfen und bei Bedarf handeln. Erstellen Sie basierend auf Ihren Ergebnissen neue Analyseregeln, Threat Intelligence und Incidents.
| Funktionen | Beschreibung |
|---|---|
| Definieren einer Hypothese | Um eine Hypothese zu definieren, lassen Sie sich von der MITRE-Karte, aktuellen Huntingabfrageergebnissen, Content Hub-Lösungen inspirieren oder generieren Sie Ihre eigenen benutzerdefinierten Huntings. |
| Untersuchen von Abfragen und Lesezeichenergebnissen | Nachdem Sie eine Hypothese definiert haben, wechseln Sie zur Registerkarte Suchseite Abfragen . Wählen Sie die Abfragen im Zusammenhang mit Ihrer Hypothese und Neue Suche aus, um zu beginnen. Führen Sie Abfragen im Zusammenhang mit der Suche aus, und untersuchen Sie die Ergebnisse mithilfe der Protokolloberfläche. Speichern Sie Ergebnisse direkt in Ihre Suche, um Ihre Ergebnisse mit Anmerkungen zu versehen, Entitätsbezeichner zu extrahieren und relevante Abfragen beizubehalten. |
| Untersuchen und Ergreifen von Maßnahmen | Untersuchen Sie noch genauer, indem Sie UEBA-Entitätsseiten verwenden. Führen Sie entitätsspezifische Playbooks für Mit Lesezeichen versehene Entitäten aus. Verwenden Sie integrierte Aktionen, um neue Analyseregeln, Bedrohungsindikatoren und Incidents basierend auf Ergebnissen zu erstellen. |
| Nachverfolgen ihrer Ergebnisse | Notieren Sie sich die Ergebnisse Ihrer Suche. Verfolgen Sie nach, ob Ihre Hypothese überprüft wurde oder nicht. Hinterlassen Sie ausführliche Notizen in den Kommentaren. Hunts verknüpft automatisch neue Analyseregeln und Incidents. Verfolgen Sie die gesamten Auswirkungen Ihres Huntingprogramms mit der Metrikleiste nach. |
Informationen zu den ersten Schritten finden Sie unter Durchführen der proaktiven End-to-End-Bedrohungssuche in Microsoft Sentinel.
Hunting-Abfragen
Wählen Sie in Microsoft Sentinel in Defender Bedrohungsverwaltungssuche> und dann die Registerkarte Abfragen aus, um alle Abfragen oder eine ausgewählte Teilmenge auszuführen. Auf der Registerkarte Abfragen werden alle Huntingabfragen aufgelistet, die mit Sicherheitslösungen aus dem Inhaltshub installiert wurden, sowie alle zusätzlichen Abfragen, die Sie erstellt oder geändert haben. Jede Abfrage enthält eine Beschreibung dessen, wonach gesucht wird und auf welcher Art von Daten sie ausgeführt wird. Diese Abfragen werden nach ihren MITRE ATT-&CK-Taktiken gruppiert. Die Symbole oben kategorisieren die Art der Bedrohung, z. B. Erstzugriff, Persistenz und Exfiltration. MITRE ATT&CK-Techniken werden in der Spalte Techniken gezeigt und beschreiben das spezifische Verhalten, das von der Hunting-Abfrage identifiziert wird.
Verwenden Sie die Registerkarte Abfragen, um zu ermitteln, wo die Suche gestartet werden soll, indem Sie sich die Ergebnisanzahl, Spitzen oder die Änderung der Ergebnisanzahl über einen Zeitraum von 24 Stunden ansehen. Sortieren und filtern Sie nach Favoriten, Datenquelle, MITRE ATT&CK-Taktik oder -Technik, Ergebnissen, Ergebnisdelta oder Ergebnisdeltaprozentsatz. Zeigen Sie Abfragen an, für die weiterhin Datenquellen verbunden sind, und erhalten Sie Empfehlungen zum Aktivieren dieser Abfragen.
