Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Als beveiligingsanalisten en -onderzoekers wilt u proactief zoeken naar beveiligingsrisico's, maar uw verschillende systemen en beveiligingsapparaten genereren bergen gegevens die moeilijk te parseren en te filteren zijn in zinvolle gebeurtenissen. Microsoft Sentinel beschikt over krachtige opsporings- en queryhulpprogramma's om beveiligingsrisico's in de gegevensbronnen van uw organisatie op te sporen. Om beveiligingsanalisten te helpen proactief te zoeken naar nieuwe afwijkingen die niet worden gedetecteerd door uw beveiligings-apps of zelfs niet door uw geplande analyseregels, helpen opsporingsquery's u bij het stellen van de juiste vragen om problemen op te sporen met de gegevens die u al in uw netwerk hebt.
Een kant-en-klare query biedt bijvoorbeeld gegevens over de meest ongebruikelijke processen die op uw infrastructuur worden uitgevoerd. U wilt niet elke keer dat ze worden uitgevoerd een waarschuwing. Ze kunnen volledig onschuldig zijn. Maar misschien wilt u de query af en toe bekijken om te zien of er iets ongebruikelijks is.
Belangrijk
Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.
Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.
Opmerking
Microsoft Sentinel livestreams zijn langer beschikbaar. Gebruik KQL-taken, analyseregels of playbooks om query's en meldingen te automatiseren. Deze alternatieven bieden permanente queryresultaten en ondersteuning voor verschillende berichtenplatforms.
Hunts in Microsoft Sentinel (preview)
Zoek met opsporingen in Microsoft Sentinel naar niet-gedetecteerde bedreigingen en schadelijk gedrag door een hypothese te maken, gegevens te doorzoeken, die hypothese te valideren en te handelen wanneer dat nodig is. Maak nieuwe analytische regels, bedreigingsinformatie en incidenten op basis van uw bevindingen.
| Mogelijkheden | Beschrijving |
|---|---|
| Een hypothese definiëren | Als u een hypothese wilt definiëren, kunt u inspiratie vinden op basis van de MITRE-kaart, recente opsporingsqueryresultaten, content hub-oplossingen of uw eigen aangepaste zoekopdrachten genereren. |
| Query's en bladwijzerresultaten onderzoeken | Nadat u een hypothese hebt gedefinieerd, gaat u naar het tabblad OpsporingspaginaQuery's . Selecteer de query's die betrekking hebben op uw hypothese en Nieuwe opsporing om aan de slag te gaan. Voer opsporingsgerelateerde query's uit en onderzoek de resultaten met behulp van de logboekervaring. Voeg resultaten rechtstreeks toe aan uw zoekopdracht om aantekeningen te maken bij uw bevindingen, entiteits-id's te extraheren en relevante query's te behouden. |
| Onderzoeken en actie ondernemen | Onderzoek nog dieper met behulp van UEBA-entiteitspagina's. Entiteitsspecifieke playbooks uitvoeren op entiteiten met bladwijzers. Gebruik ingebouwde acties om nieuwe analyseregels, bedreigingsindicatoren en incidenten te maken op basis van bevindingen. |
| Uw resultaten bijhouden | Noteer de resultaten van uw jacht. Houd bij of uw hypothese is gevalideerd of niet. Laat gedetailleerde notities achter in de opmerkingen. Hunts koppelt automatisch nieuwe analytische regels en incidenten. Houd de algehele impact van uw opsporingsprogramma bij met de metrische balk. |
Zie End-to-end proactieve opsporing van bedreigingen uitvoeren in Microsoft Sentinel om aan de slag te gaan.
Opsporingsquery's
Selecteer in Microsoft Sentinel in Defender de optieOpsporing van bedreigingen> en vervolgens het tabblad Query's om al uw query's of een geselecteerde subset uit te voeren. Op het tabblad Query's worden alle opsporingsquery's weergegeven die zijn geïnstalleerd met beveiligingsoplossingen van de inhoudshub, en eventuele extra query's die u hebt gemaakt of gewijzigd. Elke query bevat een beschrijving van wat er wordt gezocht en op wat voor soort gegevens wordt uitgevoerd. Deze query's worden gegroepeerd op hun MITRE ATT&CK-tactieken. De pictogrammen bovenaan categoriseren het type bedreiging, zoals initiële toegang, persistentie en exfiltratie. MITRE ATT&CK-technieken worden weergegeven in de kolom Technieken en beschrijven het specifieke gedrag dat door de opsporingsquery wordt geïdentificeerd.
