Explorar a investigação avançada de ameaças no Microsoft Defender XDR

A investigação avançada no Microsoft Defender XDR é uma ferramenta de investigação de ameaças baseada em consultas que lhe permite explorar até 30 dias de dados não processados. Você pode inspecionar proativamente os eventos na sua rede para localizar indicadores e entidades ameaçadoras.. O acesso flexível aos dados permite a busca irrestrita tanto por ameaças conhecidas como potenciais.

A busca avançada de ameaças permite que você procure proativamente por ameaças em:

• Dispositivos gerenciados pelo Microsoft Defender para Ponto de Extremidade.
• Emails processados pelo Microsoft 365.
• As atividades de aplicativos em nuvem, eventos de autenticação e atividades do controlador de domínio são controladas pelo Microsoft Cloud App Security e pelo Microsoft Defender for Identity.

Com esse nível de visibilidade, você pode procurar rapidamente por ameaças que atravessam as seções da sua rede. Essas ameaças incluem intrusões sofisticadas que:

• Chegar por e-mail ou na Web.
• Elevar privilégios locais.
• Adquirir credenciais de domínio com privilégios.
• Mova-se lateralmente pelos seus dispositivos.

Você pode usar as mesmas consultas de busca de ameaças para criar regras de detecção personalizadas. Essas regras são executadas automaticamente para verificar e responder a vários eventos e estados do sistema. Esses eventos incluem suspeita de atividade de violação, máquinas mal configuradas e outras descobertas.

Introdução à investigação avançada no Microsoft Defender XDR

A Microsoft recomenda que as organizações concluam vários passos para começar rapidamente a investigação avançada no Microsoft Defender XDR:

1. Aprenda a linguagem. A busca avançada de ameaças é baseada na linguagem da consulta Kusto, suportando a mesma sintaxe e operadores. Comece a aprender a linguagem de consulta executando a primeira consulta.
2. Saiba como usar os resultados da consulta. Saiba mais sobre os gráficos e as várias maneiras de exibir ou exportar seus resultados. Explore como você pode ajustar rapidamente as consultas, fazer drill down para obter informações mais detalhadas e executar ações de resposta.
3. Entenda o esquema. Obtenha uma compreensão de alto nível das tabelas no esquema e em suas colunas. Saiba onde procurar por dados ao criar suas consultas.
4. Obtenha dicas e exemplos dos especialistas. Treine gratuitamente com guias dos especialistas da Microsoft. Explore coleções de consultas predefinidas que abrangem diferentes cenários de exploração de ameaças.
5. Otimize as consultas e processe erros. Entenda como criar consultas eficientes e sem erros.
6. Crie regras de detecção personalizadas. Entenda como você pode usar as consultas de busca avançada de ameaças para acionar alertas e executar ações de resposta automaticamente.

Pode categorizar os dados de investigação avançados em dois tipos distintos, cada um consolidado de forma diferente.

• Dados de eventos ou atividades. Preenche as tabelas sobre alertas, eventos de segurança, eventos do sistema e avaliações de rotina. A busca avançada recebe esses dados quase imediatamente depois que os sensores que os coletam os transmitem para os serviços de nuvem correspondentes. Por exemplo, você pode consultar dados de eventos de sensores íntegros em estações de trabalho ou controladores de domínio quase imediatamente após eles estarem disponíveis no Microsoft Defender para Ponto de Extremidade e no Microsoft Defender para Identidade.
• Dados de entidade. Preenche tabelas com informações sobre usuários e dispositivos. Esses dados vêm de fontes de dados relativamente estáticas e fontes dinâmicas, como entradas do Active Directory e logs de eventos. Para fornecer dados novos, o sistema atualiza as tabelas com informações novas a cada 15 minutos. Também adiciona linhas mesmo que não as preencha totalmente. A cada 24 horas, o sistema combina os dados para inserir um registo que contém o conjunto de dados mais recente e abrangente sobre cada entidade.

