Wyszukiwanie zagrożeń na ujednoliconej platformie SecOps firmy Microsoft
Wyszukiwanie zagrożeń bezpieczeństwa jest wysoce dostosowywalnym działaniem, które jest najskuteczniejsze, gdy jest realizowane na wszystkich etapach wyszukiwania zagrożeń: proaktywne, reaktywne i po zdarzeniu. Platforma ujednoliconych operacji zabezpieczeń (SecOps) firmy Microsoft zapewnia skuteczne narzędzia do wyszukiwania zagrożeń na każdym etapie wyszukiwania zagrożeń. Te narzędzia są odpowiednie dla analityków, którzy dopiero zaczynają swoją karierę, lub doświadczonych łowców zagrożeń korzystających z zaawansowanych metod polowania. Łowcy zagrożeń na wszystkich poziomach korzystają z funkcji narzędzi do wyszukiwania zagrożeń, które umożliwiają im udostępnianie swoich technik, zapytań i ustaleń zespołowi po drodze.
Narzędzia do wyszukiwania zagrożeń
Podstawą zapytań dotyczących wyszukiwania zagrożeń w portalu usługi Defender jest język zapytań Kusto (KQL). KQL to zaawansowany i elastyczny język zoptymalizowany pod kątem wyszukiwania w magazynach danych big data w środowiskach chmury. Jednak tworzenie złożonych zapytań nie jest jedynym sposobem wyszukiwania zagrożeń. Oto kilka dodatkowych narzędzi i zasobów do wyszukiwania zagrożeń w portalu usługi Defender, które umożliwiają wyszukiwanie zagrożeń w Twoim zasięgu:
- Security Copilot w zaawansowanym polowaniu generuje KQL na podstawie monitów języka naturalnego.
- Wyszukiwanie z przewodnikiem używa konstruktora zapytań do tworzenia znaczących zapytań wyszukiwania zagrożeń bez znajomości języka KQL lub schematu danych.
- Uzyskaj pomoc podczas pisania zapytań za pomocą funkcji, takich jak automatyczne sugerowanie, drzewo schematów i przykładowe zapytania.
- Centrum zawartości udostępnia zapytania ekspertów w celu dopasowania do rozwiązań wbudowanych w Microsoft Sentinel.
- Zaawansowane Wyszukiwanie Zagrożeń w Usłudze Microsoft Defender komplementuje nawet najlepszych łowców zagrożeń, którzy chcą pomocy.
Zmaksymalizuj pełny zakres waleczności w zakresie wyszukiwania zagrożeń w twoim zespole, korzystając z następujących narzędzi do wyszukiwania zagrożeń w portalu usługi Defender:
| Narzędzie do wyszukiwania zagrożeń | Opis |
|---|---|
| Zaawansowane wyszukiwanie zagrożeń | Wyświetlaj i wysyłaj zapytania do źródeł danych dostępnych na ujednoliconej platformie SecOps firmy Microsoft i udostępniaj zapytania zespołowi. Użyj całej istniejącej zawartości obszaru roboczego Microsoft Sentinel, w tym zapytań i funkcji. |
| polowanie na Microsoft Sentinel | Wyszukiwanie zagrożeń bezpieczeństwa w różnych źródłach danych. Użyj wyspecjalizowanych narzędzi wyszukiwania i zapytań, takich jak polowania, zakładki itransmisja strumieniowa na żywo. |
| Go hunt | Szybkie przestawianie badania na jednostki znalezione w zdarzeniu. |
| Poluje | Kompleksowy, proaktywny proces wyszukiwania zagrożeń z funkcjami współpracy. |
| Zakładki | Zachowaj zapytania i ich wyniki, dodając notatki i obserwacje kontekstowe. |
| Transmisja strumieniowa na żywo | Uruchom interaktywną sesję wyszukiwania zagrożeń i użyj dowolnego zapytania usługi Log Analytics. |
| Wyszukiwanie zagrożeń z regułami podsumowania | Użyj reguł podsumowania, aby zaoszczędzić koszty wyszukiwania zagrożeń w pełnych dziennikach. |
| MITRE ATT&mapa CK | Podczas tworzenia nowego zapytania wyszukiwania zagrożeń wybierz konkretne taktyki i techniki do zastosowania. |
| Przywracanie danych historycznych | Przywróć dane z zarchiwizowanego dziennika do użycia w zapytaniach o wysokiej wydajności. |
| Wyszukiwanie dużych zestawów danych | Wyszukaj określone zdarzenia w dziennikach do siedmiu lat temu przy użyciu języka KQL. |
| Tworzenie łańcuchów infrastruktury | Wyszukaj nowe połączenia między aktorami zagrożeń, zgrupuj podobną aktywność ataków i uzasadnij założenia. |
| Eksplorator zagrożeń | Wyszukiwanie wyspecjalizowanych zagrożeń związanych z pocztą e-mail. |
Etapy wyszukiwania zagrożeń
W poniższej tabeli opisano sposób, w jaki można w jak największym stopniu wykorzystać narzędzia do wyszukiwania zagrożeń w portalu Defender na wszystkich etapach wyszukiwania zagrożeń:
| Etap wyszukiwania zagrożeń | Narzędzia do wyszukiwania zagrożeń |
|---|---|
| Proaktywne — znajdź słabe obszary w środowisku, zanim zrobią to aktorzy zagrożeń. Wykrywaj podejrzane działania bardzo wcześnie. | - Regularnie przeprowadzaj kompleksowe polowania , aby proaktywnie szukać niewykrytych zagrożeń i złośliwych zachowań, weryfikować hipotezy i działać na podstawie ustaleń, tworząc nowe wykrycia, incydenty lub analizę zagrożeń. — Użyj mapy&CK programu MITRE ATT , aby zidentyfikować luki w wykrywaniu, a następnie uruchom wstępnie zdefiniowane zapytania dotyczące wyszukiwania zagrożeń dla wyróżnionych technik. — Wstaw nową analizę zagrożeń do sprawdzonych zapytań, aby dostroić wykrywanie i potwierdzić, czy kompromis jest w toku. — Podejmij proaktywne kroki, aby tworzyć i testować zapytania dotyczące danych z nowych lub zaktualizowanych źródeł. — Użyj zaawansowanego wyszukiwania zagrożeń , aby znaleźć ataki na wczesnym etapie lub zagrożenia, które nie mają alertów. |
| Reaktywne — używaj narzędzi do wyszukiwania zagrożeń podczas aktywnego badania. | — Użyj transmisji strumieniowej na żywo , aby uruchamiać określone zapytania w spójnych odstępach czasu, aby aktywnie monitorować zdarzenia. - Szybko przestawij się na zdarzenia za pomocą przycisku Go hunt , aby wyszukiwać szeroko podejrzane jednostki znalezione podczas badania. - Wyszukiwanie za pośrednictwem analizy zagrożeń w celu wykonywania łańcuchów infrastruktury. — Użyj Security Copilot w zaawansowanym wyszukiwaniu, aby generować zapytania z szybkością i skalowaniem maszyny. |
| Po zdarzeniu — ulepsz pokrycie i szczegółowe informacje, aby zapobiec powtarzaniu się podobnych zdarzeń. | — Przekształcaj pomyślne zapytania wyszukiwania zagrożeń w nowe reguły analizy i wykrywania lub uściślaj istniejące. - Przywracanie danych historycznych i wyszukiwanie dużych zestawów danych pod kątem wyspecjalizowanego wyszukiwania zagrożeń w ramach pełnych badań zdarzeń. |