In der folgenden Tabelle werden detaillierte Aktionen beschrieben, die im Hunting-Dashboard verfügbar sind:
| Aktion | Beschreibung |
|---|---|
| Erfahren Sie, wie Abfragen auf Ihre Umgebung angewendet werden. | Wählen Sie die Schaltfläche Alle Abfragen ausführen aus, oder aktivieren Sie eine Teilmenge der Abfragen mithilfe der Kontrollkästchen links neben jeder Zeile, und wählen Sie die Schaltfläche Ausgewählte Abfragen ausführen aus. Die Ausführung Ihrer Abfragen kann zwischen einigen Sekunden und vielen Minuten dauern, je nachdem, wie viele Abfragen ausgewählt sind, dem Zeitraum und der Menge der abgefragten Daten. |
| Anzeigen der Abfragen, die Ergebnisse zurückgegeben haben | Nachdem Ihre Abfragen ausgeführt wurden, zeigen Sie die Abfragen, die Ergebnisse zurückgegeben haben, mithilfe des Filters Ergebnisse an: – Sortieren, um zu sehen, welche Abfragen die meisten oder wenigsten Ergebnisse hatten. – Zeigen Sie die Abfragen an, die in Ihrer Umgebung überhaupt nicht aktiv sind, indem Sie im Filter Ergebnisse die Option N/V auswählen. – Zeigen Sie auf das Infosymbol (i) neben der N/V , um zu sehen, welche Datenquellen erforderlich sind, um diese Abfrage aktiv zu machen. |
| Identifizieren von Spitzen in Ihren Daten | Identifizieren Sie Spitzen in den Daten, indem Sie nach Ergebnisdelta oder Ergebnisdeltaprozentsatz sortieren oder filtern. Vergleicht die Ergebnisse der letzten 24 Stunden mit den Ergebnissen der letzten 24 bis 48 Stunden, wobei große Unterschiede oder relative Volumenunterschiede hervorgehoben werden. |
| Anzeigen von Abfragen, die der MITRE ATT&CK-Taktik zugeordnet sind | Die MITRE ATT&CK-Taktikleiste oben in der Tabelle listet auf, wie viele Abfragen den einzelnen MITRE ATT&CK-Taktiken zugeordnet sind. Die Taktikleiste wird basierend auf dem aktuellen Satz angewendeter Filter dynamisch aktualisiert. Hier können Sie sehen, welche MITRE ATT&CK-Taktiken angezeigt werden, wenn Sie nach einer bestimmten Ergebnisanzahl, einem hohen Ergebnisdelta, N/A-Ergebnissen oder einem anderen Satz von Filtern filtern. |
| Anzeigen von Abfragen, die MITRE ATT&CK-Techniken zugeordnet sind | Abfragen können auch MITRE ATT&CK-Techniken zugeordnet werden. Mithilfe des Filters Technik können Sie nach MITRE ATT&CK-Techniken filtern oder sortieren. Durch Öffnen einer Abfrage können Sie die Technik auswählen, um die MITRE ATT&CK-Beschreibung der Technik anzuzeigen. |
| Speichern einer Abfrage in Ihren Favoriten | Abfragen, die in Ihren Favoriten gespeichert sind, werden automatisch ausgeführt, wenn auf die Hunting-Seite zugegriffen wird. Sie können eine eigene Huntingabfrage erstellen oder eine vorhandene Huntingabfragevorlage klonen und anpassen. |
| Ausführen von Abfragen | Wählen Sie auf der Detailseite der Suchabfrage die Option Abfrage ausführen aus, um die Abfrage direkt auf der Huntingseite auszuführen. Die Anzahl der Übereinstimmungen wird in der Tabelle in der Spalte Ergebnisse angezeigt. Überprüfen Sie die Liste der Suchabfragen und deren Übereinstimmungen. |
| Überprüfen einer zugrunde liegenden Abfrage | Führen Sie eine schnelle Überprüfung der zugrunde liegenden Abfrage im Abfragedetailsbereich durch. Sie können die Ergebnisse anzeigen, indem Sie auf den Link Abfrageergebnisse anzeigen (unterhalb des Abfragefensters) oder auf die Schaltfläche Ergebnisse anzeigen (unten im Bereich) klicken. Die Abfrage öffnet die Seite Protokolle (Log Analytics), und unterhalb der Abfrage können Sie die Übereinstimmungen für die Abfrage überprüfen. |
Verwenden Sie Abfragen vor, während und nach einer Kompromittierung, um die folgenden Aktionen auszuführen:
Bevor ein Incident auftritt: Das Warten auf Erkennungen reicht nicht aus. Ergreifen Sie proaktive Maßnahmen, indem Sie mindestens einmal pro Woche Abfragen zur Bedrohungssuche im Zusammenhang mit den Daten ausführen, die Sie in Ihrem Arbeitsbereich erfassen.
