Eksplorowanie zaawansowanego wyszukiwania zagrożeń
Zaawansowane wyszukiwanie zagrożeń to narzędzie do wyszukiwania zagrożeń oparte na zapytaniach, które umożliwia eksplorowanie do 30 dni nieprzetworzonych danych. Możesz aktywnie sprawdzać zdarzenia w sieci, aby zlokalizować wskaźniki zagrożeń i jednostki. Elastyczny dostęp do danych umożliwia nieograniczone wyszukiwanie zagrożeń zarówno dla znanych, jak i potencjalnych zagrożeń.
Do tworzenia niestandardowych reguł wykrywania można użyć tych samych zapytań do wyszukiwania zagrożeń. Te reguły są uruchamiane automatycznie w celu sprawdzenia, a następnie reagowania na podejrzane działania związane z naruszeniem zabezpieczeń, nieprawidłowo skonfigurowane maszyny i inne ustalenia. Zaawansowana funkcja wyszukiwania zagrożeń obsługuje zapytania sprawdzające szerszy zestaw danych:
Usługa Microsoft Defender dla punktu końcowego
Microsoft Defender dla usługi Office 365
Microsoft Defender for Cloud Apps
Microsoft Defender for Identity
Aby użyć zaawansowanego wyszukiwania zagrożeń, włącz usługę Microsoft Defender XDR.
Częstotliwość aktualizacji i aktualności danych
Zaawansowane dane wyszukiwania zagrożeń można podzielić na dwa odrębne typy, z których każda jest skonsolidowana inaczej.
Dane zdarzenia lub działania — wypełnia tabele dotyczące alertów, zdarzeń zabezpieczeń, zdarzeń systemowych i rutynowych ocen. Zaawansowane wyszukiwanie zagrożeń odbiera te dane niemal natychmiast po tym, jak czujniki, które zbierają je pomyślnie, przesyłają je do odpowiednich usług w chmurze. Można na przykład wysyłać zapytania dotyczące danych zdarzeń z czujników w dobrej kondycji na stacjach roboczych lub kontrolerach domeny niemal natychmiast po udostępnieniu ich w usłudze Ochrona punktu końcowego w usłudze Microsoft Defender i usłudze Microsoft Defender for Identity.
Dane jednostki — wypełnia tabele informacjami o użytkownikach i urządzeniach. Te dane pochodzą zarówno ze stosunkowo statycznych źródeł danych, jak i źródeł dynamicznych, takich jak wpisy usługi Active Directory i dzienniki zdarzeń. Aby zapewnić nowe dane, tabele są aktualizowane przy użyciu nowych informacji co 15 minut, dodając wiersze, które mogą nie zostać w pełni wypełnione. Co 24 godziny dane są konsolidowane w celu wstawienia rekordu zawierającego najnowszy, najbardziej kompleksowy zestaw danych dla każdej jednostki.
Time zone
Informacje o czasie w zaawansowanym wyszukiwaniu są w strefie UTC.
Schemat danych
Zaawansowany schemat wyszukiwania zagrożeń składa się z wielu tabel, które zapewniają informacje o zdarzeniach lub informacje o urządzeniach, alertach, tożsamościach i innych typach jednostek. Aby skutecznie tworzyć zapytania obejmujące wiele tabel, należy zrozumieć tabele i kolumny w zaawansowanym schemacie wyszukiwania zagrożeń.
Pobieranie informacji o schemacie
Podczas tworzenia zapytań użyj wbudowanego odwołania do schematu, aby szybko uzyskać następujące informacje o każdej tabeli w schemacie:
Opis tabeli — typ danych zawartych w tabeli i źródło tych danych.
Kolumny — wszystkie kolumny w tabeli.
Typy akcji — możliwe wartości w kolumnie ActionType reprezentujące typy zdarzeń obsługiwane przez tabelę. Te informacje są udostępniane tylko w przypadku tabel zawierających informacje o zdarzeniach.
Przykładowe zapytanie — przykładowe zapytania, które zawierają sposób wykorzystania tabeli.
Uzyskiwanie dostępu do dokumentacji schematu
Aby szybko uzyskać dostęp do odwołania do schematu, wybierz akcję Wyświetl odwołanie obok nazwy tabeli w reprezentacji schematu. Możesz również wybrać pozycję Odwołanie do schematu, aby wyszukać tabelę.
