Explore a criação e o gerenciamento de consultas de caça a ameaças

  • 10 minutos

O Microsoft Sentinel contém poderosas ferramentas de consulta que podem ajudá-lo, como parte da equipe do Centro de Operações de Segurança, a localizar e isolar ameaças à segurança e atividades indesejadas no ambiente da Contoso.

Caçar usando consultas internas

Você pode usar as ferramentas de pesquisa e consulta no Microsoft Sentinel para procurar ameaças e táticas de segurança em todo o seu ambiente. Essas ferramentas permitem filtrar grandes quantidades de eventos e fontes de dados de segurança para identificar ameaças potenciais ou rastrear ameaças conhecidas ou esperadas.

A página Caça no Microsoft Sentinel tem consultas internas que podem orientar seu processo de caça e ajudá-lo a buscar os caminhos de caça apropriados para descobrir problemas em seu ambiente. As consultas de caça podem expor problemas que não são significativos o suficiente por si só para gerar um alerta, mas que aconteceram com frequência suficiente ao longo do tempo para justificar a investigação.

Captura de ecrã que mostra a página Caça no Microsoft Sentinel.

A página Caça fornece uma lista de todas as consultas de caça. Você pode filtrar e classificar consultas por nome, provedor, fonte de dados, resultados e táticas. Você pode salvar consultas selecionando o ícone de estrela Favoritos para a consulta na lista.

Gorjeta

Quando uma consulta é selecionada como favorita, ela é executada automaticamente sempre que você abre a página Caça.

Gerir as consultas de investigação

Quando você seleciona uma consulta na lista, os detalhes da consulta aparecem em um novo painel que contém uma descrição, código e outras informações sobre a consulta. Essas informações incluem entidades relacionadas e táticas identificadas. Você pode executar uma consulta interativamente selecionando Executar consulta no painel de detalhes.

Procure ameaças usando a estrutura MITRE ATT&CK

O Microsoft Sentinel usa a estrutura MITRE ATT&CK para categorizar e ordenar consultas por táticas. ATT&CK é uma base de conhecimento de táticas e técnicas que são usadas e observadas no cenário global de ameaças. Você pode usar o MITRE ATT&CK para desenvolver e informar seus modelos e métodos de caça a ameaças no Microsoft Sentinel. Quando você está caçando ameaças no Microsoft Sentinel, você pode usar a estrutura ATT&CK para categorizar e executar consultas usando a linha do tempo das táticas MITRE ATT&CK.

Nota

Você pode selecionar táticas MITRE ATT&CK individuais na linha do tempo na página Caça.

Captura de tela da linha do tempo das táticas na página Caça no Microsoft Sentinel.

Selecionar qualquer tática filtra as consultas disponíveis pela tática selecionada. As seguintes táticas de caça são das matrizes ATT&CK Enterprise e ICS (Industrial Control Systems):