Die Ergebnisse Ihrer proaktiven Suche bieten frühzeitige Einblicke in Ereignisse, die bestätigen können, dass eine Gefährdung in Bearbeitung ist, oder zumindest schwächere Bereiche in Ihrer Umgebung zeigen, die gefährdet sind und Aufmerksamkeit benötigen.
Während einer Kompromittierung: Überwachen Sie Ereignisse aktiv, um die nächste Aktion eines Bedrohungsakteurs zu bestimmen, senden Sie Benachrichtigungen an die richtigen Personen, und ergreifen Sie Maßnahmen, um einen laufenden Angriff zu stoppen.
- Verwenden Sie KQL-Aufträge, um das Verhalten von Angreifern zu überwachen und Abfrageergebnisse im Microsoft Sentinel Data Lake beizubehalten.
- Analysieren Sie persistente Ergebnisse mit Tools wie Security Copilot, Jupyter Notebooks, Erweiterte Suche und KQL-Abfragen.
- Senden von Benachrichtigungen an Teams, E-Mails und andere Messagingplattformen.
Nach einer Kompromittierung: Nachdem eine Kompromittierung oder ein Vorfall aufgetreten ist, stellen Sie sicher, dass Sie Ihre Abdeckung und Erkenntnisse verbessern, um ähnliche Vorfälle in Zukunft zu verhindern.
Ändern Sie Ihre vorhandenen Abfragen, oder erstellen Sie neue Abfragen, um die Früherkennung zu unterstützen, basierend auf Erkenntnissen, die sie aus Ihrer Kompromittierung oder Ihrem Incident gewonnen haben.
Wenn Sie eine Hunting-Abfrage ermittelt oder erstellt haben, die wertvolle Einblicke in mögliche Angriffe bietet, erstellen Sie benutzerdefinierte Erkennungsregeln basierend auf dieser Abfrage, und zeigen Sie diese Erkenntnisse als Warnungen an Ihre Reaktionshelfer für Sicherheitsvorfälle an.
Zeigen Sie die Ergebnisse der Abfrage an, und wählen Sie Neue Warnungsregel>Microsoft Sentinel Warnung erstellen aus. Verwenden Sie den Analyseregel-Assistenten , um eine neue Regel basierend auf Ihrer Abfrage zu erstellen. Weitere Informationen finden Sie unter Erstellen benutzerdefinierter Analyseregeln zum Erkennen von Bedrohungen.
Exportieren Sie Ergebnisse , und verknüpfen Sie sie mit bestimmten Fällen, um die SOC-Zusammenarbeit zu verbessern.
Sie können auch Huntingabfragen für Daten erstellen, die in Azure Data Explorer gespeichert sind. Weitere Informationen finden Sie unter Details zum Erstellen ressourcenübergreifender Abfragen in der Azure Monitor-Dokumentation.
