Delen via

End-to-end proactieve opsporing van bedreigingen uitvoeren in Microsoft Sentinel

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Proactieve opsporing van bedreigingen is een proces waarbij beveiligingsanalisten niet-gedetecteerde bedreigingen en schadelijk gedrag zoeken. Door een hypothese te maken, gegevens te doorzoeken en die hypothese te valideren, bepalen ze waar ze op moeten reageren. Acties kunnen bestaan uit het maken van nieuwe detecties, nieuwe bedreigingsinformatie of het opzetten van een nieuw incident.

Gebruik de end-to-end opsporingservaring in Microsoft Sentinel om het volgende te doen:

  • Proactief jagen op basis van specifieke MITRE-technieken, mogelijk schadelijke activiteiten, recente bedreigingen of uw eigen aangepaste hypothese.
  • Gebruik door beveiligingsonderzoeker gegenereerde opsporingsquery's of aangepaste opsporingsquery's om schadelijk gedrag te onderzoeken.
  • Voer uw zoekopdrachten uit met behulp van meerdere persistente querytabbladen waarmee u context in de loop van de tijd kunt behouden.
  • Verzamel bewijs, onderzoek UEBA-bronnen en annotaties voor uw bevindingen met behulp van specifieke bladwijzers.
  • Werk samen en documenteer uw bevindingen met opmerkingen.
  • Reageer op resultaten door nieuwe analyseregels, nieuwe incidenten, nieuwe bedreigingsindicatoren en playbooks uit te voeren.
  • Houd uw nieuwe, actieve en gesloten jachten op één plek bij.
  • Bekijk metrische gegevens op basis van gevalideerde hypothesen en tastbare resultaten.

Belangrijk

Microsoft Sentinel is algemeen beschikbaar binnen het geïntegreerde beveiligingsbewerkingsplatform van Microsoft in de Microsoft Defender-portal. Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Vereisten

Als u de opsporingsfunctie wilt gebruiken, moet u een ingebouwde Microsoft Sentinel-rol of een aangepaste Azure RBAC-rol toegewezen krijgen. Dit zijn uw opties:

Uw hypothese definiëren

Het definiëren van een hypothese is een open, flexibel proces en kan elk idee bevatten dat u wilt valideren. Veelvoorkomende hypothesen zijn:

  • Verdacht gedrag: onderzoek mogelijk schadelijke activiteiten die zichtbaar zijn in uw omgeving om te bepalen of er een aanval plaatsvindt.
  • Nieuwe bedreigingscampagne: zoek naar soorten schadelijke activiteiten op basis van nieuw gedetecteerde bedreigingsactoren, technieken of beveiligingsproblemen. Dit kan iets zijn waarover u in een artikel over beveiligingsnieuws hebt gehoord.
  • Detectie-hiaten: vergroot uw detectiedekking met behulp van de MITRE ATT&CK-kaart om hiaten te identificeren.

Microsoft Sentinel biedt u flexibiliteit wanneer u op de juiste set opsporingsquery's in de juiste set opsporingsquery's komt om uw hypothese te onderzoeken. Wanneer u een jacht maakt, start u deze met vooraf geselecteerde opsporingsquery's of voegt u query's toe terwijl u verder gaat. Hier volgen aanbevelingen voor vooraf geselecteerde query's op basis van de meest voorkomende hypothesen.

Hypothese : verdacht gedrag

  1. Voor Microsoft Sentinel in De Azure-portal selecteert u Opsporing onder Bedreigingsbeheer.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Threat Management>Hunting.

  2. Selecteer het tabblad Query's . Als u mogelijk schadelijk gedrag wilt identificeren, voert u alle query's uit.

  3. Selecteer Alle query's uitvoeren totdat de query's> zijn uitgevoerd. Dit proces kan even duren.

  4. Selecteer Filterresultaten >>toevoegen de selectievakjes '!, 'N/B', '-' en '0' toepassen >Schermopname van het filter dat wordt beschreven in stap 3.

  5. Sorteer deze resultaten op de kolom Resultaten delta om te zien wat het laatst is gewijzigd. Deze resultaten bieden initiële richtlijnen voor de jacht.

