Metsästys Microsoftin yhtenäisellä SecOps-alustalla
Tietoturvauhkien metsästys on erittäin mukautettava toiminta, joka on tehokkainta, kun se saavutetaan kaikissa uhkien metsästyksen vaiheissa: ennakoiva, reaktiivinen ja tapausten jälkeinen. Microsoftin yhtenäinen turvallisuusoperaatioalusta (SecOps) tarjoaa tehokkaita metsästystyökaluja uhkien metsästyksen jokaiseen vaiheeseen. Nämä työkalut sopivat hyvin analyytikoille, jotka ovat vasta aloittamassa uraansa, tai kokeneille uhkienmetsästäjille, jotka käyttävät kehittyneitä metsästysmenetelmiä. Kaiken tasoiset uhkien metsästäjät hyötyvät metsästystyökalun ominaisuuksista, joiden avulla he voivat jakaa tekniikoitaan, kyselyjään ja havaintojaan tiiminsä kanssa matkan varrella.
Metsästystyökalut
Defender-portaalin metsästyskyselyjen perusta on Kusto Query Language (KQL). KQL on tehokas ja joustava kieli, joka on optimoitu massadatasäilöjen hakemiseen pilviympäristöissä. Monimutkaisten kyselyiden luominen ei kuitenkaan ole ainoa tapa etsiä uhkia. Seuraavassa on lisää metsästystyökaluja ja resursseja Defender-portaalissa, jotka on suunniteltu tuomaan metsästys ulottuvillesi:
- Security Copilot kehittyneessä metsästyksessä luo KQL:n luonnollisen kielen kehotteiden avulla.
- Ohjattu metsästys käyttää kyselyn muodostinta mielekkäiden metsästyskyselyiden luomiseen KQL:n tai tietorakenteen tietämättä.
- Hanki apua kirjoittaessasi kyselyitä , joissa on ominaisuuksia, kuten automaattinen haku, rakennepuu ja esimerkkikyselyt.
- Sisältökeskus tarjoaa asiantuntijakyselyitä, jotka vastaavat Microsoft Sentinel valmiita ratkaisuja.
- Microsoft Defenderin etsintäasiantuntijat kehuu jopa parhaita uhkien metsästäjiä, jotka haluavat apua.
Maksimoi joukkueesi metsästystaitojen koko laajuus seuraavien Defender-portaalin metsästystyökalujen avulla:
| Metsästystyökalu | Kuvaus |
|---|---|
| Tarkennettu etsintä | Tarkastele ja tee kyselyjä tietolähteistä, jotka ovat käytettävissä Microsoftin yhdistetyssä SecOps-ympäristössä, ja jaa kyselyjä tiimisi kanssa. Käytä kaikkea aiemmin luotua Microsoft Sentinel työtilan sisältöä, mukaan lukien kyselyt ja funktiot. |
| Microsoft Sentinel metsästys | Etsi tietoturvauhkia eri tietolähteistä. Käytä erityisiä haku- ja kyselytyökaluja, kuten jahtia, kirjanmerkkejä ja livestreamia. |
| Mene metsästämään | Pivotoi tutkimus nopeasti tapahtuman sisältämille entiteeteille. |
| Metsästää | Päästä päähän, ennakoiva uhkien metsästysprosessi yhteistyöominaisuuksilla. |
| Kirjanmerkit | Säilytä kyselyt ja niiden tulokset sekä lisää huomautuksia ja tilannekohtaisia havaintoja. |
| Livestream | Aloita vuorovaikutteinen metsästysistunto ja käytä mitä tahansa Log Analytics -kyselyä. |
| Metsästys yhteenvetosäännöillä | Käytä yhteenvetosääntöjä säästääksesi uhkien metsästyskustannuksia yksityiskohtaisissa lokeissa. |
| MITRE ATT&CK kartta | Kun luot uuden metsästyskyselyn, valitse tietyt taktiikat ja käytettävät tekniikat. |
| Palauta historialliset tiedot | Palauta tiedot arkistoiduista lokeista suorituskykyisiin kyselyihin. |
| Suurten tietojoukkojen hakeminen | Hae tiettyjä tapahtumia lokeista enintään seitsemän vuotta sitten KQL:n avulla. |
| Infrastruktuurin ketjuttaminen | Etsi uusia yhteyksiä uhkatoimijoiden välillä, ryhmittele samanlaisia hyökkäystoimia ja lisää oletuksia. |
| Uhkien hallinta | Metsästää erityisiä uhkia liittyy sähköpostiin. |
Metsästysvaiheet
Seuraavassa taulukossa kuvataan, miten voit hyödyntää Defender-portaalin metsästystyökaluja kaikissa uhkien metsästyksen vaiheissa:
| Metsästysvaihe | Metsästystyökalut |
|---|---|
| Ennakoiva – Selvitä ympäristön heikot alueet ennen uhkatoimijoiden toimia. Tunnista epäilyttävä toiminta erittäin aikaisin. | - suorittaa säännöllisesti päästä päähän - metsästystä havaitsemattomien uhkien ja haitallisten käyttäytymisten ennakoivaksi etsimiseksi, hypoteesien vahvistamiseksi ja havaintojen perusteella toimimiseksi luomalla uusia tunnistuksia, välikohtauksia tai uhkatietoja. - Käytä MITRE ATT&CK -karttaa havaitsemisaukkojen tunnistamiseen ja suorita sitten ennalta määritetyt metsästyskyselyt korostetuille tekniikoille. - Lisää uusia uhkatietoja todistettuihin kyselyihin, jotta voit hienosäätää tunnistuksia ja vahvistaa, onko kompromissi käynnissä. – luoda ja testata uusien tai päivitettyjen lähteiden tietoihin kohdistuvia kyselyitä ennakoivasti. - Etsi kehittyneen metsästyksen avulla aikaisia hyökkäyksiä tai uhkia, joissa ei ole ilmoituksia. |
| Reactive – Käytä metsästystyökaluja aktiivisen tutkimuksen aikana. | – livestreamin avulla voit suorittaa tiettyjä kyselyitä yhdenmukaisella aikavälillä tapahtumien aktiiviseksi valvomiseksi. - Pivotoi tapahtumat nopeasti Go hunt -painikkeella, jotta voit etsiä yleisesti epäilyttäviä entiteettejä, jotka löytyivät tutkimuksen aikana. – metsästää uhkien avulla infrastruktuurin ketjutuksen suorittamiseksi. - käytä Security Copilot kehittyneessä metsästyksessä kyselyjen luomiseksi konenopeudella ja mittakaavalla. |
| Tapahtuman jälkeinen : paranna kattavuutta ja merkityksellisiä tietoja, jotta samankaltaisia tapauksia ei toistuisi. | - Muuttaa onnistuneet metsästyskyselyt uusiksi analytiikka- ja tunnistussäännöiksi tai tarkentaa olemassa olevia. - Palauta historialliset tiedot ja etsi suuria tietojoukkoja erikoismetsästykseen osana täyttä tapaustutkimusta. |