Conduza a caça proativa de ameaças de ponta a ponta no Microsoft Sentinel
A caça proativa a ameaças é um processo em que os analistas de segurança procuram ameaças não detetadas e comportamentos maliciosos. Ao criar uma hipótese, pesquisar dados e validar essa hipótese, eles determinam no que agir. As ações podem incluir a criação de novas deteções, novas informações sobre ameaças ou a criação de um novo incidente.
Use a experiência de caça de ponta a ponta no Microsoft Sentinel para:
- Caça proativa com base em técnicas MITRE específicas, atividade potencialmente maliciosa, ameaças recentes ou sua própria hipótese personalizada.
- Use consultas de caça geradas pelo pesquisador de segurança ou consultas de caça personalizadas para investigar comportamentos mal-intencionados.
- Conduza suas caçadas usando várias guias de consulta persistente que permitem manter o contexto ao longo do tempo.
- Colete evidências, investigue fontes da UEBA e anote suas descobertas usando marcadores específicos de caça.
- Colabore e documente suas descobertas com comentários.
- Atue de acordo com os resultados, criando novas regras analíticas, novos incidentes, novos indicadores de ameaça e executando playbooks.
- Acompanhe suas caçadas novas, ativas e fechadas em um só lugar.
- Visualize métricas com base em hipóteses validadas e resultados tangíveis.
Importante
O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Pré-requisitos
Para usar o recurso de buscas, você precisa receber uma função interna do Microsoft Sentinel ou uma função personalizada do RBAC do Azure. Aqui estão as suas opções:
Atribua a atribuição de função interna de Colaborador do Microsoft Sentinel.
Para saber mais sobre funções no Microsoft Sentinel, consulte Funções e permissões no Microsoft Sentinel.Atribua uma função RBAC personalizada do Azure com as permissões apropriadas em Microsoft.SecurityInsights/hunts.
Para saber mais sobre funções personalizadas, consulte Funções personalizadas e RBAC do Azure avançado.
Defina a sua hipótese
Definir uma hipótese é um processo aberto e flexível e pode incluir qualquer ideia que você queira validar. As hipóteses comuns incluem:
- Comportamento suspeito - investigue atividades potencialmente maliciosas visíveis em seu ambiente para determinar se um ataque está ocorrendo.
- Nova campanha de ameaças - Procure tipos de atividade maliciosa com base em agentes de ameaça, técnicas ou vulnerabilidades recém-descobertas. Isso pode ser algo que você ouviu falar em um artigo de notícias de segurança.
- Lacunas de deteção - Aumente sua cobertura de deteção usando o mapa MITRE ATT&CK para identificar lacunas.
O Microsoft Sentinel oferece flexibilidade à medida que você se concentra no conjunto certo de consultas de caça para investigar sua hipótese. Ao criar uma caça, inicie-a com consultas de caça pré-selecionadas ou adicione consultas à medida que progride. Aqui estão recomendações para consultas pré-selecionadas com base nas hipóteses mais comuns.
Hipótese - Comportamento suspeito
Para Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Caça.
Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Threat management>Hunting.Selecione a guia Consultas . Para identificar comportamentos potencialmente maliciosos, execute todas as consultas.
Selecione Executar Todas as consultas> aguarde a execução das consultas. Este processo pode demorar algum tempo.
Selecione Adicionar resultados> do filtro>desmarque as caixas de seleção "!", "N/A", "-" e "0" valores Aplicar >
Classifique esses resultados pela coluna Delta de resultados para ver o que mudou mais recentemente. Estes resultados fornecem orientação inicial sobre a caça.
Hipótese - Nova campanha de ameaças
O hub de conteúdo oferece campanhas de ameaças e soluções baseadas em domínio para caçar ataques específicos. Nas etapas a seguir, você instala um desses tipos de soluções.
Vá para o Hub de conteúdo.
Instale uma campanha de ameaças ou uma solução baseada em domínio, como o Log4J Vulnerability Detection ou o Apache Tomcat.