Gebruik het tabblad Query's om te bepalen waar u de opsporing wilt starten, door te kijken naar het aantal resultaten, pieken of de wijziging in het aantal resultaten gedurende een periode van 24 uur. Sorteren en filteren op favorieten, gegevensbron, MITRE ATT&CK-tactiek of -techniek, resultaten, resultaten delta of resultaat delta percentage. Bekijk query's waarvoor nog steeds gegevensbronnen zijn verbonden en krijg aanbevelingen voor het inschakelen van deze query's.
In de volgende tabel worden gedetailleerde acties beschreven die beschikbaar zijn via het opsporingsdashboard:
| Actie | Omschrijving |
|---|---|
| Zien hoe query's van toepassing zijn op uw omgeving | Selecteer de knop Alle query's uitvoeren of selecteer een subset query's met behulp van de selectievakjes links van elke rij en selecteer de knop Geselecteerde query's uitvoeren . Het uitvoeren van uw query's kan enkele seconden tot vele minuten duren, afhankelijk van het aantal query's dat is geselecteerd, het tijdsbereik en de hoeveelheid gegevens die wordt opgevraagd. |
| De query's weergeven die resultaten hebben geretourneerd | Nadat uw query's zijn uitgevoerd, bekijkt u de query's die resultaten hebben geretourneerd met behulp van het filter Resultaten : - Sorteer om te zien welke query's de meeste of het minste resultaten hebben. - Bekijk de query's die helemaal niet actief zijn in uw omgeving door N.v.t. te selecteren in het filter Resultaten . - Beweeg de muisaanwijzer over het infopictogram (i) naast de N.v.v. om te zien welke gegevensbronnen nodig zijn om deze query actief te maken. |
| Pieken in uw gegevens identificeren | Identificeer pieken in de gegevens door te sorteren of te filteren op resultatendelta of resultaatdeltapercentage. Vergelijkt de resultaten van de afgelopen 24 uur met de resultaten van de afgelopen 24-48 uur, waarbij grote verschillen of relatief verschil in volume worden gemarkeerd. |
| Query's weergeven die zijn toegewezen aan de MITRE ATT&CK-tactiek | De MITRE ATT&CK-tactiekbalk bovenaan de tabel vermeldt hoeveel query's zijn toegewezen aan elke MITRE ATT&CK-tactiek. De tactiekbalk wordt dynamisch bijgewerkt op basis van de huidige set filters die zijn toegepast. Hiermee kunt u zien welke MITRE ATT&CK-tactieken worden weergegeven wanneer u filtert op een bepaald aantal resultaten, een hoge resultaat delta, N.v.v. resultaten of een andere set filters. |
| Query's weergeven die zijn toegewezen aan MITRE ATT&CK-technieken | Query's kunnen ook worden toegewezen aan MITRE ATT&CK-technieken. U kunt filteren of sorteren op MITRE ATT&CK-technieken met behulp van het filter Techniek . Door een query te openen, kunt u de techniek selecteren om de MITRE ATT-&CK-beschrijving van de techniek te zien. |
| Een query opslaan in uw favorieten | Query's die zijn opgeslagen in uw favorieten, worden automatisch uitgevoerd wanneer de opsporingspagina wordt geopend. U kunt uw eigen opsporingsquery maken of een bestaande opsporingsquerysjabloon klonen en aanpassen. |
| Query's uitvoeren | Selecteer Query uitvoeren op de pagina met details van de opsporingsquery om de query rechtstreeks vanaf de opsporingspagina uit te voeren. Het aantal overeenkomsten wordt weergegeven in de tabel in de kolom Resultaten . Bekijk de lijst met opsporingsquery's en de bijbehorende overeenkomsten. |
| Een onderliggende query controleren | Voer een snelle beoordeling van de onderliggende query uit in het detailvenster van de query. U kunt de resultaten bekijken door te klikken op de koppeling Queryresultaten weergeven (onder het queryvenster) of op de knop Resultaten weergeven (onderaan het deelvenster). De query opent de pagina Logboeken (Log Analytics) en onder de query kunt u de overeenkomsten voor de query bekijken. |
Gebruik query's voor, tijdens en na een inbreuk om de volgende acties uit te voeren:
Voordat er een incident optreedt: wachten op detecties is niet voldoende. Onderneem proactieve actie door ten minste eenmaal per week query's voor het opsporen van bedreigingen uit te voeren die betrekking hebben op de gegevens die u in uw werkruimte opneemt.