Informacje o tabelach schematów
Poniższa dokumentacja zawiera listę wszystkich tabel w schemacie. Każda nazwa tabeli łączy się ze stroną opisującą nazwy kolumn dla tej tabeli. Nazwy tabel i kolumn są również wymienione w centrum zabezpieczeń w ramach reprezentacji schematu na ekranie zaawansowanego wyszukiwania zagrożeń.
| Nazwa tabeli | opis |
|---|---|
| AlertEvidence | Pliki, adresy IP, adresy URL, użytkownicy lub urządzenia skojarzone z alertami |
| Informacje o alertach | Alerty z Ochrona punktu końcowego w usłudze Microsoft Defender, Ochrona usługi Office 365 w usłudze Microsoft Defender, Microsoft Cloud App Security i Microsoft Defender for Identity, w tym informacje o ważności i kategoryzacja zagrożeń |
| CloudAppEvents | Zdarzenia obejmujące konta i obiekty w usłudze Office 365 i innych aplikacjach i usługach w chmurze |
| DeviceEvents | Wiele typów zdarzeń, w tym zdarzenia wyzwalane przez mechanizmy kontroli zabezpieczeń, takie jak program antywirusowy Windows Defender i ochrona przed programami wykorzystującym luki w zabezpieczeniach |
| DeviceFileCertificateInfo | Informacje o certyfikacie podpisanych plików uzyskanych ze zdarzeń weryfikacji certyfikatu w punktach końcowych |
| DeviceFileEvents | Tworzenie, modyfikowanie i inne zdarzenia systemu plików |
| DeviceImageLoadEvents | Zdarzenia ładowania bibliotek DLL |
| Deviceinfo | Informacje o maszynie, w tym informacje o systemie operacyjnym |
| DeviceLogonEvents | Logowania i inne zdarzenia uwierzytelniania na urządzeniach |
| DeviceNetworkEvents | Połączenie sieciowe i powiązane zdarzenia |
| DeviceNetworkInfo | Właściwości sieci urządzeń, w tym kart fizycznych, adresów IP i MAC, a także połączonych sieci i domen |
| DeviceProcessEvents | Tworzenie procesów i powiązane zdarzenia |
| DeviceRegistryEvents | Tworzenie i modyfikowanie wpisów rejestru |
| DeviceTvmSecureConfigurationAssessment | Zdarzenia oceny zagrożeń i zarządzania lukami w zabezpieczeniach wskazujące stan różnych konfiguracji zabezpieczeń na urządzeniach |
| DeviceTvmSecureConfigurationAssessmentKB | Baza wiedzy dotycząca różnych konfiguracji zabezpieczeń używanych przez zarządzanie zagrożeniami i lukami w zabezpieczeniach do oceny urządzeń; zawiera mapowania na różne standardy i testy porównawcze |
| DeviceTvmSoftwareInventory | Spis oprogramowania zainstalowanego na urządzeniach, w tym informacje o ich wersji i stan zakończenia pomocy technicznej |
| DeviceTvmSoftwareVulnerabilities | Wykryte luki w zabezpieczeniach oprogramowania na urządzeniach oraz lista dostępnych aktualizacji zabezpieczeń, które dotyczą każdej luki w zabezpieczeniach |
| DeviceTvmSoftwareVulnerabilitiesKB | Baza wiedzy publicznie ujawnionych luk w zabezpieczeniach, w tym informacje o tym, czy kod wykorzystujący luki w zabezpieczeniach jest publicznie dostępny |
| EmailAttachmentInfo | Informacje o plikach dołączonych do wiadomości e-mail |
| EmailEvents | Zdarzenia poczty e-mail platformy Microsoft 365, w tym dostarczanie wiadomości e-mail i blokowanie zdarzeń |
| EmailPostDeliveryEvents | Zdarzenia zabezpieczeń, które występują po zakończeniu dostarczania, po dostarczeniu wiadomości e-mail do skrzynki pocztowej adresata przez usługę Microsoft 365 |
| EmailUrlInfo | Informacje o adresach URL wiadomości e-mail |
| IdentityDirectoryEvents | Zdarzenia z udziałem lokalnego kontrolera domeny z uruchomioną usługą Active Directory (AD). Ta tabela zawiera szereg zdarzeń związanych z tożsamością i zdarzeń systemowych na kontrolerze domeny. |
| IdentityInfo | Informacje o koncie z różnych źródeł, w tym identyfikator Firmy Microsoft Entra |
| IdentityLogonEvents | Zdarzenia uwierzytelniania w usługach Active Directory i Microsoft Usługi online |
| IdentityQueryEvents | Zapytania dotyczące obiektów usługi Active Directory, takich jak użytkownicy, grupy, urządzenia i domeny |
Wykrywanie niestandardowe
Dzięki wykrywaniom niestandardowym można aktywnie monitorować różne zdarzenia i stany systemu oraz reagować na nie, w tym podejrzane działania związane z naruszeniem i nieprawidłowo skonfigurowane punkty końcowe. Jest to możliwe dzięki dostosowywalnym regułom wykrywania, które automatycznie wyzwalają alerty i akcje odpowiedzi.
Funkcje wykrywania niestandardowego współpracują z zaawansowanym wyszukiwaniem zagrożeń, który zapewnia zaawansowany, elastyczny język zapytań, który obejmuje szeroki zestaw informacji o zdarzeniach i systemach z sieci. Można je ustawić tak, aby były uruchamiane w regularnych odstępach czasu, generując alerty i podejmując akcje odpowiedzi za każdym razem, gdy występują dopasowania.
Funkcje wykrywania niestandardowego zapewniają:
Alerty dotyczące wykrywania opartego na regułach utworzonego na podstawie zaawansowanych zapytań wyszukiwania zagrożeń
Akcje automatycznej odpowiedzi, które mają zastosowanie do plików i urządzeń
Tworzenie reguł wykrywania
Aby utworzyć reguły wykrywania:
1. Przygotuj zapytanie.
W Centrum zabezpieczeń usługi Microsoft Defender przejdź do pozycji Zaawansowane wyszukiwanie zagrożeń i wybierz istniejące zapytanie lub utwórz nowe zapytanie. W przypadku korzystania z nowego zapytania uruchom zapytanie, aby zidentyfikować błędy i zrozumieć możliwe wyniki.
Ważne
Aby zapobiec zwracaniu zbyt wielu alertów przez usługę, każda reguła jest ograniczona do generowania tylko 100 alertów przy każdym uruchomieniu. Przed utworzeniem reguły dostosuj zapytanie, aby uniknąć alertów dotyczących normalnych, codziennych działań.
Aby użyć zapytania dla reguły wykrywania niestandardowego, zapytanie musi zwrócić następujące kolumny:
Sygnatura czasowa
DeviceId
Identyfikator raportu
Proste zapytania, takie jak te, które nie używają operatora projektu lub podsumowywania do dostosowywania lub agregowania wyników, zwykle zwracają te typowe kolumny.
Istnieją różne sposoby zapewniania, że bardziej złożone zapytania zwracają te kolumny. Jeśli na przykład wolisz agregować i liczyć według identyfikatora DeviceId, nadal możesz zwrócić znacznik czasu i identyfikator ReportId, uzyskując je z najnowszego zdarzenia obejmującego każde urządzenie.
Poniższe przykładowe zapytanie zlicza liczbę unikatowych urządzeń (DeviceId) z wykrywaniem oprogramowania antywirusowego i używa ich do znalezienia tylko tych urządzeń z ponad pięcioma wykryciami. Aby zwrócić najnowszą sygnaturę czasową i odpowiadający mu identyfikator ReportId, używa operatora podsumowania z funkcją arg_max.
DeviceEvents
| where Timestamp > ago(7d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5
2. Utwórz nową regułę i podaj szczegóły alertu.
W edytorze zapytań wybierz pozycję Utwórz regułę wykrywania i określ następujące szczegóły alertu:
Nazwa wykrywania — nazwa reguły wykrywania
Częstotliwość — interwał uruchamiania zapytania i wykonywania akcji. Zobacz dodatkowe wskazówki poniżej
Tytuł alertu — tytuł wyświetlany z alertami wyzwalanymi przez regułę
Ważność — potencjalne ryzyko składnika lub działania zidentyfikowanego przez regułę.
Kategoria — typ składnika lub działania zagrożenia, jeśli istnieje.