Weitere Abfragen und Datenquellen finden Sie im Inhaltshub in Microsoft Sentinel oder auf Communityressourcen wie Microsoft Sentinel GitHub-Repository.
Sofort einsatzbereite Huntingabfragen
Viele Sicherheitslösungen enthalten sofort einsatzbereite Huntingabfragen. Nachdem Sie eine Lösung installiert haben, die Huntingabfragen aus dem Inhaltshub enthält, werden die standardmäßigen Abfragen für diese Lösung auf der Registerkarte HuntingAbfragen angezeigt. Abfragen werden für Daten ausgeführt, die in Protokolltabellen gespeichert sind, z. B. für die Prozesserstellung, DNS-Ereignisse oder andere Ereignistypen.
Viele verfügbare Hunting-Abfragen werden kontinuierlich von Microsoft-Sicherheitsexperten entwickelt. Sie fügen neue Abfragen zu Sicherheitslösungen hinzu und optimieren vorhandene Abfragen, um Ihnen einen Einstiegspunkt für die Suche nach neuen Erkennungen und Angriffen zu bieten.
Benutzerdefinierte Suchabfragen
Erstellen oder bearbeiten Sie eine Abfrage, und speichern Sie sie als Ihre eigene Abfrage, oder geben Sie sie für Benutzer frei, die sich im selben Mandanten befinden. Erstellen Sie in Microsoft Sentinel auf der RegisterkarteHuntingAbfragen> eine benutzerdefinierte Huntingabfrage.
Weitere Informationen finden Sie unter Erstellen von benutzerdefinierten Huntingabfragen in Microsoft Sentinel.
Lesezeichen zum Nachverfolgen von Daten
Die Bedrohungssuche erfordert in der Regel die Überprüfung von Protokolldaten, die nach Beweisen für böswilliges Verhalten suchen. Während dieses Prozesses finden Die Ermittler Ereignisse, die sie sich merken, überprüfen und analysieren möchten, um potenzielle Hypothesen zu validieren und die gesamte Geschichte eines Kompromisses zu verstehen.
Während des Such- und Untersuchungsprozesses stoßen Sie möglicherweise auf Abfrageergebnisse, die ungewöhnlich oder verdächtig aussehen. Lesezeichen für diese Elemente, um später darauf zu verweisen, z. B. beim Erstellen oder Anreichern eines Incidents zur Untersuchung. Ereignisse wie potenzielle Grundursachen, Indikatoren für Gefährdung oder andere wichtige Ereignisse sollten als Lesezeichen ausgelöst werden. Wenn ein Schlüsselereignis, das Sie mit einem Lesezeichen versehen haben, schwerwiegend genug ist, um eine Untersuchung zu rechtfertigen, eskalieren Sie es zu einem Incident.
Aktivieren Sie in ihren Ergebnissen die Kontrollkästchen für alle Zeilen, die Sie beibehalten möchten, und wählen Sie Lesezeichen hinzufügen aus. Dadurch wird für jede markierte Zeile ein Lesezeichen erstellt, das die Zeilenergebnisse und die Abfrage enthält, die die Ergebnisse erstellt hat. Sie können jedem Lesezeichen eigene Tags und Notizen hinzufügen.
- Wie bei geplanten Analyseregeln können Sie Ihre Lesezeichen mit Entitätszuordnungen anreichern, um mehrere Entitätstypen und Bezeichner zu extrahieren, und MITRE ATT&CK-Zuordnungen, um bestimmte Taktiken und Techniken zuzuordnen.
- Lesezeichen verwenden standardmäßig dieselbe Entität und MITRE ATT&CK-Technikzuordnungen wie die Huntingabfrage, die die mit Lesezeichen versehenen Ergebnisse erzeugt hat.
