Prozkoumání pokročilého proaktivního vyhledávání

Dokončeno

Pokročilý proaktivní vyhledávání je nástroj proaktivního vyhledávání hrozeb založený na dotazech, který umožňuje prozkoumat až 30 dnů nezpracovaných dat. Události ve vaší síti můžete proaktivně zkontrolovat a vyhledat indikátory hrozeb a entity. Flexibilní přístup k datům umožňuje nekontrénovaný proaktivní vyhledávání známých i potenciálních hrozeb.

Pomocí stejných dotazů proaktivního vyhledávání hrozeb můžete vytvářet vlastní pravidla detekce. Tato pravidla se spouští automaticky, aby kontrolovala a pak reagovala na podezřelou aktivitu porušení zabezpečení, chybně nakonfigurované počítače a další zjištění. Pokročilá funkce proaktivního vyhledávání podporuje dotazy, které kontrolují širší datovou sadu z následujících možností:

  • Microsoft Defender for Endpoint

  • Microsoft Defender for Office 365

  • Microsoft Defender for Cloud Apps

  • Microsoft Defender for Identity

Pokud chcete použít rozšířené proaktivní vyhledávání, zapněte XDR v programu Microsoft Defender.

Aktuálnost dat a frekvence aktualizací

Pokročilá data proaktivního vyhledávání je možné kategorizovat do dvou různých typů, z nichž každá se konsoliduje jinak.

  • Data událostí nebo aktivit – naplní tabulky o výstrahách, událostech zabezpečení, systémových událostech a rutinních hodnoceních. Pokročilý proaktivní vyhledávání přijímá tato data téměř okamžitě po senzorech, které je úspěšně odesílají do odpovídajících cloudových služeb. Můžete se například dotazovat na data událostí ze senzorů, které jsou v pořádku, na pracovních stanicích nebo řadičích domény téměř okamžitě po jejich zpřístupnění v programu Microsoft Defender for Endpoint a Microsoft Defender for Identity.

  • Data entit – naplní tabulky informacemi o uživatelích a zařízeních. Tato data pocházejí z relativně statických zdrojů dat i dynamických zdrojů, jako jsou položky služby Active Directory a protokoly událostí. Aby bylo možné poskytovat nová data, tabulky se aktualizují o nové informace každých 15 minut a přidají se řádky, které nemusí být plně vyplněné. Každých 24 hodin se data konsolidují za účelem vložení záznamu, který obsahuje nejnovější a nejkomplexnější sadu dat o každé entitě.

Časové pásmo

Informace o čase v rozšířeném proaktivním vyhledávání jsou v zóně UTC.

Datové schéma

Rozšířené schéma proaktivního vyhledávání se skládá z více tabulek, které poskytují informace o událostech nebo informace o zařízeních, výstrahách, identitách a dalších typech entit. Pokud chcete efektivně vytvářet dotazy, které pokrývají více tabulek, musíte porozumět tabulkám a sloupcům v rozšířeném schématu proaktivního vyhledávání.

Získání informací o schématu

Při vytváření dotazů použijte předdefinovaný odkaz schématu k rychlému získání následujících informací o každé tabulce ve schématu:

  • Popis tabulky – typ dat obsažených v tabulce a zdroj těchto dat.

  • Sloupce – všechny sloupce v tabulce

  • Typy akcí – možné hodnoty ve sloupci ActionType představující typy událostí podporované tabulkou Tyto informace jsou poskytovány pouze pro tabulky, které obsahují informace o událostech.

  • Ukázkový dotaz – ukázkové dotazy, které obsahují způsob využití tabulky.

Přístup k referenčním informacím ke schématu

Pokud chcete rychle získat přístup k odkazu na schéma, vyberte akci Zobrazit odkaz vedle názvu tabulky v reprezentaci schématu. Můžete také vybrat odkaz na schéma a vyhledat tabulku.

Seznámení s tabulkami schématu

Následující odkaz obsahuje seznam všech tabulek ve schématu. Každý název tabulky odkazuje na stránku popisující názvy sloupců pro danou tabulku. Názvy tabulek a sloupců jsou také uvedeny v Security Center jako součást reprezentace schématu na rozšířené obrazovce proaktivního vyhledávání.

Název tabulky Popis
AlertEvidence Soubory, IP adresy, adresy URL, uživatelé nebo zařízení přidružená k upozorněním
AlertInfo Upozornění z programu Microsoft Defender for Endpoint, Microsoft Defender pro Office 365, Microsoft Cloud App Security a Microsoft Defender for Identity, včetně informací o závažnosti a kategorizace hrozeb
CloudAppEvents Události zahrnující účty a objekty v Office 365 a dalších cloudových aplikacích a službách
DeviceEvents Více typů událostí, včetně událostí aktivovaných kontrolními prvky zabezpečení, jako je Antivirová ochrana v programu Windows Defender a ochrana před zneužitím
DeviceFileCertificateInfo Informace o certifikátu podepsaných souborů získaných z událostí ověření certifikátu v koncových bodech
DeviceFileEvents Vytváření, úpravy souborů a další události systému souborů
DeviceImageLoadEvents Události načítání knihoven DLL
Deviceinfo Informace o počítači, včetně informací o operačním systému
DeviceLogonEvents Přihlášení a další události ověřování na zařízeních
DeviceNetworkEvents Síťové připojení a související události
DeviceNetworkInfo Síťové vlastnosti zařízení, včetně fyzických adaptérů, IP adres a adres MAC a připojených sítí a domén
DeviceProcessEvents Vytváření procesů a související události
DeviceRegistryEvents Vytvoření a úprava položek registru
DeviceTvmSecureConfigurationAssessment Události posouzení ohrožení zabezpečení a ohrožení zabezpečení označující stav různých konfigurací zabezpečení na zařízeních
DeviceTvmSecureConfigurationAssessmentKB Znalostní báze různých konfigurací zabezpečení používaných správou hrozeb a ohrožení zabezpečení k posouzení zařízení; zahrnuje mapování na různé standardy a srovnávací testy.
DeviceTvmSoftwareInventory Inventář softwaru nainstalovaného na zařízeních, včetně informací o jejich verzi a stavu ukončení podpory
DeviceTvmSoftwareVulnerabilities Ohrožení zabezpečení softwaru nalezená na zařízeních a seznam dostupných aktualizací zabezpečení, které řeší každou chybu zabezpečení
DeviceTvmSoftwareVulnerabilitiesKB Znalostní báze veřejně zpřístupněných chyb zabezpečení, včetně toho, jestli je veřejně dostupný kód zneužití
EmailAttachmentInfo Informace o souborech připojených k e-mailům
E-mailEvents E-mailové události Microsoftu 365, včetně doručování e-mailů a blokování událostí
EmailPostDeliveryEvents Události zabezpečení, ke kterým dochází po doručení, po doručení Microsoftu 365 e-maily do poštovní schránky příjemce
EmailUrlInfo Informace o adresách URL v e-mailech
IdentityDirectoryEvents Události zahrnující místní řadič domény se spuštěnou službou Active Directory (AD). Tato tabulka popisuje celou řadu událostí souvisejících s identitou a systémových událostí na řadiči domény.
Informace o identitě Informace o účtu z různých zdrojů, včetně ID Microsoft Entra
IdentityLogonEvents Události ověřování ve službě Active Directory a Microsoft online služby
IdentityQueryEvents Dotazy na objekty služby Active Directory, jako jsou uživatelé, skupiny, zařízení a domény

Vlastní detekce

Pomocí vlastních detekcí můžete proaktivně monitorovat různé události a stavy systému a reagovat na ně, včetně podezřelých aktivit porušení zabezpečení a chybně nakonfigurovaných koncových bodů. To je možné přizpůsobitelnými pravidly detekce, která automaticky aktivují výstrahy a akce odezvy.

Vlastní detekce fungují s pokročilým vyhledáváním, což poskytuje výkonný flexibilní dotazovací jazyk, který pokrývá širokou škálu informací o událostech a systému z vaší sítě. Můžete je nastavit tak, aby se spouštěly v pravidelných intervalech, generovaly výstrahy a vždy, když dojde ke shodě, a provádět akce odezvy.

Vlastní detekce poskytují:

  • Výstrahy pro detekce založené na pravidlech vytvořené z pokročilých dotazů proaktivního vyhledávání

  • Akce automatické odpovědi, které se vztahují na soubory a zařízení

Vytvoření pravidel detekce

Vytvoření pravidel detekce:

1. Připravte dotaz.

V Centrum zabezpečení v programu Microsoft Defender přejděte do části Rozšířené proaktivní vyhledávání a vyberte existující dotaz nebo vytvořte nový dotaz. Při použití nového dotazu spusťte dotaz, abyste identifikovali chyby a porozuměli možným výsledkům.

Důležité

Aby služba nevrácela příliš mnoho výstrah, je každé pravidlo omezené na generování pouze 100 výstrah při každém spuštění. Před vytvořením pravidla upravte dotaz, abyste se vyhnuli upozorňování na běžnou každodenní aktivitu.

Pokud chcete použít dotaz pro vlastní pravidlo detekce, musí dotaz vrátit následující sloupce:

  • Časové razítko

  • DeviceId

  • ReportId

Jednoduché dotazy, například ty, které nepoužívají operátor projektu nebo sumarizovat k přizpůsobení nebo agregaci výsledků, obvykle vracejí tyto běžné sloupce.

Existují různé způsoby, jak zajistit, aby tyto sloupce vracely složitější dotazy. Pokud například dáváte přednost agregaci a počítání podle ID zařízení, můžete přesto vrátit časové razítko a ID sestavy tak, že je získáte z nejnovější události zahrnující každé zařízení.

Níže uvedený ukázkový dotaz spočítá počet jedinečných zařízení (DeviceId) s detekcí antivirové ochrany a používá ho k vyhledání pouze těchto zařízení s více než pěti detekcemi. Pokud chcete vrátit nejnovější časové razítko a odpovídající ID sestavy, použije operátor summarize s funkcí arg_max.

