Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Som säkerhetsanalytiker och utredare vill du vara proaktiv när det gäller att leta efter säkerhetshot, men dina olika system och säkerhetsutrustning genererar berg av data som kan vara svåra att parsa och filtrera till meningsfulla händelser. Microsoft Sentinel har kraftfulla sök- och frågeverktyg för jakt på säkerhetshot i organisationens datakällor. För att hjälpa säkerhetsanalytiker att proaktivt leta efter nya avvikelser som inte identifieras av dina säkerhetsappar eller till och med av dina schemalagda analysregler, hjälper jaktfrågor dig att ställa rätt frågor för att hitta problem i de data som du redan har i nätverket.
En out-of-the-box-fråga innehåller till exempel data om de mest ovanliga processerna som körs på din infrastruktur. Du vill inte ha en avisering varje gång de körs. De kan vara helt oskyldiga. Men du kanske vill ta en titt på frågan ibland för att se om det finns något ovanligt.
Viktigt
Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen.
Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender.
Obs!
Microsoft Sentinel livestreams är längre tillgängliga. Om du vill automatisera frågor och meddelanden använder du KQL-jobb, analysregler eller spelböcker. Dessa alternativ erbjuder beständiga frågeresultat och stöd för olika meddelandeplattformar.
Jakter i Microsoft Sentinel (förhandsversion)
Med jakter i Microsoft Sentinel kan du söka efter oupptäckta hot och skadliga beteenden genom att skapa en hypotes, söka igenom data, validera hypotesen och agera när det behövs. Skapa nya analysregler, hotinformation och incidenter baserat på dina resultat.
| Kapaciteter | Beskrivning |
|---|---|
| Definiera en hypotes | Om du vill definiera en hypotes kan du hitta inspiration från MITRE-kartan, de senaste jaktfrågeresultaten, lösningarna för innehållshubben eller generera egna anpassade jakter. |
| Undersöka frågor och bokmärkesresultat | När du har definierat en hypotes går du till fliken Frågor på jaktsidan. Välj de frågor som är relaterade till din hypotes och Ny jakt för att komma igång. Kör jaktrelaterade frågor och undersöka resultaten med hjälp av loggupplevelsen. Bokmärkesresultat direkt till din jakt för att kommentera dina resultat, extrahera entitetsidentifierare och bevara relevanta frågor. |
| Undersöka och vidta åtgärder | Undersök ännu djupare med hjälp av UEBA-entitetssidor. Kör entitetsspecifika spelböcker på bokmärkta entiteter. Använd inbyggda åtgärder för att skapa nya analysregler, hotindikatorer och incidenter baserat på resultat. |
| Spåra dina resultat | Registrera resultatet av din jakt. Spåra om din hypotes har verifierats eller inte. Lämna detaljerade anteckningar i kommentarerna. Jakter länkar automatiskt nya analysregler och incidenter. Spåra den övergripande effekten av ditt jaktprogram med måttfältet. |
Information om hur du kommer igång finns i Genomföra proaktiv hotjakt från slutpunkt till slutpunkt i Microsoft Sentinel.
Jaktfrågor
I Microsoft Sentinel i Defender väljer duHothanteringSjakt>, sedan fliken Frågor för att köra alla dina frågor eller en vald delmängd. På fliken Frågor visas alla jaktfrågor som installerats med säkerhetslösningar från innehållshubben och eventuella extra frågor som du har skapat eller ändrat. Varje fråga innehåller en beskrivning av vad den jagar efter och vilken typ av data den körs på. Dessa frågor grupperas efter deras MITRE ATT-&CK-taktik. Ikonerna högst upp kategoriserar typen av hot, till exempel inledande åtkomst, beständighet och exfiltrering. MITRE ATT&CK-tekniker visas i kolumnen Tekniker och beskriver det specifika beteende som identifieras av jaktfrågan.
Använd fliken Frågor för att identifiera var du ska börja jaga, genom att titta på resultatantal, toppar eller ändringen av resultatantalet under en 24-timmarsperiod. Sortera och filtrera efter favoriter, datakälla, MITRE ATT&CK-taktik eller -teknik, resultat, resultatdelta eller resultatdeltaprocent. Visa frågor som fortfarande behöver datakällor anslutna och få rekommendationer om hur du aktiverar dessa frågor.
I följande tabell beskrivs detaljerade åtgärder som är tillgängliga från instrumentpanelen för jakt:
| Åtgärd | Beskrivning |
|---|---|
| Se hur frågor gäller för din miljö | Välj knappen Kör alla frågor eller välj en delmängd frågor med kryssrutorna till vänster om varje rad och välj knappen Kör valda frågor . Det kan ta allt från några sekunder till många minuter att köra dina frågor, beroende på hur många frågor som väljs, tidsintervallet och mängden data som efterfrågas. |
| Visa de frågor som returnerade resultat | När dina frågor har körts kan du visa de frågor som returnerade resultat med hjälp av resultatfiltret : – Sortera för att se vilka frågor som hade flest eller minst resultat. – Visa de frågor som inte alls är aktiva i din miljö genom att välja N/A i resultatfiltret . – Hovra över informationsikonen (i) bredvid N/A för att se vilka datakällor som krävs för att göra frågan aktiv. |
| Identifiera toppar i dina data | Identifiera toppar i data genom att sortera eller filtrera på resultatdelta eller resultatdeltaprocent. Jämför resultaten för de senaste 24 timmarna med resultaten från de föregående 24–48 timmarna, vilket visar eventuella stora skillnader eller relativa skillnader i volymen. |
| Visa frågor som mappats till MITRE ATT-&CK-taktik |
I taktikfältet MITRE ATT&CK visas längst upp i tabellen hur många frågor som mappas till varje MITRE ATT-&CK-taktik. Taktikfältet uppdateras dynamiskt baserat på den aktuella uppsättningen filter som används. Gör att du kan se vilka MITRE ATT-&CK-taktiker som visas när du filtrerar efter ett givet resultatantal, ett högt resultatdelta, N/A-resultat eller någon annan uppsättning filter. |
| Visa frågor som mappats till MITRE ATT&CK-tekniker | Frågor kan också mappas till MITRE ATT&CK-tekniker. Du kan filtrera eller sortera efter MITRE ATT&CK-tekniker med hjälp av teknikfiltret . Genom att öppna en fråga kan du välja teknik för att se MITRE ATT-&CK-beskrivning av tekniken. |
| Spara en fråga till dina favoriter | Frågor som sparats i dina favoriter körs automatiskt varje gång sidan Jakt öppnas. Du kan skapa en egen jaktfråga eller klona och anpassa en befintlig jaktfrågemall. |
| Köra frågor | Välj Kör fråga på sidan med information om jaktfrågor för att köra frågan direkt från jaktsidan. Antalet matchningar visas i tabellen i kolumnen Resultat . Granska listan över jaktfrågor och deras matchningar. |
| Granska en underliggande fråga | Utför en snabb genomgång av den underliggande frågan i frågeinformationsfönstret. Du kan se resultatet genom att klicka på länken Visa frågeresultat (under frågefönstret) eller knappen Visa resultat (längst ned i fönstret). Frågan öppnar sidan Loggar (Log Analytics) och under frågan kan du granska matchningarna för frågan. |
Använd frågor före, under och efter en kompromiss för att vidta följande åtgärder:
Innan en incident inträffar: Det räcker inte att vänta på identifieringar. Vidta proaktiva åtgärder genom att köra hotjaktfrågor relaterade till de data som du matar in på din arbetsyta minst en gång i veckan.
Resultat från din proaktiva jakt ger tidig inblick i händelser som kan bekräfta att en kompromiss pågår, eller åtminstone visa svagare områden i din miljö som är i riskzonen och behöver uppmärksamhet.
Under en kompromiss: Övervaka händelser aktivt för att fastställa en hotaktörs nästa åtgärd, skicka meddelanden till rätt personer och vidta åtgärder för att stoppa pågående attacker.
- Använd KQL-jobb för att övervaka angriparens beteende och bevara frågeresultat i Microsoft Sentinel datasjö.
- Analysera beständiga resultat med verktyg som Security Copilot, Jupyter Notebooks, Avancerad jakt och KQL-frågor.
- Skicka meddelanden till Teams, e-post och andra meddelandeplattformar.
Efter en kompromiss: När en kompromiss eller en incident har inträffat bör du förbättra din täckning och insikt för att förhindra liknande incidenter i framtiden.
Ändra dina befintliga frågor eller skapa nya för att hjälpa till med tidig identifiering, baserat på insikter från din kompromiss eller incident.
Om du har identifierat eller skapat en jaktfråga som ger värdefulla insikter om möjliga attacker skapar du anpassade identifieringsregler baserat på frågan och visar dessa insikter som aviseringar till dina säkerhetsincidenter.
Visa frågans resultat och välj Ny aviseringsregel>Skapa Microsoft Sentinel avisering. Använd guiden Analytics-regel för att skapa en ny regel baserat på din fråga. Mer information finns i Skapa anpassade analysregler för att identifiera hot.
Exportera resultat och länka dem till specifika fall för förbättrat SOC-samarbete.
Du kan också skapa jaktfrågor över data som lagras i Azure Data Explorer. Mer information finns i avsnittet om hur du skapar frågor mellan resurser i Azure Monitor-dokumentationen.
Om du vill hitta fler frågor och datakällor går du till innehållshubben i Microsoft Sentinel eller läser communityresurser som Microsoft Sentinel GitHub-lagringsplats.
Out-of-the-box-jaktfrågor
Många säkerhetslösningar omfattar färdiga jaktfrågor. När du har installerat en lösning som innehåller jaktfrågor från innehållshubben visas färdiga frågor för lösningen på fliken Jaktfrågor . Frågor körs på data som lagras i loggtabeller, till exempel för att skapa processer, DNS-händelser eller andra händelsetyper.
Många tillgängliga jaktfrågor utvecklas kontinuerligt av Microsofts säkerhetsforskare. De lägger till nya frågor i säkerhetslösningar och finjusterar befintliga frågor för att ge dig en startpunkt för att leta efter nya identifieringar och attacker.
Anpassade jaktfrågor
Skapa eller redigera en fråga och spara den som en egen fråga eller dela den med användare som finns i samma klientorganisation. I Microsoft Sentinel skapar du en anpassad jaktfråga från fliken Jaktfrågor>.
Mer information finns i Skapa anpassade jaktfrågor i Microsoft Sentinel.
Bokmärken för att hålla reda på data
Hotjakt kräver vanligtvis granskning av berg av loggdata som letar efter bevis på skadligt beteende. Under den här processen hittar utredare händelser som de vill komma ihåg, gå tillbaka till och analysera som en del av valideringen av potentiella hypoteser och förstå hela historien om en kompromiss.
Under jakt- och undersökningsprocessen kan du stöta på frågeresultat som ser ovanliga eller misstänkta ut. Bokmärk dessa objekt för att referera tillbaka till dem i framtiden, till exempel när du skapar eller berikar en incident för undersökning. Händelser som potentiella grundorsaker, indikatorer för kompromettering eller andra viktiga händelser bör genereras som ett bokmärke. Om en nyckelhändelse som du har bokmärkt är tillräckligt allvarlig för att motivera en undersökning eskalerar du den till en incident.
Markera kryssrutorna för de rader som du vill bevara i resultatet och välj Lägg till bokmärke. Detta skapar för en post för varje markerad rad, ett bokmärke, som innehåller radresultatet och frågan som skapade resultatet. Du kan lägga till egna taggar och anteckningar i varje bokmärke.
- Precis som med schemalagda analysregler kan du utöka dina bokmärken med entitetsmappningar för att extrahera flera entitetstyper och identifierare, och MITRE ATT&CK-mappningar för att associera specifika taktiker och tekniker.
- Bokmärken använder som standard samma entitets- och MITRE ATT-&CK-teknikmappningar som den jaktfråga som gav bokmärkta resultat.
Visa alla bokmärkta resultat genom att klicka på fliken Bokmärken på huvudsidan Jakt . Lägg till taggar i bokmärken för att klassificera dem för filtrering. Om du till exempel undersöker en attackkampanj kan du skapa en tagg för kampanjen, tillämpa taggen på relevanta bokmärken och sedan filtrera alla bokmärken baserat på kampanjen.
Undersök en enda bokmärkessökning genom att välja bokmärket och sedan klicka på Undersök i informationsfönstret för att öppna undersökningsupplevelsen. Visa, undersöka och visuellt kommunicera dina resultat med hjälp av ett interaktivt diagram och tidslinje för entitetsdiagram. Du kan också välja en entitet i listan direkt för att visa entitetens motsvarande entitetssida.
Du kan också skapa en incident från ett eller flera bokmärken eller lägga till ett eller flera bokmärken i en befintlig incident. Markera en kryssruta till vänster om de bokmärken som du vill använda och välj sedan Incidentåtgärder>Skapa ny incident eller Lägg till i befintlig incident. Sortera och undersöka incidenten som alla andra.
Visa dina bokmärkta data direkt i tabellen HuntingBookmark på Log Analytics-arbetsytan. Till exempel:
När du visar bokmärken från tabellen kan du filtrera, sammanfatta och koppla bokmärkta data till andra datakällor, vilket gör det enkelt att leta efter bevis.
Information om hur du börjar använda bokmärken finns i Hålla reda på data under jakt med Microsoft Sentinel.
Notebook-filer för power-undersökningar
När din jakt och dina undersökningar blir mer komplexa kan du använda Microsoft Sentinel notebook-filer för att förbättra din aktivitet med maskininlärning, visualiseringar och dataanalys.
Notebook-filer tillhandahåller en typ av virtuell sandbox-miljö, komplett med en egen kernel, där du kan utföra en fullständig undersökning. Notebook-filen kan innehålla rådata, den kod som du kör på dessa data, resultaten och deras visualiseringar. Spara dina anteckningsböcker så att du kan dela dem med andra för att återanvända dem i din organisation.
Notebook-filer kan vara användbara när din jakt eller undersökning blir för stor för att enkelt komma ihåg, visa information eller när du behöver spara frågor och resultat. För att hjälpa dig att skapa och dela notebook-filer tillhandahåller Microsoft Sentinel Jupyter Notebooks, en miljö med öppen källkod, interaktiv utveckling och datamanipulering, som integreras direkt på sidan Microsoft Sentinel Notebooks.
Mer information finns i:
- Använda Jupyter Notebook för att söka efter säkerhetshot
- Jupyter Project-dokumentationen
- Introduktionsdokumentation för Jupyter.
- Infosec Jupyter-boken
- Riktiga Python-självstudier
I följande tabell beskrivs några metoder för att använda Jupyter Notebooks för att hjälpa dina processer i Microsoft Sentinel:
| Metod | Beskrivning |
|---|---|
| Datapersistence, repeterbarhet och backning | Om du arbetar med många frågor och resultatuppsättningar har du förmodligen vissa återvändsgränder. Du måste bestämma vilka frågor och resultat som ska behållas och hur de användbara resultaten ska ackumuleras i en enda rapport. Använd Jupyter Notebooks för att spara frågor och data allteftersom, använda variabler för att köra frågor på nytt med olika värden eller datum eller spara dina frågor för att köra om framtida undersökningar. |
| Skript och programmering | Använd Jupyter Notebooks för att lägga till programmering i dina frågor, inklusive: - Deklarativa språk som Kusto-frågespråk (KQL) eller SQL för att koda logiken i en enda, möjligen komplex, instruktion. - Programmeringsspråk för procedurer för att köra logik i en serie steg. Dela upp logiken i steg som hjälper dig att se och felsöka mellanliggande resultat, lägga till funktioner som kanske inte är tillgängliga i frågespråket och återanvända partiella resultat i senare bearbetningssteg. |
| Länkar till externa data | Även om Microsoft Sentinel tabeller har de flesta telemetri- och händelsedata kan Jupyter Notebooks länka till alla data som är tillgängliga via nätverket eller från en fil. Med Jupyter Notebooks kan du inkludera data som: – Data i externa tjänster som du inte äger, till exempel geoplatsdata eller hotinformationskällor – Känsliga data som endast lagras i din organisation, till exempel personaldatabaser eller listor över värdefulla tillgångar – Data som du ännu inte har migrerat till molnet. |
| Specialiserade verktyg för databearbetning, maskininlärning och visualisering | Jupyter Notebooks innehåller fler visualiseringar, maskininlärningsbibliotek och funktioner för databearbetning och transformering. Använd till exempel Jupyter Notebooks med följande Python-funktioner : - Pandas för databehandling, rensning och teknik - Matplotlib, HoloViews och Plotly för visualisering - NumPy och SciPy för avancerad numerisk och vetenskaplig bearbetning - scikit-learn för maskininlärning - TensorFlow, PyTorch och Keras för djupinlärning Tips: Jupyter Notebooks stöder flera språkkärnor. Använd magi för att blanda språk i samma notebook-fil genom att tillåta körning av enskilda celler med ett annat språk. Du kan till exempel hämta data med hjälp av en PowerShell-skriptcell, bearbeta data i Python och använda JavaScript för att rendera en visualisering. |
Säkerhetsverktyg för MSTIC, Jupyter och Python
Microsoft Threat Intelligence Center (MSTIC) är ett team av Microsofts säkerhetsanalytiker och tekniker som skapar säkerhetsidentifieringar för flera Microsoft-plattformar och arbetar med hotidentifiering och undersökning.
MSTIC har skapat MSTICPy, ett bibliotek för informationssäkerhetsundersökningar och jakt i Jupyter Notebooks. MSTICPy tillhandahåller återanvändbara funktioner som syftar till att påskynda skapandet av notebook-filer och göra det enklare för användare att läsa notebook-filer i Microsoft Sentinel.
MSTICPy kan till exempel:
- Fråga efter loggdata från flera källor.
- Utöka data med hotinformation, geolokaliseringar och Azure resursdata.
- Extrahera aktivitetsindikatorer (IoA) från loggar och packa upp kodade data.
- Gör avancerade analyser som avvikande sessionsidentifiering och nedbrytning av tidsserier.
- Visualisera data med interaktiva tidslinjer, processträd och flerdimensionella morfningsdiagram.
MSTICPy innehåller också några tidsbesparande notebook-verktyg, till exempel widgetar som anger frågetidsgränser, väljer och visar objekt från listor och konfigurerar notebook-miljön.
Mer information finns i:
- MSTICPy-dokumentation
- Jupyter Notebooks med Microsoft Sentinel jaktfunktioner
- Avancerade konfigurationer för Jupyter Notebooks och MSTICPy i Microsoft Sentinel
Användbara operatorer och funktioner
Jaktfrågor är inbyggda i Kusto-frågespråk (KQL), ett kraftfullt frågespråk med IntelliSense-språk som ger dig den kraft och flexibilitet du behöver för att ta jakt till nästa nivå.
Det är samma språk som används av frågorna i dina analysregler och på andra platser i Microsoft Sentinel. Mer information finns i Referens för frågespråk.
Följande operatorer är särskilt användbara i Microsoft Sentinel jaktfrågor:
where – Filtrera en tabell till delmängden rader som uppfyller ett predikat.
summarize – Skapa en tabell som aggregerar innehållet i indatatabellen.
join – Sammanfoga raderna i två tabeller för att skapa en ny tabell genom att matcha värdena för de angivna kolumnerna från varje tabell.
count – Returnera antalet poster i indatapostuppsättningen.
top – Returnera de första N posterna sorterade efter de angivna kolumnerna.
limit – Återgå till det angivna antalet rader.
project – Välj de kolumner som ska inkluderas, byt namn på eller släpp och infoga nya beräknade kolumner.
extend – Skapa beräknade kolumner och lägg till dem i resultatuppsättningen.
makeset – Returnera en dynamisk matris (JSON) med den uppsättning distinkta värden som Expr tar i gruppen
find – Hitta rader som matchar ett predikat i en uppsättning tabeller.
adx() – Den här funktionen utför frågor mellan resurser för Azure Data Explorer datakällor från Microsoft Sentinel jaktupplevelse och Log Analytics. Mer information finns i Frågor mellan resurser Azure Data Explorer med hjälp av Azure Monitor.
Relaterade artiklar
- Jupyter Notebooks med Microsoft Sentinel jaktfunktioner
- Håll reda på data under jakt med Microsoft Sentinel
- Lär dig från ett exempel på hur du använder anpassade analysregler när du övervakar Zoom med en anpassad anslutningsapp.