Zeigen Sie alle mit Lesezeichen versehenen Ergebnisse an, indem Sie auf der Hauptseite Hunting auf die Registerkarte Lesezeichen klicken. Fügen Sie Lesezeichen Tags hinzu, um sie zum Filtern zu klassifizieren. Wenn Sie beispielsweise eine Angriffskampagne untersuchen, können Sie ein Tag für die Kampagne erstellen, das Tag auf alle relevanten Lesezeichen anwenden und dann alle Lesezeichen basierend auf der Kampagne filtern.
Untersuchen Sie eine einzelne Mit Lesezeichen versehene Suche, indem Sie das Lesezeichen auswählen und dann im Detailbereich auf Untersuchen klicken, um die Untersuchungsoberfläche zu öffnen. Zeigen Sie Ihre Ergebnisse mithilfe eines interaktiven Entitätsdiagramms und Zeitleiste an, untersuchen und visuell kommunizieren. Sie können auch direkt eine aufgelistete Entität auswählen, um die entsprechende Entitätsseite dieser Entität anzuzeigen.
Sie können auch einen Incident aus einem oder mehreren Lesezeichen erstellen oder einem vorhandenen Incident ein oder mehrere Lesezeichen hinzufügen. Aktivieren Sie ein Kontrollkästchen links neben allen Lesezeichen, die Sie verwenden möchten, und wählen Sie dann Incidentaktionen>Neuen Incident erstellen oder Zu vorhandenem Incident hinzufügen aus. Selektieren und untersuchen Sie den Vorfall wie jeder andere.
Zeigen Sie Ihre mit Lesezeichen versehenen Daten direkt in der HuntingBookmark-Tabelle in Ihrem Log Analytics-Arbeitsbereich an. Zum Beispiel:
Durch das Anzeigen von Lesezeichen aus der Tabelle können Sie mit Lesezeichen versehene Daten filtern, zusammenfassen und mit anderen Datenquellen verknüpfen, sodass Sie auf einfache Weise nach bestätigenden Beweisen suchen können.
Informationen zum Verwenden von Lesezeichen finden Sie unter Nachverfolgen von Daten während der Suche mit Microsoft Sentinel.
Notebooks, die Untersuchungen unterstützen
Wenn Ihre Suche und Untersuchungen komplexer werden, verwenden Sie Microsoft Sentinel Notebooks, um Ihre Aktivitäten mit maschinellem Lernen, Visualisierungen und Datenanalysen zu verbessern.
Notebooks bieten eine Art virtuelle Sandbox mit eigenem Kernel, in der Sie eine vollständige Untersuchung durchführen können. Ihr Notebook kann die Rohdaten, den Code, den Sie für diese Daten ausführen, die Ergebnisse und ihre Visualisierungen enthalten. Speichern Sie Ihre Notizbücher, damit Sie sie für andere freigeben können, um sie in Ihrem organization wiederzuverwenden.
Notebooks können hilfreich sein, wenn Ihre Suche oder Untersuchung zu groß wird, um sich leicht merken zu können, Details anzuzeigen oder Wenn Sie Abfragen und Ergebnisse speichern müssen. Um Sie beim Erstellen und Freigeben von Notebooks zu unterstützen, bietet Microsoft Sentinel Jupyter Notebooks, eine Open-Source-Umgebung für interaktive Entwicklung und Datenbearbeitung, die direkt in die Seite Microsoft Sentinel Notebooks integriert ist.
Weitere Informationen finden Sie unter:
- Verwenden von Jupyter Notebook zum Suchen nach Sicherheitsbedrohungen
- Dokumentation zum Jupyter-Projekt
- Jupyter-Einführungsdokumentation.
