Erkunden der erweiterten Bedrohungssuche
Die erweiterte Bedrohungssuche ist ein abfragebasiertes Tool zur Bedrohungsermittlung, mit dem Sie Rohdaten für bis zu 30 Tage untersuchen können. Sie können Ereignisse in Ihrem Netzwerk proaktiv überprüfen, um Bedrohungsindikatoren und Entitäten zu finden. Der flexible Zugriff auf die Daten ermöglicht eine uneingeschränkte Suche nach bekannten und potenziellen Bedrohungen.
Sie können dieselben Abfragen zur Bedrohungssuche verwenden, um benutzerdefinierte Erkennungsregeln zu erstellen. Diese Regeln werden automatisch ausgeführt, um nach vermuteten Sicherheitsverletzungsaktivitäten, falsch konfigurierten Computern und anderen Ergebnissen zu suchen und darauf zu reagieren. Die Funktion zur erweiterten Bedrohungssuche unterstützt Abfragen, die ein breiteres Dataset überprüfen, von folgender Software:
Microsoft Defender für den Endpunkt
Microsoft Defender für Office 365
Microsoft Defender for Cloud Apps
Microsoft Defender for Identity
Um die erweiterte Bedrohungssuche zu verwenden, aktivieren Sie Microsoft Defender XDR.
Datenaktualität und Aktualisierungsfrequenz
Daten für die erweiterte Bedrohungssuche können in zwei unterschiedliche Typen kategorisiert werden, die jeweils unterschiedlich konsolidiert werden.
Ereignis- oder Aktivitätsdaten: Hiermit werden Tabellen zu Warnungen, Sicherheitsereignissen, Systemereignissen und Routinebewertungen aufgefüllt. Die erweiterte Bedrohungssuche empfängt diese Daten nahezu sofort, nachdem sie von den für das Zusammenstellen zuständigen Sensoren an die jeweiligen Clouddienste übertragen wurden. Beispielsweise können Sie Ereignisdaten von fehlerfreien Sensoren auf Arbeitsstationen oder Domänencontrollern nahezu unmittelbar abfragen, nachdem sie auf Microsoft Defender für Endpunkt und Microsoft Defender for Identity verfügbar werden.
Entitätsdaten: Hiermit werden Tabellen mit Informationen zu Benutzer*innen und Geräten gefüllt. Diese Daten stammen aus relativ statischen Datenquellen und dynamischen Quellen, z. B. aus Active Directory-Einträgen und Ereignisprotokollen. Um aktuelle Daten bereitzustellen, werden die Tabellen alle 15 Minuten mit neuen Informationen aktualisiert. Dabei werden Zeilen hinzugefügt, die möglicherweise nicht vollständig ausgefüllt sind. Alle 24 Stunden werden Daten zusammengefasst, um einen Datensatz einzufügen, der das neueste, umfassendste Dataset für jede Entität enthält.
Zeitzone
Zeitinformationen bei der erweiterten Bedrohungssuche werden in UTC angegeben.
Datenschema
Das Schema der erweiterten Bedrohungssuche besteht aus mehreren Tabellen, die entweder Ereignisinformationen oder Informationen zu Geräten, Warnungen, Identitäten und anderen Entitätstypen bereitstellen. Um effektiv Abfragen über mehrere Tabellen zu erstellen, müssen Sie die Tabellen und Spalten im Schema der erweiterten Bedrohungssuche verstehen.
Erhalten von Schemainformationen
Verwenden Sie beim Erstellen von Abfragen den integrierten Schemaverweis, um die folgenden Informationen zu jeder Tabelle im Schema schnell zu erhalten:
Tabellenbeschreibung: Der Typ der in der Tabelle enthaltenen Daten und die Quelle dieser Daten.
Spalten: Alle Spalten in der Tabelle.
Aktionstypen: Mögliche Werte in der Spalte „ActionType“, die die von der Tabelle unterstützten Ereignistypen darstellen. Diese Informationen werden nur für Tabellen bereitgestellt, die Ereignisinformationen enthalten.
Beispielabfrage: Beispielabfragen, die die Verwendung der Tabelle zeigen.
Zugreifen auf den Schemaverweis
Um schnell auf den Schemaverweis zu zugreifen, wählen Sie die Aktion „Verweis anzeigen“ neben dem Tabellennamen in der Schemadarstellung aus. Sie können auch „Schemaverweis“ auswählen, um nach einer Tabelle zu suchen.