Depois que a solução for instalada, no Microsoft Sentinel, vá para Hunting.
Selecione a guia Consultas .
Pesquise por nome da solução ou filtre por Nome de origem da solução.
Selecione a consulta e Executar consulta.
Hipótese - Lacunas de deteção
O mapa MITRE ATT&CK ajuda-o a identificar lacunas específicas na sua cobertura de deteção. Use consultas de caça predefinidas para técnicas específicas de MITRE ATT&CK como ponto de partida para desenvolver uma nova lógica de deteção.
Navegue até a página MITRE ATT&CK (Preview ).
Desmarque os itens no menu suspenso Ativo.
Selecione Consultas de caça no filtro Simulado para ver quais técnicas têm consultas de caça associadas a elas.
Selecione o cartão com a técnica desejada.
Selecione o link Exibir ao lado de Consultas de caça na parte inferior do painel de detalhes. Este link leva você a uma exibição filtrada da guia Consultas na página Caça com base na técnica selecionada.
Selecione todas as consultas para essa técnica.
Criar uma caça
Existem duas formas principais de criar uma caçada.
Se você começou com uma hipótese em que selecionou consultas, selecione o menu> suspenso Ações de busca Criar nova caçada. Todas as consultas selecionadas são clonadas para esta nova caçada.
Se você ainda não decidiu sobre consultas, selecione a guia >Caçadas (Visualização) Nova Caça para criar uma caça em branco.
Preencha o nome da caça e os campos opcionais. A descrição é um bom lugar para verbalizar sua hipótese. O menu suspenso Hipótese é onde você define o status da sua hipótese de trabalho.
Selecione Criar para começar.
Ver detalhes da caça
Selecione o separador Caçadas (Pré-visualização) para ver a sua nova caçada.
Selecione o link de busca pelo nome para visualizar os detalhes e tomar medidas.
Exiba o painel de detalhes com o Nome da caça, Descrição, Conteúdo, Hora da última atualização e Hora da criação.
Observe as guias para Consultas, Favoritos e Entidades.
Guia Consultas
A guia Consultas contém consultas de caça específicas para essa caça. Essas consultas são clones dos originais, independentes de todos os outros no espaço de trabalho. Atualize-os ou exclua-os sem afetar seu conjunto geral de consultas de caça ou consultas em outras caçadas.
Adicionar uma consulta à caça
- Selecionar Ações de Consulta>adicionar consultas para caçar
- Selecione as consultas que deseja adicionar.
Executar consultas
- Selecione Executar todas as consultas ou escolha consultas específicas e selecione Executar consultas selecionadas.
- Selecione Cancelar para cancelar a execução da consulta a qualquer momento.
Gerenciar consultas
Clique com o botão direito do mouse em uma consulta e selecione uma das seguintes opções no menu de contexto:
- Executar
- Editar
- Clonar
- Eliminar
- Criar regra de análise
Essas opções se comportam como a tabela de consultas existente na página Caça, exceto que as ações só se aplicam dentro dessa caçada. Quando você opta por criar uma regra de análise, o nome, a descrição e a consulta KQL são preenchidos previamente na criação da nova regra. Um link é criado para exibir a nova regra de análise encontrada em Regras de análise relacionadas.
Ver resultados
Esse recurso permite que você veja os resultados da consulta de caça na experiência de pesquisa do Log Analytics. A partir daqui, analise seus resultados, refine suas consultas e crie marcadores para registrar informações e investigar ainda mais os resultados de linhas individuais.
- Selecione o botão Ver resultados .
- Se você pivotar para outra parte do portal do Microsoft Sentinel e, em seguida, navegar de volta para a experiência de pesquisa de log de LA na página de busca, todas as guias de consulta de LA permanecerão.
- Essas guias de consulta LA são perdidas se você fechar a guia do navegador. Se quiser manter as consultas a longo prazo, você precisa salvar a consulta, criar uma nova consulta de caça ou copiá-la em um comentário para uso posterior dentro da caça.