Hypothese - Nieuwe bedreigingscampagne

De inhoudshub biedt bedreigingscampagne en op domeinen gebaseerde oplossingen voor het opsporen van specifieke aanvallen. In de volgende stappen installeert u een van deze typen oplossingen.

  1. Ga naar de Content Hub.

  2. Installeer een bedreigingscampagne of op een domein gebaseerde oplossing, zoals de detectie van beveiligingsproblemen in Log4J of Apache Tomcat.

    Schermopname van de inhoudshub in de rasterweergave met de Log4J- en Apache-oplossingen geselecteerd.

  3. Nadat de oplossing is geïnstalleerd, gaat u in Microsoft Sentinel naar Opsporing.

  4. Selecteer het tabblad Query's .

  5. Zoek op oplossingsnaam of filter op bronnaam van de oplossing.

  6. Selecteer de query en Voer de query uit.

Hypothese - Detectie-hiaten

Met de MITRE ATT&CK-kaart kunt u specifieke hiaten in uw detectiedekking identificeren. Gebruik vooraf gedefinieerde opsporingsquery's voor specifieke MITRE ATT&CK-technieken als uitgangspunt om nieuwe detectielogica te ontwikkelen.

  1. Navigeer naar de pagina MITRE ATT&CK (preview).

  2. Hef de selectie van items op in de vervolgkeuzelijst Actief.

  3. Selecteer Opsporingsquery's in het gesimuleerde filter om te zien welke technieken opsporingsquery's eraan zijn gekoppeld.

    Schermopname van de PAGINA MITRE ATT&CK met de optie voor gesimuleerde opsporingsquery's geselecteerd.

  4. Selecteer de kaart met de gewenste techniek.

  5. Selecteer de koppeling Weergave naast Opsporingsquery's onderaan het detailvenster. Met deze koppeling gaat u naar een gefilterde weergave van het tabblad Query's op de pagina Opsporing op basis van de techniek die u hebt geselecteerd.

    Schermopname van de MITRE ATT&CK-kaartweergave met de koppeling Opsporingsquery's.

  6. Selecteer alle query's voor die techniek.

Een hunt maken

Er zijn twee primaire manieren om een jacht te maken.

  1. Als u bent begonnen met een hypothese waarin u query's hebt geselecteerd, selecteert u het vervolgkeuzemenu >Jachtacties maken. Alle query's die u hebt geselecteerd, worden gekloond voor deze nieuwe jacht.

    Schermopname met query's geselecteerd en de menuoptie Nieuwe jacht maken geselecteerd.

  2. Als u nog geen query's hebt besloten, selecteert u het tabblad >Hunts (Preview) New Hunt om een lege jacht te maken.

    Schermopname van het menu voor het maken van een lege jacht zonder vooraf geselecteerde query's.

  3. Vul de naam van de jacht en optionele velden in. De beschrijving is een goede plek om uw hypothese te verbaliseren. In het vervolgkeuzemenu Hypothese stelt u de status van uw werkhypothese in.

  4. Selecteer Maken om aan de slag te gaan.

    Schermopname van de pagina voor het maken van jacht met Hunt-naam, beschrijving, eigenaar, status en hypothesestatus.

Jachtdetails weergeven

  1. Selecteer het tabblad Jachten (preview) om uw nieuwe jacht weer te geven.

  2. Selecteer de jachtkoppeling op naam om de details weer te geven en acties uit te voeren.

    Schermopname van nieuwe jacht op het tabblad Opsporing.

  3. Bekijk het detailvenster met de naam, beschrijving, inhoud, tijd van laatste update en aanmaaktijd.

  4. Noteer de tabbladen voor query's, bladwijzers en entiteiten.

    Schermopname van de jachtdetails.

Tabblad Query's

Het tabblad Query's bevat opsporingsquery's die specifiek zijn voor deze jacht. Deze query's zijn kloons van de originelen, onafhankelijk van alle andere in de werkruimte. Werk ze bij of verwijder ze zonder dat dit van invloed is op uw algemene set opsporingsquery's of query's in andere jachten.