TECHNIKI MITRE ATT&CK — co najmniej jedna technika ataku zidentyfikowana przez regułę, zgodnie z dokumentacją w strukturze MITRE ATT&CK. Ta sekcja nie jest dostępna w niektórych kategoriach alertów, takich jak złośliwe oprogramowanie, oprogramowanie wymuszającego okup, podejrzane działanie i niechciane oprogramowanie
Opis — więcej informacji o składniku lub działaniu zidentyfikowanym przez regułę
Zalecane akcje — dodatkowe akcje, które mogą podjąć osoby reagujące w odpowiedzi na alert
3. Częstotliwość reguł
Po zapisaniu nowa reguła wykrywania niestandardowego natychmiast jest uruchamiana i sprawdza dopasowania z ostatnich 30 dni danych. Następnie reguła jest uruchamiana ponownie w stałych odstępach czasu i czasy trwania wyszukiwania na podstawie wybranej częstotliwości:
Co 24 godziny — działa co 24 godziny, sprawdzając dane z ostatnich 30 dni
Co 12 godzin — działa co 12 godzin, sprawdzając dane z ostatnich 48 godzin
Co 3 godziny — działa co 3 godziny, sprawdzając dane z ostatnich 12 godzin
Co godzinę — jest uruchamiana co godzinę, sprawdzając dane z ostatnich 4 godzin
Continuous (NRT) — działa w sposób ciągły, sprawdzając dane ze zdarzeń w miarę ich zbierania i przetwarzania w czasie zbliżonym do rzeczywistego (NRT)
Wybierz częstotliwość, która jest zgodna z tym, jak uważnie chcesz monitorować wykrycia, i rozważ możliwość reagowania na alerty w organizacji.
Uwaga
Ustawienie niestandardowego wykrywania w celu uruchomienia w częstotliwości ciągłej (NRT) umożliwia szybsze identyfikowanie zagrożeń przez organizację.
4. Wybierz jednostki, których dotyczy ten wpływ.
Zidentyfikuj kolumny w wynikach zapytania, w których oczekujesz znalezienia głównej jednostki, której dotyczy problem lub której dotyczy problem. Na przykład zapytanie może zwracać identyfikatory urządzeń i użytkowników. Określenie, które z tych kolumn reprezentuje główną jednostkę, której dotyczy wpływ, pomaga usłudze agregować odpowiednie alerty, korelować zdarzenia i docelowe akcje odpowiedzi.
Dla każdego typu jednostki można wybrać tylko jedną kolumnę. Nie można wybrać kolumn, które nie są zwracane przez zapytanie.
5. Określ akcje.
Reguła wykrywania niestandardowego może automatycznie wykonywać akcje na plikach lub urządzeniach zwracanych przez zapytanie.
Akcje na urządzeniach
Te akcje są stosowane do urządzeń w kolumnie DeviceId wyników zapytania:
Izoluj urządzenie — stosuje pełną izolację sieci, uniemożliwiając urządzeniu nawiązywanie połączenia z dowolną aplikacją lub usługą, z wyjątkiem usługi Defender for Endpoint.
Zbieranie pakietu badania — zbiera informacje o urządzeniu w pliku ZIP.
Uruchamianie skanowania antywirusowego — wykonuje pełne skanowanie Program antywirusowy Microsoft Defender na urządzeniu
Inicjowanie badania — rozpoczyna automatyczne badanie na urządzeniu
Akcje dotyczące plików
Te akcje są stosowane do plików w kolumnie SHA1 lub InitialProcessSHA1 wyników zapytania:
Zezwalaj/blokuj — automatycznie dodaje plik do listy wskaźników niestandardowych, aby zawsze można było uruchamiać lub blokować uruchamianie. Zakres tej akcji można ustawić tak, aby był wykonywany tylko w wybranych grupach urządzeń. Ten zakres jest niezależny od zakresu reguły.
Plik kwarantanny — usuwa plik z bieżącej lokalizacji i umieszcza kopię w kwarantannie
6. Ustaw zakres reguły.
Ustaw zakres, aby określić, które urządzenia są objęte regułą:
Wszystkie urządzenia
Określone grupy urządzeń
Zapytania będą dotyczyć tylko danych z urządzeń w zakresie. Ponadto akcje będą wykonywane tylko na tych urządzeniach.
7. Przejrzyj i włącz regułę.
Po przejrzeniu reguły wybierz pozycję Utwórz, aby ją zapisać. Reguła wykrywania niestandardowego jest uruchamiana natychmiast. Jest uruchamiany ponownie na podstawie skonfigurowanej częstotliwości sprawdzania dopasowań, generowania alertów i podejmowania akcji odpowiedzi.