Resultaten van uw proactieve opsporing bieden vroegtijdig inzicht in gebeurtenissen die kunnen bevestigen dat een inbreuk wordt uitgevoerd, of op zijn minst zwakkere gebieden in uw omgeving laten zien die risico lopen en aandacht nodig hebben.
Tijdens een inbreuk: houd gebeurtenissen actief bij om de volgende actie van een bedreigingsacteur te bepalen, meldingen naar de juiste personen te verzenden en actie te ondernemen om een aanval te stoppen.
- Gebruik KQL-taken om het gedrag van aanvallers te bewaken en queryresultaten in de Microsoft Sentinel Data Lake te behouden.
- Analyseer persistente resultaten met hulpprogramma's zoals Security Copilot, Jupyter-notebooks, Geavanceerde opsporing en KQL-query's.
- Meldingen verzenden naar Teams, e-mail en andere berichtenplatforms.
Na een inbreuk: Nadat een inbreuk of een incident is opgetreden, moet u ervoor zorgen dat u uw dekking en inzicht verbetert om vergelijkbare incidenten in de toekomst te voorkomen.
Wijzig uw bestaande query's of maak nieuwe query's om te helpen bij vroege detectie, op basis van inzichten die zijn verkregen door uw inbreuk of incident.
Als u een opsporingsquery hebt ontdekt of gemaakt die waardevolle inzichten biedt in mogelijke aanvallen, maakt u aangepaste detectieregels op basis van die query en geeft u deze inzichten weer als waarschuwingen voor uw beveiligingsincidenten.
Bekijk de resultaten van de query en selecteer Nieuwe waarschuwingsregel>Microsoft Sentinel waarschuwing maken. Gebruik de wizard Analyseregel om een nieuwe regel te maken op basis van uw query. Zie Aangepaste analyseregels maken om bedreigingen te detecteren voor meer informatie.
Exporteer bevindingen en koppel ze aan specifieke cases voor verbeterde SOC-samenwerking.
U kunt ook opsporingsquery's maken voor gegevens die zijn opgeslagen in Azure Data Explorer. Zie voor meer informatie details over het maken van query's voor meerdere resources in de documentatie Azure Controleren.
Als u meer query's en gegevensbronnen wilt vinden, gaat u naar de hub Inhoud in Microsoft Sentinel of raadpleegt u communityresources zoals Microsoft Sentinel GitHub-opslagplaats.
Out-of-the-box opsporingsquery's
Veel beveiligingsoplossingen bevatten out-of-the-box opsporingsquery's. Nadat u een oplossing hebt geïnstalleerd die opsporingsquery's van de hub Inhoud bevat, worden de kant-en-klare query's voor die oplossing weergegeven op het tabblad Query's opsporen . Query's worden uitgevoerd op gegevens die zijn opgeslagen in logboektabellen, zoals voor het maken van processen, DNS-gebeurtenissen of andere gebeurtenistypen.
Veel beschikbare opsporingsquery's worden continu ontwikkeld door Beveiligingsonderzoekers van Microsoft. Ze voegen nieuwe query's toe aan beveiligingsoplossingen en stemmen bestaande query's af om u een toegangspunt te bieden om te zoeken naar nieuwe detecties en aanvallen.
Aangepaste opsporingsquery's
Maak of bewerk een query en sla deze op als uw eigen query of deel deze met gebruikers die zich in dezelfde tenant bevinden. Maak in Microsoft Sentinel een aangepaste opsporingsquery op het tabbladOpsporingsquery's>.
