Ricerca nella piattaforma SecOps unificata di Microsoft
La ricerca delle minacce alla sicurezza è un'attività altamente personalizzabile che è più efficace quando viene eseguita in tutte le fasi della ricerca delle minacce: proattiva, reattiva e post-evento imprevisto. La piattaforma Microsoft Unified Security Operations (SecOps) offre strumenti di ricerca efficaci per ogni fase di ricerca delle minacce. Questi strumenti sono adatti agli analisti che hanno appena iniziato la loro carriera o che hanno sperimentato cacciatori di minacce usando metodi di caccia avanzati. I cacciatori di minacce di tutti i livelli traggono vantaggio dalle funzionalità degli strumenti di ricerca che consentono loro di condividere le loro tecniche, query e risultati con il loro team lungo la strada.
Strumenti di ricerca
La base delle query di ricerca nel portale di Defender si basa su Linguaggio di query Kusto (KQL). KQL è un linguaggio potente e flessibile ottimizzato per la ricerca negli archivi Big Data negli ambienti cloud. Tuttavia, la creazione di query complesse non è l'unico modo per cercare le minacce. Ecco alcuni altri strumenti e risorse di ricerca all'interno del portale di Defender progettati per portare la ricerca alla tua portata:
- Security Copilot nella ricerca avanzata genera KQL dai prompt del linguaggio naturale.
- La ricerca guidata usa un generatore di query per creare query di ricerca significative senza conoscere KQL o lo schema dei dati.
- Ottenere assistenza durante la scrittura di query con funzionalità come suggerimenti automatici, albero dello schema e query di esempio.
- L'hub contenuto fornisce query esperte per trovare soluzioni predefinite in Microsoft Sentinel.
- Microsoft Defender Experts for Hunting complimenti anche ai migliori cacciatori di minacce che vogliono assistenza.
Ottimizzare l'estensione completa delle abilità di ricerca del team con i seguenti strumenti di ricerca nel portale di Defender:
| Strumento di ricerca | Descrizione |
|---|---|
| Rilevazione avanzata | Visualizzare ed eseguire query sulle origini dati disponibili nella piattaforma SecOps unificata di Microsoft e condividere le query con il team. Usare tutto il contenuto dell'area di lavoro Microsoft Sentinel esistente, incluse le query e le funzioni. |
| ricerca Microsoft Sentinel | Cercare le minacce alla sicurezza tra le origini dati. Usare strumenti di ricerca e query specializzati, ad esempio hunt,segnalibri e livestream. |
| Iniziare la ricerca | Eseguire rapidamente il pivot di un'indagine alle entità trovate all'interno di un evento imprevisto. |
| Cacciatori | Un processo di ricerca delle minacce proattivo end-to-end con funzionalità di collaborazione. |
| Segnalibri | Mantenere le query e i relativi risultati, aggiungendo note e osservazioni contestuali. |
| Livestream | Avviare una sessione di ricerca interattiva e usare qualsiasi query di Log Analytics. |
| Ricerca con regole di riepilogo | Usare le regole di riepilogo per risparmiare sulla ricerca dei costi per le minacce nei log dettagliati. |
| Mappa MITRE ATT&CK | Quando si crea una nuova query di ricerca, selezionare tattiche e tecniche specifiche da applicare. |
| Ripristinare i dati cronologici | Ripristinare i dati dai log archiviati da usare nelle query con prestazioni elevate. |
| Eseguire ricerche in set di dati di grandi dimensioni | Cercare eventi specifici nei log fino a sette anni fa usando KQL. |
| Concatenamento dell'infrastruttura | Cercare nuove connessioni tra gli attori delle minacce, raggruppare attività di attacco simili e creare istanze di presupposti. |
| Esplora minacce | Cercare le minacce specializzate correlate alla posta elettronica. |
Fasi di ricerca
La tabella seguente descrive come sfruttare al meglio gli strumenti di ricerca del portale di Defender in tutte le fasi della ricerca delle minacce:
| Fase di ricerca | Strumenti di ricerca |
|---|---|
| Proattivo : trovare le aree deboli nell'ambiente prima che lo facciano gli attori delle minacce. Rilevare attività sospette in anticipo. | - Eseguire regolarmente ricerche end-to-end per cercare in modo proattivo minacce non rilevate e comportamenti dannosi, convalidare ipotesi e agire sui risultati creando nuovi rilevamenti, eventi imprevisti o intelligence sulle minacce. - Usare la mappa MITRE ATT&CK per identificare le lacune di rilevamento e quindi eseguire query di ricerca predefinite per le tecniche evidenziate. - Inserire nuove informazioni sulle minacce in query consolidate per ottimizzare i rilevamenti e verificare se è in corso una compromissione. - Eseguire passaggi proattivi per compilare e testare le query sui dati provenienti da origini nuove o aggiornate. - Usare la ricerca avanzata per trovare attacchi o minacce in fase iniziale che non dispongono di avvisi. |
| Reattivo : usare gli strumenti di ricerca durante un'indagine attiva. | - Usare livestream per eseguire query specifiche a intervalli coerenti per monitorare attivamente gli eventi. - Eseguire rapidamente il pivot sugli eventi imprevisti con il pulsante Di ricerca Vai per cercare in modo ampio le entità sospette rilevate durante un'indagine. - Cercare informazioni sulle minacce per eseguire il concatenamento dell'infrastruttura. - Usare Security Copilot nella ricerca avanzata per generare query a velocità e scalabilità del computer. |
| Post-evento imprevisto : migliorare la copertura e le informazioni dettagliate per evitare che eventi imprevisti simili si ripetano. | - Trasformare le query di ricerca riuscite in nuove regole di analisi e rilevamento o perfezionare quelle esistenti. - Ripristinare i dati cronologici e cercare set di dati di grandi dimensioni per la ricerca specializzata nell'ambito di indagini complete sugli eventi imprevisti. |