Introdução à linguagem de consulta Kusto utilizada pela busca avançada de ameaças

A busca avançada baseia-se na linguagem de consulta Kusto. Uma consulta Kusto é uma solicitação somente leitura para processar dados e retornar resultados. Escreve o pedido em texto simples, utilizando um modelo de fluxo de dados concebido para facilitar a leitura, criação e automatização da sintaxe. A consulta utiliza entidades de esquema organizadas numa hierarquia semelhante à estrutura do esquema do SQL Server: bases de dados, tabelas e colunas.

Uma consulta Kusto consiste em uma sequência de instruções de consulta, delimitada por um ponto e vírgula. Pelo menos uma instrução deve ser uma instrução de expressão tabular, que é uma instrução que produz dados dispostos em uma malha de colunas e linhas semelhante a uma tabela. As instruções de expressão tabular da consulta produzem os resultados da consulta.

A sintaxe da instrução de expressão tabular tem o fluxo de dados tabular de um operador de consulta tabular para outro. O fluxo começa com a fonte de dados (por exemplo, uma tabela em um banco de dados ou um operador que produz dados) e, em seguida, flui através de um conjunto de operadores de transformação de dados. A instrução vincula os operadores juntamente com o delimitador pipe (|).

Por exemplo, considere a seguinte instrução de consulta que consulta o número de tempestades que ocorreram no estado da Flórida durante um determinado período de tempo. A consulta Kusto a seguir tem uma única instrução, que é uma instrução de expressão tabular. A instrução começa com uma referência a uma tabela chamada StormEvents (o banco de dados que hospeda essa tabela está implícito aqui e faz parte das informações de conexão). Em seguida, o sistema filtra os dados (linhas) dessa tabela pelo valor da coluna StartTime e, em seguida, filtra novamente com o valor da coluna Estado. A consulta retorna a contagem de linhas "sobreviventes".

Uma instrução de consulta Kusto utiliza os seguintes operadores:

• Where. Filtre uma tabela no subconjunto de linhas que atendem a um predicado.
• Summarize. Produza uma tabela que agrega o conteúdo da tabela de entrada.
• Junte-se. Mescle as linhas de duas tabelas para formar uma nova tabela, correspondendo valores das colunas especificadas de cada tabela.
• Count. Retorne o número de registros no conjunto de registros de entrada.
• Top. Retorne os primeiros registros N classificados pelas colunas especificadas.
• Limit. Retornar para o número especificado de linhas.
• Project. Selecione as colunas a serem incluídas, renomear ou descartar e inserir novas colunas computadas.
• Extend. Crie colunas calculadas e as acrescente ao conjunto de resultados.
• Makeset(). Retorna uma matriz dinâmica (JSON) do conjunto de valores distintos que leva no grupo.
• Find. Localizar linhas que correspondam a um predicado em um conjunto de tabelas.

A captura de tela a seguir mostra uma consulta de busca avançada de ameaças usando a linguagem de consulta Kusto. Essa consulta utiliza os seguintes filtros:

• Filtro de tempo para revisar apenas os registros dos sete dias anteriores.
• Filtre no Nome do Arquivo para conter apenas instâncias do Powershell.EXE.
• Filtrar na ProcessCommandLine.
• Projete apenas as colunas que você está interessado em explorar e limite os resultados a 100.

Para garantir o desempenho das consultas, as organizações devem implementar as seguintes melhores práticas ao escrever instruções de consulta Kusto:

• Aplicar filtros primeiro. O Kusto otimiza altamente a utilização de filtros de tempo.
• Use a palavra-chave "tem" em vez de "contém" ao procurar tokens completos.
• Use Examine uma coluna específica, em vez de usar a pesquisa de texto completo em todas as colunas.
• Ao fazer uma junção entre duas tabelas, escolha a tabela com menos linhas para ser a primeira (à esquerda).
• Ao fazer uma junção entre duas tabelas, o projeto só precisa de colunas de ambos os lados da junção.

Aqui está um exemplo de uma consulta Kusto de busca avançada de ameaças. Esta consulta procura eventos de criação de ficheiros em que os ficheiros criados tinham extensões de ficheiro suspeitas:

Verificação de conhecimentos

Escolha a melhor resposta para as perguntas abaixo.