- The Infosec Jupyter Book
- Echte Python-Tutorials
In der folgenden Tabelle werden einige Methoden zur Verwendung von Jupyter-Notebooks beschrieben, um Ihre Prozesse in Microsoft Sentinel zu unterstützen:
| Methode | Beschreibung |
|---|---|
| Datenpersistenz, Wiederholbarkeit und Rückverfolgung | Wenn Sie mit vielen Abfragen und Resultsets arbeiten, haben Sie wahrscheinlich einige Sackgassen. Sie müssen entscheiden, welche Abfragen und Ergebnisse beibehalten werden sollen und wie die nützlichen Ergebnisse in einem einzelnen Bericht gesammelt werden sollen. Verwenden Sie Jupyter Notebooks zum Speichern von Abfragen und Daten, verwenden Sie Variablen, um Abfragen mit unterschiedlichen Werten oder Datumsangaben erneut auszuführen, oder speichern Sie Ihre Abfragen, um sie bei zukünftigen Untersuchungen erneut auszuführen. |
| Skripterstellung und Programmierung | Verwenden Sie Jupyter Notebooks, um Ihren Abfragen Programmierung hinzuzufügen, einschließlich: - Deklarative Sprachen wie Kusto-Abfragesprache (KQL) oder SQL, um Ihre Logik in einer einzelnen, möglicherweise komplexen Anweisung zu codieren. - Prozedurale Programmiersprachen, um Logik in einer Reihe von Schritten auszuführen. Teilen Sie Ihre Logik in Schritte auf, damit Sie Zwischenergebnisse anzeigen und debuggen können, Funktionen hinzufügen, die in der Abfragesprache möglicherweise nicht verfügbar sind, und partielle Ergebnisse in späteren Verarbeitungsschritten wiederverwenden. |
| Links zu externen Daten | Während Microsoft Sentinel Tabellen die meisten Telemetrie- und Ereignisdaten enthalten, können Jupyter Notebooks eine Verknüpfung mit allen Daten herstellen, auf die über Ihr Netzwerk oder über eine Datei zugegriffen werden kann. Mithilfe von Jupyter Notebooks können Sie Daten wie die folgenden einschließen: – Daten in externen Diensten, die Sie nicht besitzen, z. B. Geolocationdaten oder Threat Intelligence-Quellen – Vertrauliche Daten, die nur in Ihrem organization gespeichert sind, z. B. Personaldatenbanken oder Listen mit hochwertigen Ressourcen – Daten, die Sie noch nicht in die Cloud migriert haben. |
| Spezialisierte Datenverarbeitungs-, Machine Learning- und Visualisierungstools | Jupyter Notebooks bietet weitere Visualisierungen, Machine Learning-Bibliotheken sowie Datenverarbeitungs- und Transformationsfeatures. Verwenden Sie beispielsweise Jupyter Notebooks mit den folgenden Python-Funktionen : - Pandas für Datenverarbeitung, Bereinigung und Engineering - Matplotlib, HoloViews und Plotly für die Visualisierung - NumPy und SciPy für die fortgeschrittene numerische und wissenschaftliche Verarbeitung - scikit-learn für maschinelles Lernen - TensorFlow, PyTorch und Keras für Deep Learning Tipp: Jupyter Notebooks unterstützt mehrere Sprachkernel. Verwenden Sie Magics , um Sprachen innerhalb desselben Notebooks zu mischen, indem Sie die Ausführung einzelner Zellen in einer anderen Sprache zulassen. Beispielsweise können Sie Daten mithilfe einer PowerShell-Skriptzelle abrufen, die Daten in Python verarbeiten und JavaScript zum Rendern einer Visualisierung verwenden. |
MSTIC-, Jupyter- und Python-Sicherheitstools
Das Microsoft Threat Intelligence Center (MSTIC) ist ein Team von Microsoft-Sicherheitsanalysten und -technikern, die Sicherheitserkennungen für mehrere Microsoft-Plattformen erstellen und an der Identifizierung und Untersuchung von Bedrohungen arbeiten.
MSTIC hat MSTICPy erstellt, eine Bibliothek für Informationssicherheitsuntersuchungen und -suchvorgänge in Jupyter Notebooks. MSTICPy bietet wiederverwendbare Funktionen, die darauf abzielen, die Erstellung von Notebooks zu beschleunigen und Benutzern das Lesen von Notebooks in Microsoft Sentinel zu erleichtern.