DeviceEvents
| where Timestamp > ago(7d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

2. Vytvořte nové pravidlo a zadejte podrobnosti výstrahy.

V editoru dotazů vyberte Vytvořit pravidlo detekce a zadejte následující podrobnosti výstrahy:

  • Název detekce – název pravidla detekce

  • Frekvence – interval spuštění dotazu a provedení akce Další doprovodné materiály najdete níže.

  • Název upozornění – název zobrazený s upozorněními aktivovanými pravidlem

  • Závažnost – potenciální riziko součásti nebo aktivity identifikované pravidlem

  • Kategorie – typ komponenty nebo aktivity hrozeb, pokud existuje.

  • Techniky MITRE ATT&CK – jednu nebo více technik útoku identifikovaných pravidlem, jak je uvedeno v rozhraní MITRE ATT&CK. Tato část není dostupná u určitých kategorií výstrah, jako je malware, ransomware, podezřelá aktivita a nežádoucí software.

  • Popis – další informace o komponentě nebo aktivitě identifikované pravidlem

  • Doporučené akce – další akce, které můžou reagovat na výstrahu

3. Frekvence pravidel

Při uložení se nové pravidlo vlastního zjišťování okamžitě spustí a zkontroluje shody z posledních 30 dnů dat. Pravidlo se pak znovu spustí v pevných intervalech a doby trvání zpětného vyhledávání na základě zvolené frekvence:

  • Každých 24 hodin – spouští se každých 24 hodin a kontroluje data za posledních 30 dnů.

  • Každých 12 hodin – běží každých 12 hodin, kontrola dat z posledních 48 hodin

  • Každých 3 hodiny – spouští se každých 3 hodiny, kontrola dat z posledních 12 hodin

  • Každou hodinu – běží každou hodinu a kontroluje data z posledních 4 hodin.

  • Průběžný (NRT) – běží nepřetržitě, kontroluje data z událostí při jejich shromažďování a zpracování téměř v reálném čase (NRT).

Vyberte frekvenci, která odpovídá tomu, jak přesně chcete monitorovat detekce, a zvažte kapacitu vaší organizace, aby reagovala na výstrahy.

Poznámka:

Nastavení vlastní detekce tak, aby běžela v četnosti průběžného provozu (NRT), umožňuje zvýšit schopnost vaší organizace rychleji identifikovat hrozby.

4. Zvolte ovlivněné entity.

Identifikujte sloupce ve výsledcích dotazu, ve kterých očekáváte, že najdete hlavní ovlivněnou nebo ovlivněnou entitu. Dotaz může například vracet ID zařízení i uživatelů. Určení, které z těchto sloupců představuje hlavní ovlivněnou entitu, pomáhá službě agregovat relevantní výstrahy, korelovat incidenty a cílové akce reakce.

Pro každý typ entity můžete vybrat jenom jeden sloupec. Sloupce, které nejsou vráceny dotazem, nelze vybrat.

5. Zadejte akce.

Vaše vlastní pravidlo detekce může automaticky provádět akce na souborech nebo zařízeních vrácených dotazem.

Akce na zařízeních

Tyto akce se použijí na zařízení ve sloupci DeviceId výsledků dotazu:

  • Izolované zařízení – používá úplnou izolaci sítě, brání zařízení v připojení k jakékoli aplikaci nebo službě, s výjimkou služby Defender for Endpoint.

  • Shromážděte balíček pro šetření – shromažďuje informace o zařízení v souboru ZIP.

  • Spuštění antivirové kontroly – provede úplnou kontrolu Antivirová ochrana v programu Microsoft Defender na zařízení.

  • Zahájení šetření – zahájí automatizované šetření na zařízení.

Akce u souborů

Tyto akce se použijí u souborů ve sloupci SHA1 nebo InitiatingProcessSHA1 výsledků dotazu:

  • Povolit/blokovat – automaticky přidá soubor do vašeho vlastního seznamu indikátorů, aby se vždy mohlo spustit nebo blokovat spuštění. Rozsah této akce můžete nastavit tak, aby byla provedena pouze u vybraných skupin zařízení. Tento obor je nezávislý na rozsahu pravidla.

  • Soubor karantény – odstraní soubor z aktuálního umístění a umístí kopii do karantény.

6. Nastavte obor pravidla.

Nastavte obor tak, aby určil, na která zařízení se vztahuje pravidlo:

  • Všechna zařízení

  • Konkrétní skupiny zařízení

Budou se dotazovat pouze data ze zařízení v oboru. Akce se také provádějí jenom na těchto zařízeních.

7. Zkontrolujte a zapněte pravidlo.

Po kontrole pravidla vyberte Vytvořit a uložte ho. Vlastní pravidlo detekce se okamžitě spustí. Spustí se znovu na základě nakonfigurované frekvence, aby kontrolovala shody, generovala výstrahy a podnikla akce odezvy.