Erkunden der erweiterten Bedrohungssuche in Microsoft Defender XDR

Die erweiterte Suche in Microsoft Defender XDR ist ein abfragebasiertes Tool zur Bedrohungssuche, mit dem Sie rohe Daten von bis zu 30 Tagen untersuchen können. Sie können Ereignisse in Ihrem Netzwerk proaktiv prüfen, um Bedrohungsindikatoren und -entitäten zu ermitteln. Der flexible Zugriff auf Daten ermöglicht die uneingeschränkte Suche nach bekannten und potenziellen Bedrohungen.

Mit der erweiterten Suche können Sie proaktiv nach Bedrohungen suchen:

• Auf über Microsoft Defender for Endpoint verwalteten Geräten
• In von Microsoft 365 verarbeiteten E-Mails
• In Cloud-App-Aktivitäten, Authentifizierungsereignissen und Domänencontrolleraktivitäten, die von Microsoft Cloud App Security und Microsoft Defender for Identity nachverfolgt werden.

Mit einem solchen Grad an Transparenz können Sie schnell nach Bedrohungen suchen, die sich durch Bereiche Ihres Netzwerks bewegen. Zu diesen Bedrohungen gehören komplexe Eindringversuche, die:

• Kommen Sie per E-Mail oder im Web an.
• Erhöhen Sie lokale Berechtigungen.
• Abrufen von Anmeldeinformationen für privilegierte Domänen.
• Bewegen Sie sich seitlich auf Ihren Geräten.

Sie können die gleichen Abfragen für die Bedrohungssuche verwenden, um benutzerdefinierte Erkennungsregeln zu erstellen. Diese Regeln werden automatisch ausgeführt, um nach verschiedenen Ereignissen und Systemzuständen zu suchen und auf diese zu reagieren. Zu diesen Ereignissen gehören verdächtige Sicherheitsverletzungen, falsch konfigurierte Computer und andere Ergebnisse.

Erste Schritte mit der erweiterten Suche in Microsoft Defender XDR

Microsoft empfiehlt Organisationen, mehrere Schritte auszuführen, um schnell mit der erweiterten Suche in Microsoft Defender XDR zu beginnen:

1. Die Sprache lernen Die erweiterte Suche basiert auf der Kusto-Abfragesprache und unterstützt dieselbe Syntax und dieselben Operatoren. Beginnen Sie, die Abfragesprache zu erlernen, indem Sie die erste Abfrage ausführen.
2. Lernen, wie die Ergebnisse verwendet werden Machen Sie sich mit Diagrammen und verschiedenen Möglichkeiten vertraut, wie Sie Ihre Ergebnisse anzeigen oder exportieren können. Erkunden Sie, wie Sie Abfragen schnell optimieren, einen Drilldown ausführen können, um umfangreichere Informationen zu erhalten und Gegenmaßnahmen zu ergreifen.
3. Das Schema verstehen Verschaffen Sie sich einen allgemeinen Überblick über die Tabellen im Schema und die zugehörigen Spalten. Lernen Sie, wo Sie beim Erstellen von Abfragen nach Daten suchen sollten.
4. Tipps und Beispiele von Experten nutzen Üben Sie kostenlos mit Leitfäden von Microsoft-Experten. Erkunden Sie Sammlungen vordefinierten Abfragen, die unterschiedliche Bedrohungssuchszenarien umfassen.
5. Optimieren von Abfragen und Behandeln von Fehlern Lernen Sie, wie Sie effiziente und fehlerfreie Abfragen erstellen.
6. Regeln für die benutzerdefinierte Erkennung erstellen Lernen Sie, wie Sie Abfragen zur erweiterten Bedrohungssuche verwenden können, um Warnungen auszulösen und automatisch Gegenmaßnahmen zu ergreifen.

Sie können erweiterte Huntingdaten in zwei verschiedene Typen kategorisieren, die jeweils unterschiedlich konsolidiert sind.

• Ereignis- oder Aktivitätsdaten. Werden in Tabellen eingespeist zu Warnungen, Sicherheitsereignissen, Systemereignissen und Routinebewertungen. Die erweiterte Suche empfängt diese Daten fast unmittelbar nach den Sensoren, die sie erfassen, und überträgt sie erfolgreich an die entsprechenden Clouddienste. Beispielsweise können Sie Ereignisdaten von fehlerfreien Sensoren auf Arbeitsstationen oder Domänencontrollern nahezu sofort abfragen, nachdem sie in Microsoft Defender für Endpunkt und Microsoft Defender for Identity verfügbar sind.
• Entitätsdaten. Werden in Tabellen eingespeist mit Informationen zu Benutzern und Geräten. Diese Daten stammen sowohl aus relativ statischen Datenquellen als auch aus dynamischen Quellen, z. B. Active Directory-Einträgen und Ereignisprotokollen. Um neue Daten bereitzustellen, aktualisiert das System tabellen alle 15 Minuten mit neuen Informationen. Außerdem werden Zeilen hinzugefügt, auch wenn sie nicht vollständig aufgefüllt werden. Alle 24 Stunden kombiniert das System die Daten, um einen Datensatz einzufügen, der das neueste, umfassendste Dataset zu jeder Entität enthält.