MSTICPy kann beispielsweise:
- Abfragen von Protokolldaten aus mehreren Quellen.
- Erweitern Sie die Daten mit Threat Intelligence, Geolocations und Azure Ressourcendaten.
- Extrahieren sie Aktivitätsindikatoren (IoA) aus Protokollen, und entpacken Sie codierte Daten.
- Führen Sie anspruchsvolle Analysen wie anomale Sitzungserkennung und Zeitreihenzerlegung durch.
- Visualisieren sie Daten mithilfe interaktiver Zeitachsen, Prozessstrukturen und mehrdimensionaler Morph-Diagramme.
MSTICPy enthält auch einige zeitsparende Notebook-Tools, z. B. Widgets, die Abfragezeitgrenzen festlegen, Elemente aus Listen auswählen und anzeigen und die Notebook-Umgebung konfigurieren.
Weitere Informationen finden Sie unter:
- MSTICPy-Dokumentation
- Jupyter Notebooks mit Microsoft Sentinel Hunting-Funktionen
- Erweiterte Konfigurationen für Jupyter Notebooks und MSTICPy in Microsoft Sentinel
Nützliche Operatoren und Funktionen
Hunting-Abfragen sind in Kusto-Abfragesprache (KQL) integriert, einer leistungsstarken Abfragesprache mit IntelliSense-Sprache, die Ihnen die Leistung und Flexibilität bietet, die Sie benötigen, um die Suche auf die nächste Ebene zu bringen.
Dies ist dieselbe Sprache, die von den Abfragen in Ihren Analyseregeln und an anderer Stelle in Microsoft Sentinel verwendet wird. Weitere Informationen finden Sie unter Referenz zur Abfragesprache.
Die folgenden Operatoren sind besonders hilfreich bei Microsoft Sentinel Hunting-Abfragen:
where : Filtert eine Tabelle nach der Teilmenge der Zeilen, die einem Prädikat entsprechen.
summarize : Erzeugt eine Tabelle, die den Inhalt der Eingabetabelle aggregiert.
join : Führt die Zeilen von zwei Tabellen zusammen, um eine neue Tabelle zu bilden, indem Werte der angegebenen Spalten aus jeder Tabelle übereinstimmen.
count : Gibt die Anzahl der Datensätze im Eingabedatensatz zurück.
top : Gibt die ersten N Datensätze zurück, die nach den angegebenen Spalten sortiert sind.
limit : Gibt bis zur angegebenen Anzahl von Zeilen zurück.
project : Wählen Sie die Spalten aus, die eingeschlossen, umbenannt oder gelöscht werden sollen, und fügen Sie neue berechnete Spalten ein.
extend : Erstellen Sie berechnete Spalten, und fügen Sie sie an das Resultset an.
makeset : Gibt ein dynamisches (JSON)-Array des Satzes unterschiedlicher Werte zurück, die Expr in der Gruppe verwendet.
find : Hier finden Sie Zeilen, die mit einem Prädikat in einer Gruppe von Tabellen übereinstimmen.
adx(): Diese Funktion führt ressourcenübergreifende Abfragen von Azure Data Explorer Datenquellen aus der Microsoft Sentinel Hunting-Benutzeroberfläche und Log Analytics durch. Weitere Informationen finden Sie unter ressourcenübergreifende Abfrage Azure Data Explorer mithilfe von Azure Monitor.
Verwandte Artikel
- Jupyter Notebooks mit Microsoft Sentinel Hunting-Funktionen
- Nachverfolgen von Daten während der Suche mit Microsoft Sentinel
- Lernen Sie ein Beispiel für die Verwendung von benutzerdefinierten Analyseregeln beim Überwachen von Zoom mit einem benutzerdefinierten Connector.