Partilhar via


Conduza a caça proativa de ameaças de ponta a ponta no Microsoft Sentinel

A caça proativa a ameaças é um processo em que os analistas de segurança procuram ameaças não detetadas e comportamentos maliciosos. Ao criar uma hipótese, pesquisar dados e validar essa hipótese, eles determinam no que agir. As ações podem incluir a criação de novas deteções, novas informações sobre ameaças ou a criação de um novo incidente.

Use a experiência de caça de ponta a ponta no Microsoft Sentinel para:

  • Caça proativa com base em técnicas MITRE específicas, atividade potencialmente maliciosa, ameaças recentes ou sua própria hipótese personalizada.
  • Use consultas de caça geradas pelo pesquisador de segurança ou consultas de caça personalizadas para investigar comportamentos mal-intencionados.
  • Conduza suas caçadas usando várias guias de consulta persistente que permitem manter o contexto ao longo do tempo.
  • Colete evidências, investigue fontes da UEBA e anote suas descobertas usando marcadores específicos de caça.
  • Colabore e documente suas descobertas com comentários.
  • Atue de acordo com os resultados, criando novas regras analíticas, novos incidentes, novos indicadores de ameaça e executando playbooks.
  • Acompanhe suas caçadas novas, ativas e fechadas em um só lugar.
  • Visualize métricas com base em hipóteses validadas e resultados tangíveis.

Importante

O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

Para usar o recurso de buscas, você precisa receber uma função interna do Microsoft Sentinel ou uma função personalizada do RBAC do Azure. Aqui estão as suas opções:

Defina a sua hipótese

Definir uma hipótese é um processo aberto e flexível e pode incluir qualquer ideia que você queira validar. As hipóteses comuns incluem:

  • Comportamento suspeito - investigue atividades potencialmente maliciosas visíveis em seu ambiente para determinar se um ataque está ocorrendo.
  • Nova campanha de ameaças - Procure tipos de atividade maliciosa com base em agentes de ameaça, técnicas ou vulnerabilidades recém-descobertas. Isso pode ser algo que você ouviu falar em um artigo de notícias de segurança.
  • Lacunas de deteção - Aumente sua cobertura de deteção usando o mapa MITRE ATT&CK para identificar lacunas.

O Microsoft Sentinel oferece flexibilidade à medida que você se concentra no conjunto certo de consultas de caça para investigar sua hipótese. Ao criar uma caça, inicie-a com consultas de caça pré-selecionadas ou adicione consultas à medida que progride. Aqui estão recomendações para consultas pré-selecionadas com base nas hipóteses mais comuns.

Hipótese - Comportamento suspeito

  1. Para Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Caça.
    Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Threat management>Hunting.

  2. Selecione a guia Consultas . Para identificar comportamentos potencialmente maliciosos, execute todas as consultas.

  3. Selecione Executar Todas as consultas> aguarde a execução das consultas. Este processo pode demorar algum tempo.

  4. Selecione Adicionar resultados> do filtro>desmarque as caixas de seleção "!", "N/A", "-" e "0" valores Aplicar >A captura de tela mostra o filtro descrito na etapa 3.

  5. Classifique esses resultados pela coluna Delta de resultados para ver o que mudou mais recentemente. Estes resultados fornecem orientação inicial sobre a caça.

Hipótese - Nova campanha de ameaças

O hub de conteúdo oferece campanhas de ameaças e soluções baseadas em domínio para caçar ataques específicos. Nas etapas a seguir, você instala um desses tipos de soluções.

  1. Vá para o Hub de conteúdo.

  2. Instale uma campanha de ameaças ou uma solução baseada em domínio, como o Log4J Vulnerability Detection ou o Apache Tomcat.

    A captura de tela mostra o hub de conteúdo na visualização em grade com as soluções Log4J e Apache selecionadas.

  3. Depois que a solução for instalada, no Microsoft Sentinel, vá para Hunting.

  4. Selecione a guia Consultas .

  5. Pesquise por nome da solução ou filtre por Nome de origem da solução.

  6. Selecione a consulta e Executar consulta.

Hipótese - Lacunas de deteção

O mapa MITRE ATT&CK ajuda-o a identificar lacunas específicas na sua cobertura de deteção. Use consultas de caça predefinidas para técnicas específicas de MITRE ATT&CK como ponto de partida para desenvolver uma nova lógica de deteção.

  1. Navegue até a página MITRE ATT&CK (Preview ).

  2. Desmarque os itens no menu suspenso Ativo.

  3. Selecione Consultas de caça no filtro Simulado para ver quais técnicas têm consultas de caça associadas a elas.

    A captura de tela mostra a página MITRE ATT&CK com a opção para consultas de caça simuladas selecionada.

