Jakt i Microsofts enhetlige SecOps-plattform
Jakt etter sikkerhetstrusler er en svært tilpassbar aktivitet som er mest effektiv når den oppnås på tvers av alle stadier av trusseljakt: proaktiv, reaktiv og etter hendelsen. Microsofts enhetlige sikkerhetsoperasjoner (SecOps)-plattform gir effektive jaktverktøy for alle stadier av trusseljakt. Disse verktøyene er godt egnet for analytikere som nettopp har startet i sin karriere, eller erfarne trusseljegere som bruker avanserte jaktmetoder. Trusseljegere på alle nivåer drar nytte av jaktverktøyfunksjoner som tillater dem å dele sine teknikker, spørringer og funn med teamet sitt underveis.
Jaktverktøy
Grunnlaget for jaktspørringer i Defender-portalen hviler på Kusto Query Language (KQL). KQL er et kraftig og fleksibelt språk som er optimalisert for å søke gjennom store datalagre i skymiljøer. Oppretting av komplekse spørringer er imidlertid ikke den eneste måten å jakte på trusler på. Her er noen flere jaktverktøy og ressurser i Defender-portalen som er utformet for å bringe jakt på din rekkevidde:
- Security Copilot i avansert jakt genererer KQL fra naturlig språk ledetekster.
- Veiledet jakt bruker en spørrebygger til å lage meningsfulle jaktspørringer uten å vite KQL eller dataskjemaet.
- Få hjelp når du skriver spørringer med funksjoner som automatisk forslag, skjematre og eksempelspørringer.
- Innholdshub gir ekspertspørringer som samsvarer med forhåndsdefinerte løsninger i Microsoft Sentinel.
- Microsoft Defender jakteksperter komplimenterer selv de beste trusseljegerne som ønsker hjelp.
Maksimer hele omfanget av teamets jaktdyktighet med følgende jaktverktøy i Defender-portalen:
| Jaktverktøy | Beskrivelse |
|---|---|
| Avansert jakt | Vis og spør etter datakilder som er tilgjengelige i Microsofts enhetlige SecOps-plattform, og del spørringer med teamet ditt. Bruk alt eksisterende arbeidsområdeinnhold Microsoft Sentinel, inkludert spørringer og funksjoner. |
| Microsoft Sentinel jakt | Jakt på sikkerhetstrusler på tvers av datakilder. Bruk spesialiserte søke- og spørringsverktøy som jakt,bokmerker og livestream. |
| Gå på jakt | Pivoter raskt en undersøkelse til enheter funnet i en hendelse. |
| Jakter | En ende-til-ende, proaktiv trusseljaktprosess med samarbeidsfunksjoner. |
| Bokmerker | Behold spørringer og deres resultater, og legg til notater og kontekstuelle observasjoner. |
| Livestream | Start en interaktiv jaktøkt, og bruk en Log Analytics-spørring. |
| Jakt med sammendragsregler | Bruk sammendragsregler for å spare kostnader på jakt etter trusler i detaljerte logger. |
| MITRE ATT&CK-kart | Når du oppretter en ny jaktspørring, velger du spesifikke taktikker og teknikker som skal brukes. |
| Gjenopprett historiske data | Gjenopprett data fra arkiverte logger til bruk i spørringer med høy ytelse. |
| Søk i store datasett | Søk etter bestemte hendelser i logger for opptil sju år siden ved hjelp av KQL. |
| Infrastrukturkjeding | Jakten på nye forbindelser mellom trusselaktører, gruppe lignende angrepsaktivitet og underbyggende antagelser. |
| Trusselutforsker | Jakt på spesialiserte trusler relatert til e-post. |
Jaktstadier
Tabellen nedenfor beskriver hvordan du kan få mest mulig ut av Defender-portalens jaktverktøy på tvers av alle stadier av trusseljakt:
| Jakttrinn | Jaktverktøy |
|---|---|
| Proaktiv - Finn de svake områdene i miljøet ditt før trusselaktører gjør det. Oppdag mistenkelig aktivitet ekstra tidlig. | – Utfør regelmessig ende-til-ende-jakter for proaktivt å oppsøke uoppdagede trusler og ondsinnet atferd, validere hypoteser og handle på funn ved å opprette nye oppdagelser, hendelser eller trusselintelligens. – Bruk MITRE ATT-&CK-kart til å identifisere gjenkjenningshull, og kjør deretter forhåndsdefinerte jaktspørringer for uthevede teknikker. – Sett inn ny trusselintelligens i påviste spørringer for å justere gjenkjenninger og bekrefte om et kompromiss pågår. – Utfør proaktive tiltak for å bygge og teste spørringer mot data fra nye eller oppdaterte kilder. – Bruk avansert jakt til å finne tidlig angrep eller trusler som ikke har varsler. |
| Reaktiv - Bruk jaktverktøy under en aktiv undersøkelse. | – Bruk livestream til å kjøre bestemte spørringer med konsekvente intervaller for å overvåke hendelser aktivt. - Pivoter raskt på hendelser med Go-jaktknappen for å søke bredt etter mistenkelige enheter som ble funnet under en etterforskning. - Jakt gjennom trusselintelligens for å utføre infrastrukturkjeding. – Bruk Security Copilot i avansert jakt til å generere spørringer i maskinhastighet og skalering. |
| Etter hendelsen - Forbedre dekning og innsikt for å hindre at lignende hendelser gjentas. | – Gjør vellykkede jaktspørringer om til nye analyse- og gjenkjenningsregler, eller begrens eksisterende spørringer. - Gjenopprett historiske data og søk i store datasett etter spesialisert jakt som en del av fullstendige hendelsesundersøkelser. |