Hunting auf der einheitlichen SecOps-Plattform von Microsoft
Die Suche nach Sicherheitsbedrohungen ist eine hochgradig anpassbare Aktivität, die am effektivsten ist, wenn sie in allen Phasen der Bedrohungssuche durchgeführt wird: proaktiv, reaktiv und nach einem Incident. Die Microsoft-Plattform für einheitliche Sicherheitsvorgänge (Unified Security Operations, SecOps) bietet effektive Suchtools für jede Phase der Bedrohungssuche. Diese Tools eignen sich gut für Analysten, die gerade erst in ihrer Karriere beginnen, oder erfahrene Bedrohungsjäger, die erweiterte Jagdmethoden verwenden. Bedrohungsjäger aller Ebenen profitieren von Suchtoolfeatures, mit denen sie ihre Techniken, Abfragen und Ergebnisse mit ihrem Team teilen können.
Suchtools
Die Grundlage der Suchabfragen im Defender-Portal basiert auf Kusto-Abfragesprache (KQL). KQL ist eine leistungsstarke und flexible Sprache, die für das Durchsuchen von Big Data-Speichern in Cloudumgebungen optimiert ist. Das Erstellen komplexer Abfragen ist jedoch nicht die einzige Möglichkeit, nach Bedrohungen zu suchen. Im Folgenden finden Sie einige weitere Suchtools und Ressourcen im Defender-Portal, die die Suche in Ihre Reichweite bringen:
- Security Copilot bei der erweiterten Suche generiert KQL aus Eingabeaufforderungen in natürlicher Sprache.
- Die geführte Suche verwendet einen Abfrage-Generator, um aussagekräftige Huntingabfragen zu erstellen, ohne KQL oder das Datenschema zu kennen.
- Erhalten Sie Hilfe beim Schreiben von Abfragen mit Features wie der Vorschlagssuche, der Schemastruktur und Beispielabfragen.
- Content Hub bietet Expertenabfragen, um sofort einsatzbereite Lösungen in Microsoft Sentinel abzugleichen.
- Microsoft Defender Experten für Bedrohungssuche komplimentiert sogar die besten Bedrohungsjäger, die Hilfe benötigen.
Maximieren Sie den vollen Umfang der Hunting-Fähigkeiten Ihres Teams mit den folgenden Huntingtools im Defender-Portal:
| Hunting-Tool | Beschreibung |
|---|---|
| Erweiterte Bedrohungssuche | Anzeigen und Abfragen von Datenquellen, die auf der einheitlichen SecOps-Plattform von Microsoft verfügbar sind, und Freigeben von Abfragen für Ihr Team. Verwenden Sie alle vorhandenen Microsoft Sentinel-Arbeitsbereichsinhalte, einschließlich Abfragen und Funktionen. |
| Microsoft Sentinel Hunting | Suchen nach Sicherheitsbedrohungen über Datenquellen hinweg. Verwenden Sie spezialisierte Such- und Abfragetools wie Suchvorgänge, Lesezeichen und Livestreams. |
| Suche starten | Pivotieren Sie eine Untersuchung schnell auf Entitäten, die innerhalb eines Incidents gefunden wurden. |
| Jagden | Ein end-to-End-, proaktiver Bedrohungssucheprozess mit Funktionen für die Zusammenarbeit. |
| Lesezeichen | Behalten Sie Abfragen und ihre Ergebnisse bei, und fügen Sie Notizen und kontextbezogene Beobachtungen hinzu. |
| Livestream | Starten Sie eine interaktive Huntingsitzung, und verwenden Sie eine beliebige Log Analytics-Abfrage. |
| Hunting mit Sammelregeln | Verwenden Sie Zusammenfassungsregeln, um Kosten für die Suche nach Bedrohungen in ausführlichen Protokollen zu sparen. |
| MITRE ATT&CK-Karte | Wählen Sie beim Erstellen einer neuen Hunting-Abfrage bestimmte Taktiken und Techniken aus, die angewendet werden sollen. |
| Wiederherstellen von Verlaufsdaten | Stellen Sie Daten aus archivierten Protokollen wieder her, um sie in abfragen mit hoher Leistung zu verwenden. |
| Durchsuchen großer Datasets | Suchen Sie in Protokollen vor bis zu sieben Jahren mithilfe von KQL nach bestimmten Ereignissen. |
| Infrastrukturverkettung | Suchen Sie nach neuen Verbindungen zwischen Bedrohungsakteuren, gruppieren Sie ähnliche Angriffsaktivitäten und untermauern Sie Annahmen. |
| Bedrohungs-Explorer | Suchen sie nach speziellen Bedrohungen im Zusammenhang mit E-Mails. |
Hunting-Phasen
In der folgenden Tabelle wird beschrieben, wie Sie die Suchtools des Defender-Portals in allen Phasen der Bedrohungssuche optimal nutzen können:
| Hunting-Phase | Suchtools |
|---|---|
| Proaktiv: Ermitteln Sie die schwachen Bereiche in Ihrer Umgebung, bevor Bedrohungsakteure dies tun. Erkennen Sie verdächtige Aktivitäten besonders früh. | – Führen Sie regelmäßig End-to-End-Huntings durch, um proaktiv nach nicht erkannten Bedrohungen und schädlichem Verhalten zu suchen, Hypothesen zu überprüfen und auf Erkenntnisse zu reagieren, indem sie neue Erkennungen, Vorfälle oder Threat Intelligence erstellen. – Verwenden Sie die MITRE ATT&CK-Zuordnung , um Erkennungslücken zu identifizieren, und führen Sie dann vordefinierte Huntingabfragen für hervorgehobene Techniken aus. – Fügen Sie neue Threat Intelligence in bewährte Abfragen ein, um Erkennungen zu optimieren und zu bestätigen, ob eine Kompromittierung ausgeführt wird. – Führen Sie proaktive Schritte aus, um Abfragen für Daten aus neuen oder aktualisierten Quellen zu erstellen und zu testen. – Verwenden Sie die erweiterte Suche , um Angriffe oder Bedrohungen ohne Warnungen im Frühstadium zu finden. |
| Reaktiv : Verwenden Sie Suchtools während einer aktiven Untersuchung. | – Verwenden Sie Livestream , um bestimmte Abfragen in konsistenten Intervallen auszuführen, um Ereignisse aktiv zu überwachen. - Schnelles Pivotieren von Incidents mit der Schaltfläche Gehe zur Suche nach verdächtigen Entitäten, die während einer Untersuchung gefunden wurden. – Durchsuchen sie Threat Intelligence, um Infrastrukturverkettung durchzuführen. – Verwenden Sie Security Copilot in der erweiterten Suche, um Abfragen mit Computergeschwindigkeit und Skalierung zu generieren. |
| Nach einem Incident : Verbessern Sie die Abdeckung und Erkenntnisse, um zu verhindern, dass sich ähnliche Vorfälle wiederholen. | – Wandeln Sie erfolgreiche Huntingabfragen in neue Analyse- und Erkennungsregeln um, oder optimieren Sie vorhandene. - Stellen Sie verlaufsbezogene Daten wieder her , und durchsuchen Sie große Datasets für die spezialisierte Suche im Rahmen vollständiger Incidentuntersuchungen. |