Lernen der Schematabellen
In der folgenden Referenzliste werden alle Tabellen im Schema aufgeführt. Jeder Tabellenname ist mit einer Seite verknüpft, die die Spaltennamen für diese Tabelle beschreibt. Tabellen- und Spaltennamen werden auch im Sicherheitscenter als Teil der Schemadarstellung auf der Anzeige für die erweiterte Bedrohungssuche aufgeführt.
| Tabellenname | BESCHREIBUNG |
|---|---|
| AlertEvidence | Dateien, IP-Adressen, URLs, Benutzer oder Geräte, die mit Warnungen in Verbindung stehen |
| AlertInfo | Warnungen von Microsoft Defender für Endpunkt, Microsoft Defender für Office 365, Microsoft Cloud App Security und Microsoft Defender for Identity, einschließlich Schweregradinformationen und Bedrohungskategorisierung |
| CloudAppEvents | Ereignisse, die Konten und Objekte in Office 365 und anderen Cloud-Apps und -Diensten betreffen |
| DeviceEvents | Mehrere Ereignistypen, einschließlich Ereignissen, die durch Sicherheitskontrollen wie Windows Defender Antivirus und Exploit-Schutz ausgelöst werden |
| DeviceFileCertificateInfo | Zertifikatsinformationen von signierten Dateien, die aus Zertifikatsüberprüfungsereignissen auf Endpunkten gewonnen werden |
| DeviceFileEvents | Dateierstellung, Änderung und andere Dateisystemereignisse |
| DeviceImageLoadEvents | DLL-Ladeereignisse |
| DeviceInfo | Maschineninformationen, einschließlich Betriebssysteminformationen |
| DeviceLogonEvents | Anmeldungen und andere Authentifizierungsereignisse auf Geräten |
| DeviceNetworkEvents | Netzwerkverbindung und zugehörige Ereignisse |
| DeviceNetworkInfo | Netzwerkeigenschaften von Geräten, einschließlich physischer Adapter, IP- und MAC-Adressen sowie verbundener Netzwerke und Domänen |
| DeviceProcessEvents | Prozesserstellung und zugehörige Ereignisse |
| DeviceRegistryEvents | Erstellen und Ändern von Registrierungseinträgen |
| DeviceTvmSecureConfigurationAssessment | Bewertungsereignisse aus dem Bedrohungs- und Sicherheitsrisikomanagement, die den Status verschiedener Sicherheitskonfigurationen auf Geräten angeben |
| DeviceTvmSecureConfigurationAssessmentKB | Wissensdatenbank mit verschiedenen Sicherheitskonfigurationen, die vom Bedrohungs- und Sicherheitsrisikomanagement zum Bewerten von Geräten verwendet werden, darunter Zuordnungen zu verschiedenen Standards und Benchmarks |
| DeviceTvmSoftwareInventory | Bestand der auf Geräten installierten Software, einschließlich der Versionsinformationen und des Status „Ende des Supports“ |
| DeviceTvmSoftwareVulnerabilities | Auf Geräten gefundene Softwaresicherheitsrisiken und die Liste der verfügbaren Sicherheitsupdates, die die einzelnen Sicherheitsrisiken beheben |
| DeviceTvmSoftwareVulnerabilitiesKB | Wissensdatenbank mit öffentlich verfügbaren Sicherheitsrisiken, einschließlich Informationen dazu, ob der Exploit-Code öffentlich verfügbar ist |
| EmailAttachmentInfo | Informationen über an E-Mails angehängte Dateien |
| EmailEvents | Microsoft 365 E-Mail-Ereignisse, einschließlich E-Mail-Zustellungs- und Blockierungsereignisse |
| EmailPostDeliveryEvents | Sicherheitsereignisse, die nach der Zustellung auftreten, nachdem Microsoft 365 die E-Mails an das Empfängerpostfach zugestellt hat |
| EmailUrlInfo | Informationen über URLs in E-Mails |
| IdentityDirectoryEvents | Ereignisse mit einem lokalen Domänencontroller, auf dem Active Directory (AD) ausgeführt wird Diese Tabelle enthält eine Reihe von identitätsbezogenen Ereignissen und Systemereignissen auf dem Domänencontroller. |
| IdentityInfo | Kontoinformationen aus verschiedenen Quellen, einschließlich Microsoft Entra ID |
| IdentityLogonEvents | Authentifizierungsereignisse in Active Directory und Microsoft-Onlinediensten |
| IdentityQueryEvents | Abfragen für Active Directory-Objekte wie Benutzer, Gruppen, Geräte und Domänen |
Benutzerdefinierte Erkennungen
Mit benutzerdefinierten Erkennungen können Sie verschiedene Ereignisse und Systemzustände proaktiv überwachen und darauf reagieren, u. a. bei Verdacht auf Sicherheitsverletzungen und falsch konfigurierte Endpunkte. Hierzu können Sie anpassbare Erkennungsregeln verwenden, die automatisch Warnungen und Reaktionsaktionen auslösen.