Einführung in die Kusto-Abfragesprache, die von der erweiterten Suche verwendet wird

Die erweiterte Suche basiert auf der Kusto-Abfragesprache. Eine Kusto-Abfrage ist eine schreibgeschützte Anfrage zur Verarbeitung von Daten und zur Rückgabe von Ergebnissen. Sie schreiben die Anforderung in Nur-Text und verwenden ein Datenflussmodell, das entwickelt wurde, um die Syntax einfach zu lesen, zu erstellen und zu automatisieren. Die Abfrage verwendet Schemaentitäten, die in einer Hierarchie ähnlich dem Schemaentwurf von SQL Server organisiert sind: Datenbanken, Tabellen und Spalten.

Eine Kusto-Abfrage besteht aus einer Sequenz von Abfrageanweisungen, die durch ein Semikolon getrennt sind. Mindestens eine Anweisung muss ein tabellarischer Ausdruck sein. Dabei handelt es sich um eine Anweisung, die Daten erzeugt, die in einem tabellenähnlichen Raster aus Spalten und Zeilen angeordnet sind. Die Tabellenausdrucksanweisungen der Abfrage liefern die Ergebnisse der Abfrage.

Die Syntax der tabellarischen Ausdrucksanweisung weist einen tabellarischen Datenfluss von einem tabellarischen Abfrageoperator zu einem anderen auf. Der Datenfluss beginnt bei der Datenquelle (z. B. einer Tabelle in einer Datenbank oder einem Operator, der Daten erzeugt) und durchläuft dann eine Reihe von Datentransformationsoperatoren. Die -Anweisung bindet die Operatoren zusammen mit dem Pipetrennzeichen (|).

Betrachten Sie z. B. die folgende Abfrageanweisung, die die Anzahl der Stürme abfragt, die während eines bestimmten Zeitraums in Florida aufgetreten sind. Die folgende Kusto-Abfrage weist eine einzelne Anweisung auf, bei der es sich um eine tabellarische Ausdrucksanweisung handelt. Die Anweisung beginnt mit einem Verweis auf eine Tabelle namens "StormEvents" (die Datenbank, die diese Tabelle enthält, ist hier implizit und Teil der Verbindungsinformationen). Das System filtert dann die Daten (Zeilen) für diese Tabelle nach dem Wert der Spalte StartTime und filtert dann erneut mithilfe des Werts der Spalte State. Die Abfrage gibt dann die Anzahl der "verbleibenden" Zeilen zurück.

Eine Kusto-Abfrageanweisung verwendet die folgenden Operatoren:

• Where: Filtern einer Tabelle auf die Teilmenge von Zeilen, die einem Prädikat entsprechen.
• Summarize: Erstellen einer Tabelle, in der die Inhalte der Eingabetabelle gesammelt werden.
• Beitreten. Zusammenführen der Zeilen von zwei Tabellen, um eine neue Tabelle zu erstellen, indem Werte der angegebenen Spalten aus jeder Tabelle zugeordnet werden.
• Count: Zurückgeben der Anzahl von Datensätzen im Eingabedatensatz.
• Top: Zurückgeben der ersten n Einträge, sortiert anhand der angegebenen Spalten.
• Limit: Zurückkehren nach oben zur angegebenen Zeilenanzahl.
• Project: Auswählen der Spalten, um neue berechnete Spalten aufzunehmen, umzubenennen, zu löschen oder einzufügen.
• Extend: Erstellen von berechneten Spalten und Anfügen an das Resultset.
• Makeset(): Gibt ein dynamisches Array (JSON) des Satzes unterschiedlicher Werte zurück, die in die Gruppe aufgenommen werden.
• Find: Suchen von Zeilen, die mit einem Prädikat über eine Reihe von Tabellen hinweg übereinstimmen.

Der folgende Screenshot zeigt eine erweiterte Suchabfrage mithilfe der Kusto-Abfragesprache. In dieser Abfrage werden die folgenden Filter verwendet:

• Zeitfilter, um nur Datensätze aus den letzten sieben Tagen zu überprüfen.
• Dateinamensfilter (FileName), sodass nur Instanzen von Powershell.exe enthalten sind.
• Filter der Prozessbefehlszeile (ProcessCommandLine).
• Es werden nur die Spalten angezeigt, die von Interesse sind, und die Ergebnisse werden auf 100 Einträge begrenzt.

Um die Abfrageleistung sicherzustellen, sollten Organisationen beim Schreiben von Kusto-Abfrageanweisungen die folgenden bewährten Methoden implementieren:

• Wenden Sie zuerst Filter an. Kusto optimiert die Verwendung von Zeitfiltern in hohem Maße.
• Verwenden Sie das Schlüsselwort "has" statt "contains", wenn Sie nach vollständigen Token suchen.
• Verwenden Sie die Suche in einer bestimmten Spalte statt Volltextsuchen für alle Spalten.
• Wählen Sie beim Verknüpfen zweier Tabellen die Tabelle mit weniger Zeilen als erstes aus (ganz links).
• Verwenden Sie beim Verknüpfen zweier Tabellen nur die benötigten Spalten von beiden Seiten der Verknüpfung.

Hier ist ein Beispiel für eine erweiterte Kusto-Abfrage zur Bedrohungssuche. Diese Abfrage sucht nach Dateierstellungsereignissen, bei denen die erstellten Dateien verdächtige Dateierweiterungen aufweisen:

Wissenscheck

Wählen Sie für jede der folgenden Fragen die beste Antwort aus.