Zie Aangepaste opsporingsquery's maken in Microsoft Sentinel voor meer informatie.
Bladwijzers om gegevens bij te houden
Het opsporen van bedreigingen vereist doorgaans het controleren van bergen logboekgegevens op zoek naar bewijs van kwaadaardig gedrag. Tijdens dit proces vinden onderzoekers gebeurtenissen die ze willen onthouden, opnieuw bekijken en analyseren als onderdeel van het valideren van mogelijke hypothesen en het begrijpen van het volledige verhaal van een compromis.
Tijdens het opsporings- en onderzoeksproces kunt u queryresultaten tegenkomen die er ongebruikelijk of verdacht uitzien. Voeg een bladwijzer toe aan deze items om er in de toekomst naar terug te verwijzen, bijvoorbeeld bij het maken of verrijken van een incident voor onderzoek. Gebeurtenissen zoals mogelijke hoofdoorzaken, indicatoren van inbreuk of andere belangrijke gebeurtenissen moeten als bladwijzer worden weergegeven. Als een sleutelgebeurtenis die u hebt opgegeven ernstig genoeg is om een onderzoek te rechtvaardigen, escaleert u deze naar een incident.
Schakel in de resultaten de selectievakjes in voor de rijen die u wilt behouden en selecteer Bladwijzer toevoegen. Hiermee wordt voor elke gemarkeerde rij een record gemaakt, een bladwijzer, die de rijresultaten en de query bevat waarmee de resultaten zijn gemaakt. U kunt uw eigen tags en notities toevoegen aan elke bladwijzer.
- Net als bij geplande analyseregels kunt u uw bladwijzers verrijken met entiteitstoewijzingen om meerdere entiteitstypen en -id's te extraheren, en MITRE ATT&CK-toewijzingen om bepaalde tactieken en technieken te koppelen.
- Bladwijzers gebruiken standaard dezelfde entiteit en MITRE ATT&CK-techniektoewijzingen als de opsporingsquery die de resultaten met bladwijzers heeft geproduceerd.
Bekijk alle resultaten met bladwijzers door te klikken op het tabblad Bladwijzers op de hoofdpagina Opsporing . Voeg tags toe aan bladwijzers om ze te classificeren voor filteren. Als u bijvoorbeeld een aanvalscampagne onderzoekt, kunt u een tag voor de campagne maken, de tag toepassen op relevante bladwijzers en vervolgens alle bladwijzers filteren op basis van de campagne.
Onderzoek één vondst met bladwijzers door de bladwijzer te selecteren en vervolgens op Onderzoeken te klikken in het detailvenster om de onderzoekservaring te openen. Bekijk, onderzoek en communiceer uw bevindingen visueel met behulp van een interactief entiteitsgrafiekdiagram en een tijdlijn. U kunt ook rechtstreeks een vermelde entiteit selecteren om de bijbehorende entiteitspagina van die entiteit weer te geven.
U kunt ook een incident maken op basis van een of meer bladwijzers of een of meer bladwijzers toevoegen aan een bestaand incident. Schakel links van de bladwijzers die u wilt gebruiken een selectievakje in en selecteer vervolgens Incidentacties>Nieuw incident maken of Toevoegen aan bestaand incident. Het incident op dezelfde manier sorteren en onderzoeken.
Bekijk uw gegevens met bladwijzers rechtstreeks in de tabel HuntingBookmark in uw Log Analytics-werkruimte. Bijvoorbeeld:
Als u bladwijzers uit de tabel bekijkt, kunt u gegevens met bladwijzers filteren, samenvatten en samenvoegen met andere gegevensbronnen, zodat u eenvoudig kunt zoeken naar bevestigend bewijs.
Als u bladwijzers wilt gaan gebruiken, raadpleegt u Gegevens bijhouden tijdens het opsporen met Microsoft Sentinel.
Notebooks voor onderzoek
Wanneer uw opsporing en onderzoeken complexer worden, gebruikt u Microsoft Sentinel notebooks om uw activiteiten te verbeteren met machine learning, visualisaties en gegevensanalyse.