Een query toevoegen aan de jacht

  1. Queryacties>selecteren om query's toe te voegen om te zoeken
  2. Selecteer de query's die u wilt toevoegen. Schermopname van het menu Queryacties op de tabbladpagina Query's.

Query's uitvoeren

  1. Selecteer Alle query's uitvoeren of kies specifieke query's en selecteer Geselecteerde query's uitvoeren.
  2. Selecteer Annuleren om de uitvoering van query's op elk gewenst moment te annuleren.

Query's beheren

  1. Klik met de rechtermuisknop op een query en selecteer een van de volgende opties in het contextmenu:

    • Rennen
    • Bewerken
    • Klonen
    • Verwijderen
    • Analyseregel maken

    Schermopname met snelmenuopties op het tabblad Query's van een jacht.

    Deze opties gedragen zich net als de bestaande querytabel op de pagina Opsporing , behalve dat de acties alleen van toepassing zijn binnen deze jacht. Wanneer u ervoor kiest om een analyseregel te maken, wordt de naam, beschrijving en KQL-query vooraf ingevuld bij het maken van de nieuwe regel. Er wordt een koppeling gemaakt om de nieuwe analyseregel weer te geven die is gevonden onder Gerelateerde analyseregels.

    Schermopname van opsporingsdetails met gerelateerde analyseregel.

Resultaten weergeven

Met deze functie kunt u de resultaten van opsporingsquery's bekijken in de zoekervaring van Log Analytics. Analyseer hier uw resultaten, verfijn uw query's en maak bladwijzers om gegevens vast te leggen en afzonderlijke rijresultaten verder te onderzoeken.

  1. Selecteer de knop Resultaten weergeven.
  2. Als u naar een ander deel van de Microsoft Sentinel-portal draait, bladert u terug naar de la-logboekzoekervaring vanaf de zoekpagina voor la-logboeken, blijven al uw LA-querytabbladen behouden.
  3. Deze LA-querytabbladen gaan verloren als u het browsertabblad sluit. Als u de query's op de lange termijn wilt behouden, moet u de query opslaan, een nieuwe opsporingsquery maken of kopiëren naar een opmerking voor later gebruik binnen de jacht.

Een bladwijzer toevoegen

Wanneer u interessante resultaten of belangrijke rijen met gegevens vindt, voegt u deze resultaten toe aan de jacht door een bladwijzer te maken. Zie Opsporingsbladwijzers gebruiken voor gegevensonderzoeken voor meer informatie.

  1. Selecteer de gewenste rij of rijen.

  2. Selecteer Bladwijzer toevoegen boven de resultatentabel. Schermopname van het deelvenster Bladwijzer toevoegen met optionele velden ingevuld.

  3. Geef de bladwijzer een naam.

  4. Stel de kolom gebeurtenistijd in.

  5. Entiteits-id's toewijzen.

  6. MiTRE-tactieken en -technieken instellen.

  7. Voeg tags toe en voeg notities toe.

    De bladwijzers behouden de specifieke rijresultaten, KQL-query en tijdsbereik dat het resultaat heeft gegenereerd.

  8. Selecteer Maken om de bladwijzer toe te voegen aan de jacht.

Bladwijzers weergeven

  1. Navigeer naar het tabblad Bladwijzer van de jacht om uw bladwijzers weer te geven.

    Schermopname van een bladwijzer met alle details en het actiemenu jaagt geopend.

  2. Selecteer een gewenste bladwijzer en voer de volgende acties uit:

    • Selecteer entiteitskoppelingen om de bijbehorende UEBA-entiteitspagina weer te geven.
    • Onbewerkte resultaten, tags en notities weergeven.
    • Selecteer Bronquery weergeven om de bronquery in Log Analytics weer te geven.
    • Selecteer Bladwijzerlogboeken weergeven om de inhoud van de bladwijzer weer te geven in de tabel met logboeken met opsporingsbladwijzers.
    • Selecteer de knop Onderzoeken om de bladwijzer en gerelateerde entiteiten in de onderzoeksgrafiek weer te geven.
    • Selecteer de knop Bewerken om de tags, MITRE-tactieken en -technieken en notities bij te werken.