Benutzerdefinierte Erkennungen arbeiten mit der erweiterten Bedrohungssuche, die eine leistungsstarke, flexible Abfragesprache bietet, die eine Vielzahl von Ereignis- und Systeminformationen aus Ihrem Netzwerk abdeckt. Sie können festlegen, dass sie in regelmäßigen Abständen ausgeführt werden, Warnungen generieren und Reaktionsaktionen durchführen, wenn Übereinstimmungen vorhanden sind.
Benutzerdefinierte Erkennungen bieten Folgendes:
Warnungen für regelbasierte Erkennungen, die aus Abfragen in einer erweiterten Bedrohungssuche erstellt wurden
Automatische Antwortaktionen, die auf Dateien und Geräte angewendet werden
Erstellen von Erkennungsregeln
So erstellen Sie Erkennungsregeln:
1. Bereiten Sie die Abfrage vor.
Wechseln Sie im Microsoft Defender Security Center zur erweiterten Bedrohungssuche, und wählen Sie eine vorhandene Abfrage aus, oder erstellen Sie eine neue Abfrage. Wenn Sie eine neue Abfrage verwenden, führen Sie die Abfrage aus, um Fehler zu identifizieren und mögliche Ergebnisse zu verstehen.
Wichtig
Um zu verhindern, dass der Dienst zu viele Warnungen zurückgibt, ist jede Regel darauf beschränkt, bei jeder Ausführung nur 100 Warnungen zu erstellen. Bevor Sie eine Regel erstellen, optimieren Sie die Abfrage, damit keine Warnungen für normale, tägliche Aktivitäten ausgelöst werden.
Um eine Abfrage für eine benutzerdefinierte Erkennungsregel zu verwenden, muss die Abfrage die folgenden Spalten zurückgeben:
Timestamp
deviceId
ReportId
Einfache Abfragen, die z. B. nicht mit dem Project- oder Summarize-Operator Ergebnisse aggregieren oder anpassen, geben normalerweise diese Spalten zurück.
Es gibt verschiedene Möglichkeiten, um sicherzustellen, dass komplexere Abfragen diese Spalten zurückgeben. Wenn Sie z. B. nach DeviceId aggregieren und zählen möchten, können Sie Timestamp und ReportId zurückgeben, indem Sie sie aus dem letzten Ereignis mit dem jeweiligen Gerät abrufen.
Die nachstehende Beispielabfrage zählt die Anzahl der eindeutigen Geräte (DeviceId) mit Virenerkennungen und verwendet diese, um nur die Geräte mit mehr als fünf Erkennungen zu ermitteln. Um den aktuellen Zeitstempel und die zugehörige ReportId zurückzugeben, wird der Summarize-Operator mit der arg_max-Funktion verwendet.
DeviceEvents
| where Timestamp > ago(7d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5
2. Erstellen Sie eine neue Regel, und geben Sie Warnungsdetails an.
Zeigen Sie die Abfrage im Abfrage-Editor an, wählen Sie die Option „Erkennungsregel erstellen“ aus, und geben Sie die folgenden Warnungsdetails an:
Erkennungsname: Name der Erkennungsregel
Häufigkeit: Intervall für das Ausführen der Abfrage und das Ausführen von Aktionen. Weitere Informationen finden Sie unten.
Warnungstitel: Titel, der für von der Regel ausgelöste Warnungen angezeigt wird
Schweregrad: Potenzielles Risiko der von der Regel identifizierten Komponente oder Aktivität.
Kategorie: Typ der Bedrohungskomponente oder Aktivität, falls vorhanden.
MITRE ATT&CK-Verfahren: Eines oder mehrere Angriffsverfahren, die von der Regel wie im MITRE ATT&CK-Framework dokumentiert identifiziert werden. Dieser Abschnitt ist für bestimmte Warnungskategorien wie Schadsoftware, Ransomware, verdächtige Aktivitäten und unerwünschte Software nicht verfügbar.