  • Reconhecimento. Táticas que o adversário usa para encontrar informações que pode usar para planejar operações futuras.
  • Desenvolvimento de recursos. Táticas que o adversário usa para estabelecer recursos que pode usar para apoiar as operações. Os recursos incluem infraestrutura, contas ou recursos.
  • Acesso inicial. Táticas que o adversário usa para entrar em uma rede, explorando vulnerabilidades ou fraquezas de configuração em sistemas voltados para o público. Um exemplo é o spear-phishing direcionado.
  • Execução. As táticas que resultam na execução de código do adversário num sistema de destino. Por exemplo, um hacker mal-intencionado pode executar um script do PowerShell para baixar mais ferramentas invasoras e/ou verificar outros sistemas.
  • Persistência. Táticas que permitem que um adversário mantenha o acesso a um sistema de destino, mesmo após reinicializações e alterações de credenciais. Um exemplo de uma técnica de persistência é um invasor que cria uma tarefa agendada que executa seu código em um momento específico ou na reinicialização.
  • Escalamento de privilégios. Táticas que um adversário usa para obter privilégios de nível mais alto em um sistema, como administrador local ou root.
  • Evasão de defesa. Táticas que os atacantes usam para evitar a deteção. As táticas de evasão incluem código malicioso oculto em processos e pastas de confiança, que encriptam ou ocultam o código do adversário ou desativam o software de segurança.
  • Acesso às credenciais. As táticas implementadas nos sistemas e redes para roubar nomes de utilizador e credenciais para reutilizar.
  • Deteção. Táticas que os adversários usam para obter informações sobre sistemas e redes que eles querem explorar ou usar para sua vantagem tática.
  • Movimento lateral. As táticas que permitem que um atacante mude de um sistema para outro dentro de uma rede. As técnicas comuns incluem métodos pass-the-hash de autenticação de usuários e abuso do Protocolo de Área de Trabalho Remota.
  • Coleção. Táticas que um adversário usa para reunir e consolidar as informações que estava visando como parte de seus objetivos.
  • Comando e controlo. Táticas que um invasor usa para se comunicar com um sistema sob seu controle. Um exemplo é um invasor que se comunica com um sistema por uma porta incomum ou numerada para evitar a deteção por dispositivos de segurança ou proxies.
  • Exfiltração. Táticas usadas para mover dados da rede comprometida para um sistema ou rede totalmente sob controle do invasor.
  • Impacto. Táticas que um invasor usa para afetar a disponibilidade de sistemas, redes e dados. Os métodos nesta categoria incluem ataques de negação de serviço e software de limpeza de disco ou de dados.
  • Prejudicar o controle de processos. Táticas que o adversário usa para manipular, desativar ou danificar processos de controle físico.
  • Inibir a função de resposta. Táticas que o adversário usa para impedir que suas funções de segurança, proteção, garantia de qualidade e intervenção do operador respondam a uma falha, perigo ou estado inseguro.
  • Nenhum.

Criar consultas personalizadas para refinar a investigação de ameaças

Todas as consultas de caça do Microsoft Sentinel usam a sintaxe KQL (Kusto Query Language) usada no Log Analytics. Você pode modificar uma consulta no painel de detalhes e executar a nova consulta. Ou você pode salvá-lo como uma nova consulta que pode ser reutilizada em seu espaço de trabalho do Microsoft Sentinel.

Você também pode criar suas próprias consultas personalizadas usando o código KQL para caçar ameaças.

Captura de ecrã que mostra a página para criar uma consulta personalizada no Microsoft Sentinel.

As consultas personalizadas permitem definir o seguinte:

Parâmetro de consulta Description
Name Forneça um nome para a consulta personalizada.
Description Forneça uma descrição da funcionalidade da sua consulta.
Consulta personalizada A sua consulta de caça KQL.
Mapeamento de entidades Mapeie tipos de entidade para colunas do resultado da consulta para preencher os resultados da consulta com mais informações acionáveis. Você também pode mapear entidades usando código em sua consulta KQL.
Táticas e técnicas Especifique as táticas que sua consulta foi projetada para expor.

As consultas personalizadas estão listadas juntamente com as consultas incorporadas para a gestão.

Explore o Microsoft Sentinel no GitHub

O repositório do Microsoft Sentinel contém deteções prontas para uso, consultas de exploração, consultas de caça, pastas de trabalho, playbooks e muito mais para ajudá-lo a proteger seu ambiente e caçar ameaças. A Microsoft e a comunidade Microsoft Sentinel contribuem para este repositório.

O repositório contém pastas com conteúdo contribuído para várias áreas da funcionalidade do Microsoft Sentinel, incluindo consultas de caça. Você pode usar o código dessas consultas para criar consultas personalizadas em seu espaço de trabalho do Microsoft Sentinel.

Escolha a melhor resposta para a pergunta a seguir.

Verifique o seu conhecimento

1.

Qual sintaxe de código é usada para consultas de caça do Microsoft Sentinel?