Interactie met entiteiten

  1. Navigeer naar het tabblad Entiteiten van uw jacht om de entiteiten in uw jacht weer te geven, te zoeken en te filteren. Deze lijst wordt gegenereerd op basis van de lijst met entiteiten in de bladwijzers. Op het tabblad Entiteiten worden dubbele vermeldingen automatisch omgezet.

  2. Selecteer entiteitsnamen om de bijbehorende UEBA-entiteitspagina te bezoeken.

  3. Klik met de rechtermuisknop op de entiteit om acties uit te voeren die geschikt zijn voor de entiteitstypen, zoals het toevoegen van een IP-adres aan TI of het uitvoeren van een specifiek playbook voor een entiteitstype.

    Schermopname van het contextmenu voor entiteiten.

Opmerkingen toevoegen

Opmerkingen zijn een uitstekende plek om samen te werken met collega's, notities en documentresultaten te behouden.

  1. Selecteer

  2. Typ en maak uw opmerking op in het invoervak.

  3. Voeg een queryresultaat toe als koppeling voor samenwerkers om snel inzicht te verkrijgen in de context.

  4. Selecteer de knop Opmerking om uw opmerkingen toe te passen.

    Schermopname van het invoervak voor opmerkingen met LA-query als koppeling.

Incidenten maken

Er zijn twee opties voor het maken van incidenten tijdens het opsporen van incidenten.

Optie 1: Bladwijzers gebruiken.

  1. Selecteer een bladwijzer of bladwijzers.

  2. Selecteer de knop Incidentacties.

  3. Selecteer Nieuw incident maken of Toevoegen aan bestaand incident

    Schermopname van het menu Incidentacties in het venster Bladwijzers.

    • Volg de begeleide stappen voor Het maken van een nieuw incident. Het tabblad Bladwijzers wordt vooraf ingevuld met de geselecteerde bladwijzers.
    • Voor Toevoegen aan bestaand incident selecteert u het incident en selecteert u de knop Accepteren .

Optie 2: De jachtacties gebruiken.

  1. Selecteer het menu >Acties opsporen: incident maken en volg de begeleide stappen.

    Schermopname van het menu Acties zoeken in het venster Bladwijzers.

  2. Gebruik tijdens de stap Bladwijzers toevoegen de actie Bladwijzer toevoegen om bladwijzers uit de jacht te kiezen om aan het incident toe te voegen. U bent beperkt tot bladwijzers die niet zijn toegewezen aan een incident.

  3. Nadat het incident is gemaakt, wordt het gekoppeld onder de lijst Gerelateerde incidenten voor die jacht.

Status bijwerken

  1. Wanneer u voldoende bewijs hebt vastgelegd om uw hypothese te valideren of ongeldig te maken, werkt u uw hypothesestatus bij.

    Schermopname van de selectie van het menu Hypothesestatus.

  2. Wanneer alle acties die zijn gekoppeld aan de jacht zijn voltooid, zoals het maken van analyseregels, incidenten of het toevoegen van indicatoren van inbreuk (IOC's) aan TI, sluit u de jacht af.

    Schermopname van de selectie van het menu Hunt-status.

Deze statusupdates zijn zichtbaar op de hoofdpagina opsporing en worden gebruikt om metrische gegevens bij te houden.

Metrische gegevens bijhouden

Houd tastbare resultaten van opsporingsactiviteit bij met behulp van de metrische balk op het tabblad Hunts . Metrische gegevens geven het aantal gevalideerde hypothesen, nieuwe incidenten die zijn gemaakt en nieuwe analyseregels weer. Gebruik deze resultaten om doelen te stellen of mijlpalen van uw opsporingsprogramma te vieren.

Schermopname met metrische opsporingsgegevens.

Volgende stappen

In dit artikel hebt u geleerd hoe u een opsporingsonderzoek uitvoert met de opsporingsfunctie in Microsoft Sentinel.

Zie voor meer informatie: