Opsporing in het geïntegreerde SecOps-platform van Microsoft
Het opsporen van beveiligingsrisico's is een uiterst aanpasbare activiteit die het meest effectief is wanneer deze wordt uitgevoerd in alle fasen van het opsporen van bedreigingen: proactief, reactief en post-incident. Het SecOps-platform (Unified Security Operations) van Microsoft biedt effectieve opsporingstools voor elke fase van het opsporen van bedreigingen. Deze hulpprogramma's zijn goed geschikt voor analisten die net beginnen met hun carrière, of ervaren bedreigingsjagers die geavanceerde opsporingsmethoden gebruiken. Bedreigingsjagers van alle niveaus profiteren van functies van opsporingsprogramma's waarmee ze hun technieken, query's en bevindingen onderweg met hun team kunnen delen.
Opsporingshulpmiddelen
De basis van opsporingsquery's in de Defender-portal berust op Kusto-querytaal (KQL). KQL is een krachtige en flexibele taal die is geoptimaliseerd voor het doorzoeken van big data-opslag in cloudomgevingen. Het maken van complexe query's is echter niet de enige manier om bedreigingen op te sporen. Hier volgen nog enkele opsporingshulpmiddelen en bronnen in de Defender-portal die zijn ontworpen om opsporing binnen handbereik te brengen:
- Security Copilot in geavanceerde opsporing genereert KQL op basis van natuurlijke taalprompts.
- Begeleide opsporing maakt gebruik van een opbouwfunctie voor query's voor het maken van zinvolle opsporingsquery's zonder KQL of het gegevensschema te kennen.
- Krijg hulp bij het schrijven van query's met functies zoals automatische suggesties, schemastructuur en voorbeeldquery's.
- Content Hub biedt deskundige query's om out-of-the-box oplossingen in Microsoft Sentinel te vinden.
- Microsoft Defender-experts voor opsporing complimenteert zelfs de beste bedreigingsjagers die hulp willen.
Maximaliseer de volledige omvang van de opsporingsvaardigheid van uw team met de volgende opsporingshulpmiddelen in de Defender-portal:
| Opsporingsprogramma | Beschrijving |
|---|---|
| Geavanceerd opsporen | Bekijk en query's op gegevensbronnen die beschikbaar zijn in het geïntegreerde SecOps-platform van Microsoft en deel query's met uw team. Gebruik al uw bestaande Microsoft Sentinel werkruimte-inhoud, inclusief query's en functies. |
| Microsoft Sentinel jacht | Zoek naar beveiligingsrisico's in gegevensbronnen. Gebruik gespecialiseerde hulpprogramma's voor zoeken en query's, zoals opsporingen, bladwijzers en livestreams. |
| Beginnen met opsporen | Draai snel een onderzoek naar entiteiten die in een incident zijn gevonden. |
| Jaagt | Een end-to-end proactief opsporingsproces voor bedreigingen met samenwerkingsfuncties. |
| Bladwijzers | Query's en hun resultaten behouden, notities en contextuele waarnemingen toevoegen. |
| Livestream | Start een interactieve opsporingssessie en gebruik een Log Analytics-query. |
| Opsporing met samenvattingsregels | Gebruik samenvattingsregels om kosten te besparen bij het opsporen van bedreigingen in uitgebreide logboeken. |
| MITRE ATT&CK-kaart | Wanneer u een nieuwe opsporingsquery maakt, selecteert u specifieke tactieken en technieken die u wilt toepassen. |
| Historische gegevens herstellen | Herstel gegevens uit gearchiveerde logboeken voor gebruik in query's met hoge prestaties. |
| Zoeken in grote gegevenssets | Zoek naar specifieke gebeurtenissen in logboeken tot zeven jaar geleden met behulp van KQL. |
| Infrastructuurkoppeling | Zoek naar nieuwe verbindingen tussen bedreigingsactoren, groepeer vergelijkbare aanvalsactiviteiten en onderbouw veronderstellingen. |
| Bedreigingsverkenner | Zoek naar gespecialiseerde bedreigingen met betrekking tot e-mail. |
Opsporingsfasen
In de volgende tabel wordt beschreven hoe u optimaal kunt profiteren van de opsporingshulpprogramma's van de Defender-portal in alle fasen van het opsporen van bedreigingen:
| Jachtfase | Opsporingshulpmiddelen |
|---|---|
| Proactief : zoek de zwakke gebieden in uw omgeving voordat bedreigingsactoren dat doen. Detecteer verdachte activiteiten extra vroeg. | - Voer regelmatig end-to-end-opsporingen uit om proactief te zoeken naar niet-gedetecteerde bedreigingen en schadelijk gedrag, hypothesen te valideren en te reageren op bevindingen door nieuwe detecties, incidenten of bedreigingsinformatie te maken. - Gebruik de MITRE ATT&CK-kaart om detectiegaten te identificeren en voer vervolgens vooraf gedefinieerde opsporingsquery's uit voor gemarkeerde technieken. - Voeg nieuwe bedreigingsinformatie toe aan beproefde query's om detecties af te stemmen en te controleren of er een inbreuk wordt uitgevoerd. - Neem proactieve stappen om query's te bouwen en te testen op gegevens uit nieuwe of bijgewerkte bronnen. - Gebruik geavanceerde opsporing om aanvallen in een vroeg stadium of bedreigingen te vinden die geen waarschuwingen hebben. |
| Reactief : gebruik opsporingshulpmiddelen tijdens een actief onderzoek. | - Gebruik livestream om specifieke query's met consistente intervallen uit te voeren om gebeurtenissen actief te bewaken. - Draai snel op incidenten met de knop Ga zoeken om breed te zoeken naar verdachte entiteiten die tijdens een onderzoek zijn gevonden. - Bedreigingsinformatie doorzoeken om infrastructuurketens uit te voeren. - Gebruik Security Copilot in geavanceerde opsporing om query's te genereren op machinesnelheid en schaal. |
| Post-incident : verbeter de dekking en inzichten om te voorkomen dat vergelijkbare incidenten zich herhalen. | - Zet succesvolle opsporingsquery's om in nieuwe analyse- en detectieregels of verfijn bestaande regels. - Herstel historische gegevens en zoek in grote gegevenssets voor gespecialiseerde opsporing als onderdeel van volledig incidentonderzoek. |