Repérage dans la plateforme SecOps unifiée de Microsoft
La chasse aux menaces de sécurité est une activité hautement personnalisable qui est plus efficace lorsqu’elle est effectuée à toutes les étapes de la chasse aux menaces : proactive, réactive et post-incident. La plateforme d’opérations de sécurité unifiées (SecOps) de Microsoft fournit des outils de chasse efficaces pour chaque étape de la chasse aux menaces. Ces outils sont bien adaptés aux analystes qui débutent leur carrière ou aux chasseurs de menaces expérimentés utilisant des méthodes de chasse avancées. Les chasseurs de menaces de tous les niveaux bénéficient des fonctionnalités de l’outil de chasse qui leur permettent de partager leurs techniques, requêtes et résultats avec leur équipe en cours de route.
Outils de chasse
La base des requêtes de chasse dans le portail Defender repose sur Langage de requête Kusto (KQL). KQL est un langage puissant et flexible qui est optimisé pour la recherche dans des magasins Big Data dans des environnements cloud. Toutefois, la création de requêtes complexes n’est pas la seule façon de rechercher les menaces. Voici d’autres outils et ressources de chasse dans le portail Defender conçus pour mettre la chasse à votre portée :
- Security Copilot dans la chasse avancée génère du KQL à partir d’invites en langage naturel.
- La chasse guidée utilise un générateur de requêtes pour créer des requêtes de chasse significatives sans connaître KQL ou le schéma de données.
- Obtenez de l’aide lors de l’écriture de requêtes avec des fonctionnalités telles que la suggestion automatique, l’arborescence de schéma et des exemples de requêtes.
- Le hub de contenu fournit des requêtes d’experts pour faire correspondre des solutions prêtes à l’emploi dans Microsoft Sentinel.
- Experts Microsoft Defender pour la détection compliments même les meilleurs chasseurs de menaces qui veulent de l’aide.
Optimisez toute l’étendue des prouesses de chasse de votre équipe avec les outils de chasse suivants dans le portail Defender :
Outil de chasse | Description |
---|---|
Recherche avancée de menaces | Affichez et interrogez les sources de données disponibles dans la plateforme SecOps unifiée de Microsoft et partagez les requêtes avec votre équipe. Utilisez tout le contenu de votre espace de travail Microsoft Sentinel existant, y compris les requêtes et les fonctions. |
Microsoft Sentinel chasse | Recherchez les menaces de sécurité dans les sources de données. Utilisez des outils de recherche et de requête spécialisés tels que les chasses, les signets et leflux en direct. |
Accédez à la recherche | Faire pivoter rapidement une investigation vers les entités trouvées dans un incident. |
Chasse | Un processus proactif de repérage des menaces de bout en bout avec des fonctionnalités de collaboration. |
Signets | Conservez les requêtes et leurs résultats, en ajoutant des notes et des observations contextuelles. |
Livestream | Démarrez une session de repérage interactive et utilisez n’importe quelle requête Log Analytics. |
Chasse avec règles récapitulatives | Utilisez des règles récapitulatives pour réduire les coûts de recherche des menaces dans les journaux détaillés. |
Carte MITRE ATT&CK | Lors de la création d’une requête de chasse, sélectionnez des tactiques et techniques spécifiques à appliquer. |
Restaurer les données d’historique | Restaurez les données des journaux archivés à utiliser dans des requêtes hautes performances. |
Rechercher des jeux de données volumineux | Recherchez des événements spécifiques dans les journaux il y a jusqu’à sept ans à l’aide de KQL. |
Chaînage d’infrastructure | Recherchez de nouvelles connexions entre les acteurs des menaces, regroupez une activité d’attaque similaire et corroborez les hypothèses. |
Explorateur de menaces | Recherchez les menaces spécialisées liées aux e-mails. |
Phases de chasse
Le tableau suivant décrit comment tirer le meilleur parti des outils de chasse du portail Defender à toutes les étapes de la chasse aux menaces :
Phase de chasse | Outils de chasse |
---|---|
Proactive : recherchez les zones faibles de votre environnement avant que les acteurs des menaces ne le fassent. Détectez les activités suspectes très tôt. | - Effectuez régulièrement des chasses de bout en bout pour rechercher de manière proactive les menaces non détectées et les comportements malveillants, valider les hypothèses et agir sur les résultats en créant de nouvelles détections, incidents ou renseignements sur les menaces. - Utilisez la carte MITRE ATT&CK pour identifier les lacunes de détection, puis exécutez des requêtes de chasse prédéfinies pour les techniques mises en surbrillance. - Insérez de nouvelles informations sur les menaces dans des requêtes éprouvées pour régler les détections et vérifier si une compromission est en cours. - Prenez des mesures proactives pour générer et tester des requêtes sur des données provenant de sources nouvelles ou mises à jour. - Utilisez la chasse avancée pour rechercher les attaques ou les menaces à un stade précoce qui n’ont pas d’alertes. |
Réactif : utilisez des outils de chasse pendant une investigation active. | - Utilisez le flux en direct pour exécuter des requêtes spécifiques à des intervalles cohérents afin de surveiller activement les événements. - Pivotez rapidement sur les incidents avec le bouton Go hunt pour rechercher à grande échelle les entités suspectes trouvées au cours d’une enquête. - Parcourez le renseignement sur les menaces pour effectuer le chaînage de l’infrastructure. - Utilisez Security Copilot dans la chasse avancée pour générer des requêtes à la vitesse et à l’échelle de la machine. |
Post-incident : améliorez la couverture et les insights pour éviter que des incidents similaires ne se reproduisent. | - Transformez les requêtes de chasse réussies en nouvelles règles d’analyse et de détection, ou affinez les requêtes existantes. - Restaurez les données historiques et recherchez des jeux de données volumineux pour une chasse spécialisée dans le cadre d’enquêtes complètes sur les incidents. |