  4. Selecione o cartão com a técnica desejada.

  5. Selecione o link Exibir ao lado de Consultas de caça na parte inferior do painel de detalhes. Este link leva você a uma exibição filtrada da guia Consultas na página Caça com base na técnica selecionada.

    A captura de tela mostra a visualização do cartão MITRE ATT&CK com o link Hunting queries view.

  6. Selecione todas as consultas para essa técnica.

Criar uma caça

Existem duas formas principais de criar uma caçada.

  1. Se você começou com uma hipótese em que selecionou consultas, selecione o menu> suspenso Ações de busca Criar nova caçada. Todas as consultas selecionadas são clonadas para esta nova caçada.

    A captura de tela mostra as consultas selecionadas e a opção criar novo menu de busca selecionada.

  2. Se você ainda não decidiu sobre consultas, selecione a guia >Caçadas (Visualização) Nova Caça para criar uma caça em branco.

    A captura de tela mostra o menu para criar uma busca em branco sem consultas pré-selecionadas.

  3. Preencha o nome da caça e os campos opcionais. A descrição é um bom lugar para verbalizar sua hipótese. O menu suspenso Hipótese é onde você define o status da sua hipótese de trabalho.

  4. Selecione Criar para começar.

    A captura de tela mostra a página de criação da caça com o nome, a descrição, o proprietário, o status e o estado da hipótese da caça.

Ver detalhes da caça

  1. Selecione o separador Caçadas (Pré-visualização) para ver a sua nova caçada.

  2. Selecione o link de busca pelo nome para visualizar os detalhes e tomar medidas.

    Captura de tela mostrando nova caça na guia Caça.

  3. Exiba o painel de detalhes com o Nome da caça, Descrição, Conteúdo, Hora da última atualização e Hora da criação.

  4. Observe as guias para Consultas, Favoritos e Entidades.

    Captura de tela mostrando os detalhes da caçada.

Guia Consultas

A guia Consultas contém consultas de caça específicas para essa caça. Essas consultas são clones dos originais, independentes de todos os outros no espaço de trabalho. Atualize-os ou exclua-os sem afetar seu conjunto geral de consultas de caça ou consultas em outras caçadas.

Adicionar uma consulta à caça

  1. Selecionar Ações de Consulta>adicionar consultas para caçar
  2. Selecione as consultas que deseja adicionar. A captura de tela mostra o menu de ações de consulta na página da guia consultas.

Executar consultas

  1. Selecione Executar todas as consultas ou escolha consultas específicas e selecione Executar consultas selecionadas.
  2. Selecione Cancelar para cancelar a execução da consulta a qualquer momento.

Gerenciar consultas

  1. Clique com o botão direito do mouse em uma consulta e selecione uma das seguintes opções no menu de contexto:

    • Executar
    • Editar
    • Clonar
    • Eliminar
    • Criar regra de análise

    A captura de tela mostra as opções do menu de contexto do botão direito do mouse na guia Consultas de uma caçada.

    Essas opções se comportam como a tabela de consultas existente na página Caça, exceto que as ações só se aplicam dentro dessa caçada. Quando você opta por criar uma regra de análise, o nome, a descrição e a consulta KQL são preenchidos previamente na criação da nova regra. Um link é criado para exibir a nova regra de análise encontrada em Regras de análise relacionadas.

    Captura de tela mostrando detalhes da caça com a regra de análise relacionada.

Ver resultados

Esse recurso permite que você veja os resultados da consulta de caça na experiência de pesquisa do Log Analytics. A partir daqui, analise seus resultados, refine suas consultas e crie marcadores para registrar informações e investigar ainda mais os resultados de linhas individuais.

  1. Selecione o botão Ver resultados .
  2. Se você pivotar para outra parte do portal do Microsoft Sentinel e, em seguida, navegar de volta para a experiência de pesquisa de log de LA na página de busca, todas as guias de consulta de LA permanecerão.
  3. Essas guias de consulta LA são perdidas se você fechar a guia do navegador. Se quiser manter as consultas a longo prazo, você precisa salvar a consulta, criar uma nova consulta de caça ou copiá-la em um comentário para uso posterior dentro da caça.

Adicionar um marcador

Quando encontrar resultados interessantes ou linhas de dados importantes, adicione esses resultados à caça criando um marcador. Para obter mais informações, consulte Usar marcadores de caça para investigações de dados.

