Jagt på Microsofts samlede SecOps-platform
Jagt efter sikkerhedstrusler er en aktivitet, der kan tilpasses, og som er mest effektiv, når den udføres på tværs af alle faser af trusselsjagt: proaktiv, reaktiv og efter hændelse. Microsofts Unified Security Operations (SecOps)-platform leverer effektive jagtværktøjer til alle faser i trusselsjagt. Disse værktøjer er velegnede til analytikere, der lige er startet ud i deres karriere, eller erfarne trusselsjægere ved hjælp af avancerede jagtmetoder. Trusselsjægere på alle niveauer drager fordel af jagtværktøjsfunktioner, der giver dem mulighed for at dele deres teknikker, forespørgsler og resultater med deres team undervejs.
Jagtværktøjer
Grundlaget for jagtforespørgsler på Defender-portalen er Kusto Query Language (KQL). KQL er et effektivt og fleksibelt sprog, der er optimeret til at søge i big data-lagre i cloudmiljøer. Det er dog ikke den eneste måde at jage efter trusler på, når du udformer komplekse forespørgsler. Her er nogle flere jagtværktøjer og -ressourcer på Defender-portalen, der er designet til at give dig adgang til jagt:
- Security Copilot i avanceret jagt genererer KQL ud fra prompter om naturligt sprog.
- Automatiseret jagt bruger en forespørgselsgenerator til at udforme meningsfulde jagtforespørgsler uden at kende KQL eller dataskemaet.
- Få hjælp, når du skriver forespørgsler med funktioner som autosuggest, skematræ og eksempelforespørgsler.
- Indholdshub leverer ekspertforespørgsler, der matcher de løsninger, der er indbyggede i Microsoft Sentinel.
- Microsoft Defender jagteksperter roser selv de bedste trusselsjægere, der ønsker hjælp.
Maksimer det fulde omfang af dit teams jagtdygtighed med følgende jagtværktøjer på Defender-portalen:
| Jagtværktøj | Beskrivelse |
|---|---|
| Avanceret jagt | Få vist og forespørg om datakilder, der er tilgængelige på Microsofts samlede SecOps-platform, og del forespørgsler med dit team. Brug alt dit eksisterende Microsoft Sentinel arbejdsområdeindhold, herunder forespørgsler og funktioner. |
| Microsoft Sentinel jagt | Jagt efter sikkerhedstrusler på tværs af datakilder. Brug specialiserede søge- og forespørgselsværktøjer, f.eks. jagter, bogmærker og livestream. |
| Gå på jagt | Pivoter hurtigt en undersøgelse til enheder, der findes i en hændelse. |
| Jagter | En proaktiv trusselsjagtproces fra ende til anden med samarbejdsfunktioner. |
| Bogmærker | Bevar forespørgsler og deres resultater, og tilføj noter og kontekstafhængige observationer. |
| Livestream | Start en interaktiv jagtsession, og brug en hvilken som helst Log Analytics-forespørgsel. |
| Jagt med oversigtsregler | Brug oversigtsregler til at spare omkostninger på jagt efter trusler i detaljerede logge. |
| MITRE ATT&CK-kort | Når du opretter en ny jagtforespørgsel, skal du vælge bestemte taktikker og teknikker, der skal anvendes. |
| Gendan historiske data | Gendan data fra arkiverede logge, så de kan bruges i forespørgsler med høj ydeevne. |
| Søg i store datasæt | Søg efter bestemte hændelser i logfiler for op til syv år siden ved hjælp af KQL. |
| Sammenkædning af infrastruktur | Jagt efter nye forbindelser mellem trusselsaktører, gruppér lignende angrebsaktivitet, og dokumenterer antagelser. |
| Trusselsoversigt | Jagt efter specialiserede trusler relateret til mail. |
Jagtstadier
I følgende tabel beskrives det, hvordan du kan få mest muligt ud af Defender-portalens jagtværktøjer på tværs af alle faser af trusselsjagt:
| Jagtscene | Jagtværktøjer |
|---|---|
| Proaktiv – Find de svage områder i dit miljø, før trusselsaktører gør det. Registrer mistænkelig aktivitet ekstra tidligt. | – Udfører jævnligt jagter fra ende til anden for proaktivt at opsøge uopdagede trusler og ondsindet adfærd, validere hypoteser og reagere på resultaterne ved at oprette nye opdagelser, hændelser eller trusselsintelligens. – Brug MITRE ATT-kortet&CK til at identificere huller i registreringen, og kør derefter foruddefinerede jagtforespørgsler for fremhævede teknikker. – Indsæt ny trusselsintelligens i dokumenterede forespørgsler for at justere registreringer og bekræfte, om der er et kompromis i gang. – Tag proaktive skridt til at oprette og teste forespørgsler i forhold til data fra nye eller opdaterede kilder. – Brug avanceret jagt til at finde angreb i tidlig fase eller trusler, der ikke har beskeder. |
| Reactive – Brug jagtværktøjer under en aktiv undersøgelse. | – Brug livestream til at køre bestemte forespørgsler med ensartede intervaller for aktivt at overvåge begivenheder. – Pivoter hurtigt hændelser med knappen Gå på jagt for at søge bredt efter mistænkelige enheder, der blev fundet under en undersøgelse. - Jagt gennem trusselsintelligens for at udføre sammenkædning af infrastruktur. – Brug Security Copilot i avanceret jagt til at generere forespørgsler ved maskinhastighed og -skalering. |
| Efter hændelse – Øg dækningen og indsigten for at forhindre, at lignende hændelser gentages. | – Omsæt vellykkede jagtforespørgsler til nye regler for analyse og registrering, eller forfin eksisterende. - Gendan historiske data , og søg efter store datasæt til specialiseret jagt som en del af komplette efterforskninger af hændelser. |