Notebooks bieden een soort virtuele sandbox, compleet met een eigen kernel, waar u een volledig onderzoek kunt uitvoeren. Uw notitieblok kan de onbewerkte gegevens, de code die u op die gegevens uitvoert, de resultaten en de bijbehorende visualisaties bevatten. Sla uw notitieblokken op zodat u deze met anderen kunt delen en opnieuw kunt gebruiken in uw organisatie.
Notebooks kunnen handig zijn wanneer uw opsporing of onderzoek te groot wordt om gemakkelijk te onthouden, details te bekijken of wanneer u query's en resultaten moet opslaan. Om u te helpen notitieblokken te maken en te delen, biedt Microsoft Sentinel Jupyter Notebooks, een opensource-omgeving voor interactieve ontwikkeling en gegevensmanipulatie, rechtstreeks geïntegreerd in de pagina Microsoft Sentinel Notebooks.
Zie voor meer informatie:
- Gebruik Jupyter Notebook om te zoeken naar beveiligingsrisico's
- De documentatie voor Jupyter Project
- Inleidende documentatie voor Jupyter.
- Het Infosec Jupyter Book
- Echte Python-zelfstudies
In de volgende tabel worden enkele methoden beschreven voor het gebruik van Jupyter-notebooks om uw processen in Microsoft Sentinel te helpen:
| Methode | Beschrijving |
|---|---|
| Gegevenspersistentie, herhaalbaarheid en backtracking | Als u met veel query's en resultatensets werkt, hebt u waarschijnlijk een aantal impasses. U moet bepalen welke query's en resultaten u wilt behouden en hoe u de nuttige resultaten in één rapport wilt verzamelen. Gebruik Jupyter Notebooks om query's en gegevens op te slaan terwijl u werkt, gebruik variabelen om query's opnieuw uit te voeren met verschillende waarden of datums, of sla uw query's op om opnieuw uit te voeren bij toekomstig onderzoek. |
| Scripting en programmering | Gebruik Jupyter Notebooks om programmeerprogramma's toe te voegen aan uw query's, waaronder: - Declaratieve talen, zoals Kusto-querytaal (KQL) of SQL, om uw logica te coderen in één, mogelijk complexe instructie. - Procedurele programmeertalen, om logica in een reeks stappen uit te voeren. Splits uw logica op in stappen om tussenliggende resultaten te bekijken en fouten op te sporen, functionaliteit toe te voegen die mogelijk niet beschikbaar is in de querytaal en gedeeltelijke resultaten opnieuw te gebruiken in latere verwerkingsstappen. |
| Koppelingen naar externe gegevens | Hoewel Microsoft Sentinel tabellen de meeste telemetrie- en gebeurtenisgegevens bevatten, kan Jupyter Notebooks een koppeling maken naar alle gegevens die toegankelijk zijn via uw netwerk of vanuit een bestand. Met Jupyter Notebooks kunt u gegevens opnemen zoals: - Gegevens in externe services die u niet bezit, zoals geolocatiegegevens of bronnen voor bedreigingsinformatie - Gevoelige gegevens die alleen binnen uw organisatie worden opgeslagen, zoals human resource-databases of lijsten met hoogwaardige activa - Gegevens die u nog niet hebt gemigreerd naar de cloud. |
| Gespecialiseerde hulpprogramma's voor gegevensverwerking, machine learning en visualisatie | Jupyter Notebooks biedt meer visualisaties, machine learning-bibliotheken en functies voor gegevensverwerking en transformatie. Gebruik bijvoorbeeld Jupyter Notebooks met de volgende Python-mogelijkheden : - pandas voor gegevensverwerking, opschoning en engineering - Matplotlib, HoloViews en Plotly voor visualisatie - NumPy en SciPy voor geavanceerde numerieke en wetenschappelijke verwerking - scikit-learn voor machine learning - TensorFlow, PyTorch en Keras voor deep learning Tip: Jupyter Notebooks ondersteunt kernels met meerdere talen. Gebruik magics om talen in hetzelfde notitieblok te combineren door de uitvoering van afzonderlijke cellen in een andere taal toe te staan. U kunt bijvoorbeeld gegevens ophalen met behulp van een PowerShell-scriptcel, de gegevens verwerken in Python en JavaScript gebruiken om een visualisatie weer te geven. |
Beveiligingshulpprogramma's voor MSTIC, Jupyter en Python
Het Microsoft Threat Intelligence Center (MSTIC) is een team van Microsoft-beveiligingsanalisten en -technici die beveiligingsdetecties voor verschillende Microsoft-platforms ontwerpen en werken aan bedreigingsidentificatie en -onderzoek.