Adicionar um marcador
Quando encontrar resultados interessantes ou linhas de dados importantes, adicione esses resultados à caça criando um marcador. Para obter mais informações, consulte Usar marcadores de caça para investigações de dados.
Selecione a(s) linha(s) desejada(s).
Acima da tabela de resultados, selecione Adicionar marcador.
Nomeie o marcador.
Defina a coluna de hora do evento.
Mapear identificadores de entidade.
Defina táticas e técnicas MITRE.
Adicione etiquetas e adicione notas.
Os marcadores preservam os resultados de linha específicos, a consulta KQL e o intervalo de tempo que gerou o resultado.
Selecione Criar para adicionar o marcador à caça.
Ver marcadores
Navegue até a guia de favoritos da caça para ver seus favoritos.
Selecione um marcador desejado e execute as seguintes ações:
- Selecione links de entidade para exibir a página de entidade UEBA correspondente.
- Visualize resultados brutos, tags e anotações.
- Selecione Exibir consulta de origem para ver a consulta de origem no Log Analytics.
- Selecione Exibir logs de favoritos para ver o conteúdo do marcador na tabela de favoritos de caça do Log Analytics.
- Selecione o botão Investigar para visualizar o marcador e as entidades relacionadas no gráfico de investigação.
- Selecione o botão Editar para atualizar as tags, táticas e técnicas MITRE e notas.
Interagir com entidades
Navegue até a guia Entidades da sua caça para visualizar, pesquisar e filtrar as entidades contidas na sua caça. Esta lista é gerada a partir da lista de entidades nos favoritos. A guia Entidades resolve automaticamente entradas duplicadas.
Selecione nomes de entidades para visitar a página de entidade UEBA correspondente.
Clique com o botão direito do mouse na entidade para executar ações apropriadas aos tipos de entidade, como adicionar um endereço IP à TI ou executar um manual específico de tipo de entidade.
Adicionar comentários
Os comentários são um excelente lugar para colaborar com colegas, preservar anotações e documentar descobertas.
Selecione
Digite e formate seu comentário na caixa de edição.
Adicione um resultado de consulta como um link para que os colaboradores entendam rapidamente o contexto.
Selecione o botão Comentar para aplicar seus comentários.
Criar incidentes
Existem duas opções para a criação de incidentes durante a caça.
Opção 1: Use favoritos.
Selecione um marcador ou marcadores.
Selecione o botão Ações de incidente.
Selecione Criar novo incidente ou Adicionar a incidente existente
- Para Criar novo incidente, siga as etapas guiadas. A guia Favoritos é preenchida previamente com os favoritos selecionados.
- Para Adicionar a incidente existente, selecione o incidente e selecione o botão Aceitar .
Opção 2: Use as Ações de caça.
Selecione o menu >Ações de caça Criar incidente e siga as etapas guiadas.
Durante a etapa Adicionar favoritos , use a ação Adicionar marcador para escolher marcadores da busca para adicionar ao incidente. Você está limitado a favoritos que não são atribuídos a um incidente.
Depois que o incidente for criado, ele será vinculado na lista de incidentes relacionados para essa caçada.
Estado da atualização
Quando você capturou evidências suficientes para validar ou invalidar sua hipótese, atualize seu estado de hipótese.
Quando todas as ações associadas à caça estiverem concluídas, como criar regras de análise, incidentes ou adicionar indicadores de comprometimento (IOCs) à TI, feche a caçada.
Essas atualizações de status são visíveis na página principal do Hunting e são usadas para rastrear métricas.
Acompanhe as métricas
Acompanhe resultados tangíveis da atividade de caça usando a barra de métricas na guia Caçadas. As métricas mostram o número de hipóteses validadas, novos incidentes criados e novas regras analíticas criadas. Use esses resultados para definir metas ou celebrar marcos do seu programa de caça.
Próximos passos
Neste artigo, você aprendeu como executar uma investigação de caça com o recurso de caças no Microsoft Sentinel.
Para obter mais informações, consulte: