Prozkoumání pokročilého proaktivního vyhledávání
Pokročilý proaktivní vyhledávání je nástroj proaktivního vyhledávání hrozeb založený na dotazech, který umožňuje prozkoumat až 30 dnů nezpracovaných dat. Události ve vaší síti můžete proaktivně zkontrolovat a vyhledat indikátory hrozeb a entity. Flexibilní přístup k datům umožňuje nekontrénovaný proaktivní vyhledávání známých i potenciálních hrozeb.
Pomocí stejných dotazů proaktivního vyhledávání hrozeb můžete vytvářet vlastní pravidla detekce. Tato pravidla se spouští automaticky, aby kontrolovala a pak reagovala na podezřelou aktivitu porušení zabezpečení, chybně nakonfigurované počítače a další zjištění. Pokročilá funkce proaktivního vyhledávání podporuje dotazy, které kontrolují širší datovou sadu z následujících možností:
Microsoft Defender for Endpoint
Microsoft Defender for Office 365
Microsoft Defender for Cloud Apps
Microsoft Defender for Identity
Pokud chcete použít rozšířené proaktivní vyhledávání, zapněte XDR v programu Microsoft Defender.
Aktuálnost dat a frekvence aktualizací
Pokročilá data proaktivního vyhledávání je možné kategorizovat do dvou různých typů, z nichž každá se konsoliduje jinak.
Data událostí nebo aktivit – naplní tabulky o výstrahách, událostech zabezpečení, systémových událostech a rutinních hodnoceních. Pokročilý proaktivní vyhledávání přijímá tato data téměř okamžitě po senzorech, které je úspěšně odesílají do odpovídajících cloudových služeb. Můžete se například dotazovat na data událostí ze senzorů, které jsou v pořádku, na pracovních stanicích nebo řadičích domény téměř okamžitě po jejich zpřístupnění v programu Microsoft Defender for Endpoint a Microsoft Defender for Identity.
Data entit – naplní tabulky informacemi o uživatelích a zařízeních. Tato data pocházejí z relativně statických zdrojů dat i dynamických zdrojů, jako jsou položky služby Active Directory a protokoly událostí. Aby bylo možné poskytovat nová data, tabulky se aktualizují o nové informace každých 15 minut a přidají se řádky, které nemusí být plně vyplněné. Každých 24 hodin se data konsolidují za účelem vložení záznamu, který obsahuje nejnovější a nejkomplexnější sadu dat o každé entitě.
Časové pásmo
Informace o čase v rozšířeném proaktivním vyhledávání jsou v zóně UTC.
Datové schéma
Rozšířené schéma proaktivního vyhledávání se skládá z více tabulek, které poskytují informace o událostech nebo informace o zařízeních, výstrahách, identitách a dalších typech entit. Pokud chcete efektivně vytvářet dotazy, které pokrývají více tabulek, musíte porozumět tabulkám a sloupcům v rozšířeném schématu proaktivního vyhledávání.
Získání informací o schématu
Při vytváření dotazů použijte předdefinovaný odkaz schématu k rychlému získání následujících informací o každé tabulce ve schématu:
Popis tabulky – typ dat obsažených v tabulce a zdroj těchto dat.
Sloupce – všechny sloupce v tabulce
Typy akcí – možné hodnoty ve sloupci ActionType představující typy událostí podporované tabulkou Tyto informace jsou poskytovány pouze pro tabulky, které obsahují informace o událostech.
Ukázkový dotaz – ukázkové dotazy, které obsahují způsob využití tabulky.
Přístup k referenčním informacím ke schématu
Pokud chcete rychle získat přístup k odkazu na schéma, vyberte akci Zobrazit odkaz vedle názvu tabulky v reprezentaci schématu. Můžete také vybrat odkaz na schéma a vyhledat tabulku.
Seznámení s tabulkami schématu
Následující odkaz obsahuje seznam všech tabulek ve schématu. Každý název tabulky odkazuje na stránku popisující názvy sloupců pro danou tabulku. Názvy tabulek a sloupců jsou také uvedeny v Security Center jako součást reprezentace schématu na rozšířené obrazovce proaktivního vyhledávání.
Název tabulky | Popis |
---|---|
AlertEvidence | Soubory, IP adresy, adresy URL, uživatelé nebo zařízení přidružená k upozorněním |
AlertInfo | Upozornění z programu Microsoft Defender for Endpoint, Microsoft Defender pro Office 365, Microsoft Cloud App Security a Microsoft Defender for Identity, včetně informací o závažnosti a kategorizace hrozeb |
CloudAppEvents | Události zahrnující účty a objekty v Office 365 a dalších cloudových aplikacích a službách |
DeviceEvents | Více typů událostí, včetně událostí aktivovaných kontrolními prvky zabezpečení, jako je Antivirová ochrana v programu Windows Defender a ochrana před zneužitím |
DeviceFileCertificateInfo | Informace o certifikátu podepsaných souborů získaných z událostí ověření certifikátu v koncových bodech |
DeviceFileEvents | Vytváření, úpravy souborů a další události systému souborů |
DeviceImageLoadEvents | Události načítání knihoven DLL |
Deviceinfo | Informace o počítači, včetně informací o operačním systému |
DeviceLogonEvents | Přihlášení a další události ověřování na zařízeních |
DeviceNetworkEvents | Síťové připojení a související události |
DeviceNetworkInfo | Síťové vlastnosti zařízení, včetně fyzických adaptérů, IP adres a adres MAC a připojených sítí a domén |
DeviceProcessEvents | Vytváření procesů a související události |
DeviceRegistryEvents | Vytvoření a úprava položek registru |
DeviceTvmSecureConfigurationAssessment | Události posouzení ohrožení zabezpečení a ohrožení zabezpečení označující stav různých konfigurací zabezpečení na zařízeních |
DeviceTvmSecureConfigurationAssessmentKB | Znalostní báze různých konfigurací zabezpečení používaných správou hrozeb a ohrožení zabezpečení k posouzení zařízení; zahrnuje mapování na různé standardy a srovnávací testy. |
DeviceTvmSoftwareInventory | Inventář softwaru nainstalovaného na zařízeních, včetně informací o jejich verzi a stavu ukončení podpory |
DeviceTvmSoftwareVulnerabilities | Ohrožení zabezpečení softwaru nalezená na zařízeních a seznam dostupných aktualizací zabezpečení, které řeší každou chybu zabezpečení |
DeviceTvmSoftwareVulnerabilitiesKB | Znalostní báze veřejně zpřístupněných chyb zabezpečení, včetně toho, jestli je veřejně dostupný kód zneužití |
EmailAttachmentInfo | Informace o souborech připojených k e-mailům |
E-mailEvents | E-mailové události Microsoftu 365, včetně doručování e-mailů a blokování událostí |
EmailPostDeliveryEvents | Události zabezpečení, ke kterým dochází po doručení, po doručení Microsoftu 365 e-maily do poštovní schránky příjemce |
EmailUrlInfo | Informace o adresách URL v e-mailech |
IdentityDirectoryEvents | Události zahrnující místní řadič domény se spuštěnou službou Active Directory (AD). Tato tabulka popisuje celou řadu událostí souvisejících s identitou a systémových událostí na řadiči domény. |
Informace o identitě | Informace o účtu z různých zdrojů, včetně ID Microsoft Entra |
IdentityLogonEvents | Události ověřování ve službě Active Directory a Microsoft online služby |
IdentityQueryEvents | Dotazy na objekty služby Active Directory, jako jsou uživatelé, skupiny, zařízení a domény |
Vlastní detekce
Pomocí vlastních detekcí můžete proaktivně monitorovat různé události a stavy systému a reagovat na ně, včetně podezřelých aktivit porušení zabezpečení a chybně nakonfigurovaných koncových bodů. To je možné přizpůsobitelnými pravidly detekce, která automaticky aktivují výstrahy a akce odezvy.
Vlastní detekce fungují s pokročilým vyhledáváním, což poskytuje výkonný flexibilní dotazovací jazyk, který pokrývá širokou škálu informací o událostech a systému z vaší sítě. Můžete je nastavit tak, aby se spouštěly v pravidelných intervalech, generovaly výstrahy a vždy, když dojde ke shodě, a provádět akce odezvy.
Vlastní detekce poskytují:
Výstrahy pro detekce založené na pravidlech vytvořené z pokročilých dotazů proaktivního vyhledávání
Akce automatické odpovědi, které se vztahují na soubory a zařízení
Vytvoření pravidel detekce
Vytvoření pravidel detekce:
1. Připravte dotaz.
V Centrum zabezpečení v programu Microsoft Defender přejděte do části Rozšířené proaktivní vyhledávání a vyberte existující dotaz nebo vytvořte nový dotaz. Při použití nového dotazu spusťte dotaz, abyste identifikovali chyby a porozuměli možným výsledkům.
Důležité
Aby služba nevrácela příliš mnoho výstrah, je každé pravidlo omezené na generování pouze 100 výstrah při každém spuštění. Před vytvořením pravidla upravte dotaz, abyste se vyhnuli upozorňování na běžnou každodenní aktivitu.
Pokud chcete použít dotaz pro vlastní pravidlo detekce, musí dotaz vrátit následující sloupce:
Časové razítko
DeviceId
ReportId
Jednoduché dotazy, například ty, které nepoužívají operátor projektu nebo sumarizovat k přizpůsobení nebo agregaci výsledků, obvykle vracejí tyto běžné sloupce.
Existují různé způsoby, jak zajistit, aby tyto sloupce vracely složitější dotazy. Pokud například dáváte přednost agregaci a počítání podle ID zařízení, můžete přesto vrátit časové razítko a ID sestavy tak, že je získáte z nejnovější události zahrnující každé zařízení.