MSTIC heeft MSTICPy gebouwd, een bibliotheek voor informatiebeveiligingsonderzoek en opsporing in Jupyter Notebooks. MSTICPy biedt herbruikbare functionaliteit die tot doel heeft het maken van notebooks te versnellen en het gemakkelijker te maken voor gebruikers om notitieblokken te lezen in Microsoft Sentinel.
MSTICPy kan bijvoorbeeld:
- Query's uitvoeren op logboekgegevens uit meerdere bronnen.
- Verrijk de gegevens met bedreigingsinformatie, geolocaties en Azure resourcegegevens.
- Pak Indicatoren van activiteit (IoA) uit logboeken en pak gecodeerde gegevens uit.
- Geavanceerde analyses uitvoeren, zoals afwijkende sessiedetectie en tijdreeksontleding.
- Gegevens visualiseren met behulp van interactieve tijdlijnen, processtructuren en multidimensionale morphingdiagrammen.
MSTICPy bevat ook enkele tijdbesparende notebookhulpprogramma's, zoals widgets die querytijdgrenzen instellen, items uit lijsten selecteren en weergeven en de notebookomgeving configureren.
Zie voor meer informatie:
- MSTICPy-documentatie
- Jupyter-notebooks met Microsoft Sentinel opsporingsmogelijkheden
- Geavanceerde configuraties voor Jupyter-notebooks en MSTICPy in Microsoft Sentinel
Nuttige operators en functies
Opsporingsquery's zijn gebouwd in Kusto-querytaal (KQL), een krachtige querytaal met IntelliSense-taal die u de kracht en flexibiliteit biedt die u nodig hebt om de opsporing naar een hoger niveau te tillen.
Dit is dezelfde taal die wordt gebruikt door de query's in uw analyseregels en elders in Microsoft Sentinel. Zie Naslaginformatie over querytaal voor meer informatie.
De volgende operatoren zijn met name handig bij het Microsoft Sentinel opsporingsquery's:
where - Filter een tabel op de subset van rijen die voldoen aan een predicaat.
samenvatten : maak een tabel die de inhoud van de invoertabel samenvoegt.
join : voeg de rijen van twee tabellen samen om een nieuwe tabel te vormen door de waarden van de opgegeven kolommen uit elke tabel te vergelijken.
count : retourneert het aantal records in de invoerrecordset.
top : retourneer de eerste N-records die zijn gesorteerd op de opgegeven kolommen.
limit : retourneer tot het opgegeven aantal rijen.
project : selecteer de kolommen die u wilt opnemen, de naam ervan wilt wijzigen of verwijderen en nieuwe berekende kolommen wilt invoegen.
uitbreiden : maak berekende kolommen en voeg deze toe aan de resultatenset.
makeset : retourneert een dynamische matrix (JSON) van de set afzonderlijke waarden die Expr in de groep gebruikt
zoeken : rijen zoeken die overeenkomen met een predicaat in een set tabellen.
adx() - Met deze functie worden query's voor meerdere resources uitgevoerd op Azure Data Explorer gegevensbronnen vanuit de Microsoft Sentinel opsporingservaring en Log Analytics. Zie Query's voor meerdere resources Azure Data Explorer met behulp van Azure Monitor voor meer informatie.
Verwante artikelen
- Jupyter-notebooks met Microsoft Sentinel opsporingsmogelijkheden
- Gegevens bijhouden tijdens het opsporen met Microsoft Sentinel
- Leer van een voorbeeld van het gebruik van aangepaste analyseregels bij het bewaken van Zoom met een aangepaste connector.