Proaktivní vyhledávání na sjednocené platformě SecOps od Microsoftu
Proaktivní vyhledávání bezpečnostních hrozeb je vysoce přizpůsobitelná aktivita, která je nejúčinnější, když se provádí ve všech fázích proaktivního, reaktivního a následného incidentu. Platforma Sjednocené operace zabezpečení (SecOps) od Microsoftu poskytuje efektivní nástroje proaktivního vyhledávání pro každou fázi proaktivního vyhledávání hrozeb. Tyto nástroje jsou vhodné pro analytiky, kteří teprve začínají svou kariéru, nebo pro zkušené lovce hrozeb pomocí pokročilých metod proaktivního vyhledávání. Lovci hrozeb na všech úrovních těží z funkcí nástrojů proaktivního vyhledávání, které jim umožňují sdílet své techniky, dotazy a poznatky s jejich týmem.
Nástroje pro vyhledávání
Základem dotazů proaktivního vyhledávání na portálu Defender je dotazovací jazyk Kusto (KQL). KQL je výkonný a flexibilní jazyk, který je optimalizovaný pro vyhledávání v úložištích s velkými objemy dat v cloudových prostředích. Vytváření složitých dotazů ale není jediný způsob, jak vyhledávat hrozby. Tady je několik dalších nástrojů a prostředků proaktivního vyhledávání na portálu Defender, které jsou navržené tak, aby vám proaktivní vyhledávání byly dostupné:
- Security Copilot v rozšířeném proaktivním vyhledávání generuje KQL z výzev v přirozeném jazyce.
- Proaktivní vyhledávání s asistencí používá tvůrce dotazů k vytváření smysluplných dotazů proaktivního vyhledávání bez znalosti KQL nebo datového schématu.
- Získejte pomoc při psaní dotazů s funkcemi, jako jsou automatické návrhy, strom schématu a ukázkové dotazy.
- Centrum obsahu poskytuje odborné dotazy, které odpovídají předefinovaným řešením v Microsoft Sentinel.
- Microsoft Defender experti na proaktivní vyhledávání komplimentuje i ty nejlepší lovce hrozeb, kteří chtějí pomoc.
Pomocí následujících nástrojů proaktivního vyhledávání na portálu Defender maximalizujte plný rozsah proaktivního výkonu vašeho týmu:
| Nástroj pro vyhledávání | Popis |
|---|---|
| Pokročilé rozšířené proaktivní vyhledávání | Zobrazte a dotazujte zdroje dat dostupné v rámci sjednocené platformy SecOps microsoftu a sdílejte dotazy se svým týmem. Použijte veškerý obsah vašeho existujícího Microsoft Sentinel pracovního prostoru, včetně dotazů a funkcí. |
| proaktivní vyhledávání Microsoft Sentinel | Vyhledávání bezpečnostních hrozeb napříč zdroji dat Používejte specializované vyhledávací a dotazovací nástroje, jako jsou vyhledávání, záložky a živý stream. |
| Běžte lovit | Rychle otočte vyšetřování na entity nalezené v rámci incidentu. |
| Loví | Ucelený proaktivní proces proaktivního vyhledávání hrozeb s funkcemi pro spolupráci. |
| Záložky | Zachovejte dotazy a jejich výsledky přidáním poznámek a kontextových pozorování. |
| Živý stream | Spusťte interaktivní relaci proaktivního vyhledávání a použijte libovolný dotaz Log Analytics. |
| Proaktivní vyhledávání se souhrnnými pravidly | Pomocí souhrnných pravidel můžete ušetřit náklady na vyhledávání hrozeb v podrobných protokolech. |
| MITRE ATT&mapa CK | Při vytváření nového proaktivního dotazu vyberte konkrétní taktiku a techniky, které chcete použít. |
| Obnovení historických dat | Obnovte data z archivovaných protokolů pro použití ve vysoce výkonných dotazech. |
| Hledání velkých datových sad | Pomocí KQL vyhledejte konkrétní události v protokolech před sedmi lety. |
| Řetězení infrastruktury | Vyhledávání nových propojení mezi aktéry hrozeb, seskupení podobných aktivit útoku a zdůvodnění předpokladů |
| Průzkumník hrozeb | Vyhledávání specializovaných hrozeb souvisejících s e-mailem |
Fáze proaktivního vyhledávání
Následující tabulka popisuje, jak můžete maximálně využít nástroje proaktivního vyhledávání na portálu Defender ve všech fázích proaktivního vyhledávání hrozeb:
| Fáze proaktivního vyhledávání | Nástroje pro vyhledávání |
|---|---|
| Proaktivní – Najděte slabé oblasti ve vašem prostředí dříve, než to aktéři hrozeb udělají. Detekce podezřelých aktivit velmi brzy. | - Pravidelně provádějte kompletní proaktivní vyhledávání nezjištěných hrozeb a škodlivých chování, ověřování hypotéz a reakce na zjištění vytvořením nových detekcí, incidentů nebo analýzy hrozeb. – Pomocí mapy MITRE ATT&CK identifikujte mezery v detekci a pak spusťte předdefinované dotazy proaktivního vyhledávání pro zvýrazněné techniky. – Vložte nové analýzy hrozeb do osvědčených dotazů, abyste vyladili detekce a ověřili, jestli probíhá ohrožení zabezpečení. – Proveďte proaktivní kroky k sestavení a testování dotazů na data z nových nebo aktualizovaných zdrojů. – Pomocí pokročilého proaktivního proaktivního vyhledávání můžete najít útoky nebo hrozby v rané fázi, které neobsahují upozornění. |
| Reaktivní – během aktivního vyšetřování používejte nástroje proaktivního vyhledávání. | – Pomocí živého streamu můžete spouštět konkrétní dotazy v konzistentních intervalech a aktivně monitorovat události. – Rychle se na incidenty přepněte pomocí tlačítka Přejít prohledat a vyhledejte obecně podezřelé entity nalezené během vyšetřování. - Pronásledovat analýzu hrozeb a provést řetězení infrastruktury. – Pomocí Security Copilot v pokročilém proaktivním vyhledávání můžete generovat dotazy s rychlostí a škálováním počítače. |
| Po incidentu – vylepšete pokrytí a přehledy, abyste zabránili opakování podobných incidentů. | – Proměňte úspěšné proaktivní dotazy na nová analytická a detekční pravidla nebo zpřesněte stávající. - Obnovte historická data a prohledávejte velké datové sady pro specializované proaktivní vyhledávání v rámci úplného vyšetřování incidentů. |