Beschreibung: Weitere Informationen zu der von der Regel identifizierten Komponente oder Aktivität
Empfohlene Aktionen: Weitere Aktionen, die als Reaktion auf eine Warnung ausgeführt werden können
3. Regelhäufigkeit
Beim Speichern wird eine neue benutzerdefinierte Erkennungsregel sofort ausgeführt und überprüft die Daten der letzten 30 Tage auf Übereinstimmungen. Die Regel wird dann in festen Intervallen und Rückblickdauern abhängig von der ausgewählten Häufigkeit erneut ausgeführt:
Alle 24 Stunden: Wird alle 24 Stunden ausgeführt und überprüft Daten der letzten 30 Tage
Alle 12 Stunden: Wird alle 12 Stunden ausgeführt und überprüft Daten der letzten 48 Stunden
Alle 3 Stunden: Wird alle 3 Stunden ausgeführt und überprüft Daten der letzten 12 Stunden
Jede Stunde: Wird stündlich ausgeführt und überprüft Daten der letzten 4 Stunden
Kontinuierlich (NRT) – wird kontinuierlich ausgeführt und überprüft Daten aus Ereignissen während sie gesammelt und verarbeitet werden in nahezu Echtzeit (NRT).
Wählen Sie die Häufigkeit aus, mit der die Erkennungen überwacht werden sollen. Berücksichtigen Sie dabei, wie viele Kapazitäten Ihre Organisation hat, um auf die Warnungen zu reagieren.
Hinweis
Wenn Sie eine benutzerdefinierte Erkennung festlegen, die in der Fortlaufenden Häufigkeit (NRT) ausgeführt wird, können Sie die Fähigkeit Ihrer Organisation erhöhen, Bedrohungen schneller zu erkennen.
4. Wählen Sie die betroffenen Entitäten aus.
Identifizieren Sie die Spalten in den Abfrageergebnissen, in denen Sie die am meisten betroffene Entität erwarten. Beispielsweise kann eine Abfrage sowohl Geräte- als auch Benutzer-IDs zurückgeben. Wenn Sie identifizieren, welche dieser Spalten die hauptsächlich betroffene Entität darstellen, kann der Dienst relevante Warnungen besser aggregieren, Incidents korrelieren und Antwortaktionen gezielt ausführen.
Sie können nur eine Spalte für jeden Entitätstyp auswählen. Spalten, die nicht von der Abfrage zurückgegeben werden, können nicht ausgewählt werden.
5. Geben Sie Aktionen an.
Mit der benutzerdefinierten Erkennungsregel können automatisch Aktionen für Dateien oder Geräte ausgeführt werden, die von der Abfrage zurückgegeben werden.
Aktionen auf Geräten
Diese Aktionen werden auf Geräte in der Spalte „DeviceId“ der Abfrageergebnisse angewendet:
Gerät isolieren: Hierbei wird eine vollständige Netzwerkisolation ausgeführt, die verhindert, dass das Gerät eine Verbindung mit einer Anwendung oder einem Dienst herstellt (Ausnahme ist der Defender für Endpunkt-Dienst).
Untersuchungspaket zusammenstellen: Die Geräteinformationen werden in einer ZIP-Datei erfasst.
Antivirenüberprüfung ausführen: Auf dem Gerät wird ein vollständiger Microsoft Defender Antivirus-Scan ausgeführt.
Untersuchung initiieren: Auf dem Gerät wird eine automatisierte Untersuchung gestartet.
Aktionen für Dateien
Diese Aktionen werden auf Dateien in der Spalte „SHA1“ oder „InitiatingProcessSHA1“ der Abfrageergebnisse angewendet:
Zulassen/Blockieren: Die Datei wird automatisch Ihrer benutzerdefinierten Indikatorliste hinzugefügt, sodass die Ausführung immer zugelassen oder blockiert wird. Sie können den Bereich dieser Aktion so festlegen, dass sie nur für ausgewählte Gerätegruppen ausgeführt wird. Dieser Umfang ist unabhängig vom Gültigkeitsbereich der Regel.
Datei unter Quarantäne stellen: Die Datei wird an ihrem aktuellen Speicherort gelöscht, und eine Kopie wird unter Quarantäne gestellt.
6. Legen Sie den Geltungsbereich der Regel fest.
Legen Sie den Umfang fest, um anzugeben, welche Geräte durch die Regel abgedeckt werden:
Alle Geräte
Bestimmte Gerätegruppen
Nur Daten von Geräten im Gültigkeitsbereich werden abgefragt. Außerdem werden Aktionen nur auf diesen Geräten ausgeführt.
7. Überprüfen Sie die Regel, und aktivieren Sie sie.
Wählen Sie nach dem Überprüfen der Regel „Erstellen“ aus, um sie zu speichern. Die benutzerdefinierte Erkennungsregel wird sofort ausgeführt. Sie wird auf der Grundlage der konfigurierten Häufigkeit erneut ausgeführt, um nach Übereinstimmungen zu suchen, Warnungen zu generieren und Antwortaktionen auszuführen.