Investigação na plataforma SecOps unificada da Microsoft
A procura de ameaças de segurança é uma atividade altamente personalizável que é mais eficaz quando realizada em todas as fases da investigação de ameaças: proativa, reativa e pós-incidente. A plataforma de operações de segurança unificadas (SecOps) da Microsoft fornece ferramentas de investigação eficazes para cada fase de investigação de ameaças. Estas ferramentas são adequadas para analistas que estão apenas a começar a sua carreira, ou caçadores de ameaças experientes usando métodos de caça avançados. Os caçadores de ameaças de todos os níveis beneficiam de funcionalidades de ferramentas de investigação que lhes permitem partilhar as suas técnicas, consultas e descobertas com a sua equipa ao longo do caminho.
Ferramentas de investigação
A base das consultas de investigação no portal do Defender baseia-se em Linguagem de Consulta Kusto (KQL). O KQL é uma linguagem avançada e flexível otimizada para procurar em arquivos de macrodados em ambientes na cloud. No entanto, criar consultas complexas não é a única forma de investigar ameaças. Seguem-se mais algumas ferramentas e recursos de investigação no portal do Defender concebidos para levar a investigação ao seu alcance:
- Security Copilot na investigação avançada gera KQL a partir de pedidos de linguagem natural.
- A investigação guiada utiliza um construtor de consultas para criar consultas de investigação significativas sem conhecer o KQL ou o esquema de dados.
- Obtenha ajuda à medida que escreve consultas com funcionalidades como sugestão automática, árvore de esquemas e consultas de exemplo.
- O hub de conteúdos fornece consultas especializadas para corresponder a soluções completas no Microsoft Sentinel.
- Especialistas do Microsoft Defender para Busca elogia até os melhores caçadores de ameaças que querem ajuda.
Maximize a extensão total das proezas de caça da sua equipa com as seguintes ferramentas de investigação no portal do Defender:
| Ferramenta de investigação | Descrição |
|---|---|
| Investigação avançada | Veja e consulte origens de dados disponíveis na plataforma SecOps unificada da Microsoft e partilhe consultas com a sua equipa. Utilize todo o conteúdo da área de trabalho Microsoft Sentinel existente, incluindo consultas e funções. |
| investigação de Microsoft Sentinel | Procure ameaças de segurança entre origens de dados. Utilize ferramentas de pesquisa e consulta especializadas, como caças, marcadores e transmissão em direto. |
| Ir à caça | Dinamizar rapidamente uma investigação para as entidades encontradas num incidente. |
| Caçadas | Um processo de investigação de ameaças proativa ponto a ponto com funcionalidades de colaboração. |
| Marcadores | Preserve as consultas e os respetivos resultados, adicionando notas e observações contextuais. |
| Transmissão em direto | Inicie uma sessão de investigação interativa e utilize qualquer consulta do Log Analytics. |
| Investigação com regras de resumo | Utilize regras de resumo para poupar custos na procura de ameaças em registos verbosos. |
| MAPA MITRE ATT&CK | Ao criar uma nova consulta de investigação, selecione táticas e técnicas específicas a aplicar. |
| Restaurar dados históricos | Restaure dados de registos arquivados para utilizar em consultas de alto desempenho. |
| Procurar conjuntos de dados grandes | Procure eventos específicos em registos até há sete anos com o KQL. |
| Encadeamento de infraestrutura | Procure novas ligações entre atores de ameaças, agrupe atividades de ataque semelhantes e pressupostos fundamentados. |
| Explorador de ameaças | Procure ameaças especializadas relacionadas com o e-mail. |
Fases de investigação
A tabela seguinte descreve como pode tirar o máximo partido das ferramentas de investigação do portal do Defender em todas as fases da investigação de ameaças:
| Fase de investigação | Ferramentas de investigação |
|---|---|
| Proativo – encontre as áreas fracas no seu ambiente antes que os atores de ameaças o façam. Detetar atividade suspeita mais cedo. | - Realizar regularmente caças ponto a ponto para procurar proativamente ameaças não detetadas e comportamentos maliciosos, validar hipóteses e agir sobre as descobertas através da criação de novas deteções, incidentes ou informações sobre ameaças. - Utilize o mapa MITRE ATT&CK para identificar lacunas de deteção e, em seguida, execute consultas de investigação predefinidas para obter técnicas realçadas. - Insira novas informações sobre ameaças em consultas comprovadas para otimizar as deteções e confirmar se está a ser processado um compromisso. - Tome medidas proativas para criar e testar consultas relativamente a dados de origens novas ou atualizadas. - Utilize a investigação avançada para encontrar ataques em fase inicial ou ameaças que não têm alertas. |
| Reativo – utilize ferramentas de investigação durante uma investigação ativa. | - Utilize livestream para executar consultas específicas em intervalos consistentes para monitorizar ativamente eventos. - Dinamize rapidamente os incidentes com o botão Go hunt para procurar amplamente entidades suspeitas encontradas durante uma investigação. - Investigar através de informações sobre ameaças para efetuar o encadeamento de infraestruturas. - Utilize Security Copilot na investigação avançada para gerar consultas à velocidade e dimensionamento da máquina. |
| Pós-incidente – melhore a cobertura e as informações para evitar que incidentes semelhantes sejam periódicos. | - Transforme consultas de investigação bem-sucedidas em novas regras de análise e deteção ou refine as existentes. - Restaure dados históricos e pesquise grandes conjuntos de dados para investigação especializada como parte de investigações completas de incidentes. |