Níže uvedený ukázkový dotaz spočítá počet jedinečných zařízení (DeviceId) s detekcí antivirové ochrany a používá ho k vyhledání pouze těchto zařízení s více než pěti detekcemi. Pokud chcete vrátit nejnovější časové razítko a odpovídající ID sestavy, použije operátor summarize s funkcí arg_max.
DeviceEvents
| where Timestamp > ago(7d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5
2. Vytvořte nové pravidlo a zadejte podrobnosti výstrahy.
V editoru dotazů vyberte Vytvořit pravidlo detekce a zadejte následující podrobnosti výstrahy:
Název detekce – název pravidla detekce
Frekvence – interval spuštění dotazu a provedení akce Další doprovodné materiály najdete níže.
Název upozornění – název zobrazený s upozorněními aktivovanými pravidlem
Závažnost – potenciální riziko součásti nebo aktivity identifikované pravidlem
Kategorie – typ komponenty nebo aktivity hrozeb, pokud existuje.
Techniky MITRE ATT&CK – jednu nebo více technik útoku identifikovaných pravidlem, jak je uvedeno v rozhraní MITRE ATT&CK. Tato část není dostupná u určitých kategorií výstrah, jako je malware, ransomware, podezřelá aktivita a nežádoucí software.
Popis – další informace o komponentě nebo aktivitě identifikované pravidlem
Doporučené akce – další akce, které můžou reagovat na výstrahu
3. Frekvence pravidel
Při uložení se nové pravidlo vlastního zjišťování okamžitě spustí a zkontroluje shody z posledních 30 dnů dat. Pravidlo se pak znovu spustí v pevných intervalech a doby trvání zpětného vyhledávání na základě zvolené frekvence:
Každých 24 hodin – spouští se každých 24 hodin a kontroluje data za posledních 30 dnů.
Každých 12 hodin – běží každých 12 hodin, kontrola dat z posledních 48 hodin
Každých 3 hodiny – spouští se každých 3 hodiny, kontrola dat z posledních 12 hodin
Každou hodinu – běží každou hodinu a kontroluje data z posledních 4 hodin.
Průběžný (NRT) – běží nepřetržitě, kontroluje data z událostí při jejich shromažďování a zpracování téměř v reálném čase (NRT).
Vyberte frekvenci, která odpovídá tomu, jak přesně chcete monitorovat detekce, a zvažte kapacitu vaší organizace, aby reagovala na výstrahy.
Poznámka:
Nastavení vlastní detekce tak, aby běžela v četnosti průběžného provozu (NRT), umožňuje zvýšit schopnost vaší organizace rychleji identifikovat hrozby.
4. Zvolte ovlivněné entity.
Identifikujte sloupce ve výsledcích dotazu, ve kterých očekáváte, že najdete hlavní ovlivněnou nebo ovlivněnou entitu. Dotaz může například vracet ID zařízení i uživatelů. Určení, které z těchto sloupců představuje hlavní ovlivněnou entitu, pomáhá službě agregovat relevantní výstrahy, korelovat incidenty a cílové akce reakce.
Pro každý typ entity můžete vybrat jenom jeden sloupec. Sloupce, které nejsou vráceny dotazem, nelze vybrat.
5. Zadejte akce.
Vaše vlastní pravidlo detekce může automaticky provádět akce na souborech nebo zařízeních vrácených dotazem.
Akce na zařízeních
Tyto akce se použijí na zařízení ve sloupci DeviceId výsledků dotazu:
Izolované zařízení – používá úplnou izolaci sítě, brání zařízení v připojení k jakékoli aplikaci nebo službě, s výjimkou služby Defender for Endpoint.
Shromážděte balíček pro šetření – shromažďuje informace o zařízení v souboru ZIP.
Spuštění antivirové kontroly – provede úplnou kontrolu Antivirová ochrana v programu Microsoft Defender na zařízení.
Zahájení šetření – zahájí automatizované šetření na zařízení.
Akce u souborů
Tyto akce se použijí u souborů ve sloupci SHA1 nebo InitiatingProcessSHA1 výsledků dotazu:
Povolit/blokovat – automaticky přidá soubor do vašeho vlastního seznamu indikátorů, aby se vždy mohlo spustit nebo blokovat spuštění. Rozsah této akce můžete nastavit tak, aby byla provedena pouze u vybraných skupin zařízení. Tento obor je nezávislý na rozsahu pravidla.
Soubor karantény – odstraní soubor z aktuálního umístění a umístí kopii do karantény.
6. Nastavte obor pravidla.
Nastavte obor tak, aby určil, na která zařízení se vztahuje pravidlo:
Všechna zařízení
Konkrétní skupiny zařízení
Budou se dotazovat pouze data ze zařízení v oboru. Akce se také provádějí jenom na těchto zařízeních.
7. Zkontrolujte a zapněte pravidlo.
Po kontrole pravidla vyberte Vytvořit a uložte ho. Vlastní pravidlo detekce se okamžitě spustí. Spustí se znovu na základě nakonfigurované frekvence, aby kontrolovala shody, generovala výstrahy a podnikla akce odezvy.