  1. Selecione a(s) linha(s) desejada(s).

  2. Acima da tabela de resultados, selecione Adicionar marcador. Captura de ecrã a mostrar o painel adicionar marcadores com campos opcionais preenchidos.

  3. Nomeie o marcador.

  4. Defina a coluna de hora do evento.

  5. Mapear identificadores de entidade.

  6. Defina táticas e técnicas MITRE.

  7. Adicione etiquetas e adicione notas.

    Os marcadores preservam os resultados de linha específicos, a consulta KQL e o intervalo de tempo que gerou o resultado.

  8. Selecione Criar para adicionar o marcador à caça.

Ver marcadores

  1. Navegue até a guia de favoritos da caça para ver seus favoritos.

    Captura de tela mostrando um marcador com todos os seus detalhes e o menu de ação de caçadas aberto.

  2. Selecione um marcador desejado e execute as seguintes ações:

    • Selecione links de entidade para exibir a página de entidade UEBA correspondente.
    • Visualize resultados brutos, tags e anotações.
    • Selecione Exibir consulta de origem para ver a consulta de origem no Log Analytics.
    • Selecione Exibir logs de favoritos para ver o conteúdo do marcador na tabela de favoritos de caça do Log Analytics.
    • Selecione o botão Investigar para visualizar o marcador e as entidades relacionadas no gráfico de investigação.
    • Selecione o botão Editar para atualizar as tags, táticas e técnicas MITRE e notas.

Interagir com entidades

  1. Navegue até a guia Entidades da sua caça para visualizar, pesquisar e filtrar as entidades contidas na sua caça. Esta lista é gerada a partir da lista de entidades nos favoritos. A guia Entidades resolve automaticamente entradas duplicadas.

  2. Selecione nomes de entidades para visitar a página de entidade UEBA correspondente.

  3. Clique com o botão direito do mouse na entidade para executar ações apropriadas aos tipos de entidade, como adicionar um endereço IP à TI ou executar um manual específico de tipo de entidade.

    Captura de ecrã a mostrar o menu de contexto para entidades.

Adicionar comentários

Os comentários são um excelente lugar para colaborar com colegas, preservar anotações e documentar descobertas.

  1. Selecione

  2. Digite e formate seu comentário na caixa de edição.

  3. Adicione um resultado de consulta como um link para que os colaboradores entendam rapidamente o contexto.

  4. Selecione o botão Comentar para aplicar seus comentários.

    Captura de tela mostrando a caixa de edição de comentários com a consulta LA como um link.

Criar incidentes

Existem duas opções para a criação de incidentes durante a caça.

Opção 1: Use favoritos.

  1. Selecione um marcador ou marcadores.

  2. Selecione o botão Ações de incidente.

  3. Selecione Criar novo incidente ou Adicionar a incidente existente

    Captura de tela mostrando o menu de ações de incidentes na janela de favoritos.

    • Para Criar novo incidente, siga as etapas guiadas. A guia Favoritos é preenchida previamente com os favoritos selecionados.
    • Para Adicionar a incidente existente, selecione o incidente e selecione o botão Aceitar .

Opção 2: Use as Ações de caça.

  1. Selecione o menu >Ações de caça Criar incidente e siga as etapas guiadas.

    Captura de tela mostrando o menu de ações de busca na janela de favoritos.

  2. Durante a etapa Adicionar favoritos , use a ação Adicionar marcador para escolher marcadores da busca para adicionar ao incidente. Você está limitado a favoritos que não são atribuídos a um incidente.

  3. Depois que o incidente for criado, ele será vinculado na lista de incidentes relacionados para essa caçada.

Estado da atualização

  1. Quando você capturou evidências suficientes para validar ou invalidar sua hipótese, atualize seu estado de hipótese.

    A captura de tela mostra a seleção do menu do estado da hipótese.

  2. Quando todas as ações associadas à caça estiverem concluídas, como criar regras de análise, incidentes ou adicionar indicadores de comprometimento (IOCs) à TI, feche a caçada.

    A captura de tela mostra a seleção do menu Estado de caça.

Essas atualizações de status são visíveis na página principal do Hunting e são usadas para rastrear métricas.

Acompanhe as métricas

Acompanhe resultados tangíveis da atividade de caça usando a barra de métricas na guia Caçadas. As métricas mostram o número de hipóteses validadas, novos incidentes criados e novas regras analíticas criadas. Use esses resultados para definir metas ou celebrar marcos do seu programa de caça.

A captura de tela mostra métricas de caça.

Próximos passos

Neste artigo, você aprendeu como executar uma investigação de caça com o recurso de caças no Microsoft Sentinel.

Para obter mais informações, consulte: