Explore a caça avançada

Concluído

A caça avançada é uma ferramenta de caça a ameaças baseada em consulta que permite explorar até 30 dias de dados brutos. Você pode inspecionar proativamente eventos em sua rede para localizar indicadores de ameaça e entidades. O acesso flexível aos dados permite a busca sem restrições de ameaças conhecidas e potenciais.

Você pode usar as mesmas consultas de caça a ameaças para criar regras de deteção personalizadas. Essas regras são executadas automaticamente para verificar e, em seguida, responder a suspeitas de atividade de violação, máquinas mal configuradas e outras descobertas. O recurso de caça avançada suporta consultas que verificam um conjunto de dados mais amplo de:

  • Microsoft Defender para Ponto Final

  • Microsoft Defender para Office 365

  • Microsoft Defender for Cloud Apps

  • Microsoft Defender para Identidade

Para usar a caça avançada, ative o Microsoft Defender XDR.

Atualidade dos dados e frequência de atualização

Os dados de caça avançada podem ser categorizados em dois tipos distintos, cada um consolidado de forma diferente.

  • Dados de eventos ou atividades — preenche tabelas sobre alertas, eventos de segurança, eventos do sistema e avaliações de rotina. A caça avançada recebe esses dados quase imediatamente após os sensores que os coletam transmiti-los com sucesso para os serviços de nuvem correspondentes. Por exemplo, você pode consultar dados de eventos de sensores íntegros em estações de trabalho ou controladores de domínio quase imediatamente após estarem disponíveis no Microsoft Defender for Endpoint e no Microsoft Defender for Identity.

  • Dados de entidade — preenche tabelas com informações sobre usuários e dispositivos. Esses dados vêm de fontes de dados relativamente estáticas e fontes dinâmicas, como entradas do Ative Directory e logs de eventos. Para fornecer dados atualizados, as tabelas são atualizadas com novas informações a cada 15 minutos, adicionando linhas que podem não estar totalmente preenchidas. A cada 24 horas, os dados são consolidados para inserir um registro que contém o conjunto de dados mais recente e abrangente sobre cada entidade.

Time zone

As informações de tempo na caça avançada estão na zona UTC.

Esquema de dados

O esquema de caça avançada é composto por várias tabelas que fornecem informações de eventos ou informações sobre dispositivos, alertas, identidades e outros tipos de entidade. Para criar efetivamente consultas que abrangem várias tabelas, você precisa entender as tabelas e as colunas no esquema de caça avançado.

Obter informações do esquema

Ao construir consultas, use a referência de esquema interna para obter rapidamente as seguintes informações sobre cada tabela no esquema:

  • Descrição da tabela — tipo de dados contidos na tabela e a fonte desses dados.

  • Colunas — todas as colunas da tabela.

  • Tipos de ação — valores possíveis na coluna ActionType que representam os tipos de evento suportados pela tabela. Essas informações são fornecidas apenas para tabelas que contêm informações de eventos.

  • Consulta de exemplo — consultas de exemplo que apresentam como a tabela pode ser utilizada.

Acessar a referência do esquema

Para acessar rapidamente a referência de esquema, selecione a ação Exibir referência ao lado do nome da tabela na representação do esquema. Você também pode selecionar Referência de esquema para procurar uma tabela.

Aprenda as tabelas de esquema

A referência a seguir lista todas as tabelas no esquema. Cada nome de tabela vincula-se a uma página que descreve os nomes de coluna dessa tabela. Os nomes de tabelas e colunas também são listados na central de segurança como parte da representação de esquema na tela de busca avançada.

Nome da tabela Description
AlertEvidence Ficheiros, endereços IP, URLs, utilizadores ou dispositivos associados a alertas
AlertInfo Alertas do Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Cloud App Security e Microsoft Defender for Identity, incluindo informações de gravidade e categorização de ameaças
CloudAppEvents Eventos envolvendo contas e objetos no Office 365 e outros aplicativos e serviços na nuvem
DeviceEvents Vários tipos de eventos, incluindo eventos acionados por controles de segurança, como o Windows Defender Antivírus e a proteção contra exploração
DeviceFileCertificateInfo Informações de certificado de arquivos assinados obtidos de eventos de verificação de certificado em pontos finais
DeviceFileEvents Criação, modificação e outros eventos do sistema de arquivos
DeviceImageLoadEvents Eventos de carregamento de DLL
DeviceInfo Informações da máquina, incluindo informações do SO
DeviceLogonEvents Entradas e outros eventos de autenticação em dispositivos
DeviceNetworkEvents Conexão de rede e eventos relacionados
DeviceNetworkInfo Propriedades de rede de dispositivos, incluindo adaptadores físicos, endereços IP e MAC, bem como redes conectadas e domínios
DeviceProcessEvents Criação de processos e eventos relacionados
DeviceRegistryEvents Criação e modificação de entradas de registo
DeviceTvmSecureConfigurationAssessment Eventos de avaliação de Threat & Vulnerability Management, indicando o status de várias configurações de segurança em dispositivos
DeviceTvmSecureConfigurationAssessmentKB Base de conhecimento de várias configurações de segurança utilizadas pelo Threat & Vulnerability Management para avaliar dispositivos; inclui mapeamentos para vários padrões e benchmarks
DeviceTvmSoftwareInventory Inventário de software instalado em dispositivos, incluindo informações de versão e status de fim de suporte
DeviceTvmSoftwareVulnerabilidades Vulnerabilidades de software encontradas em dispositivos e a lista de atualizações de segurança disponíveis que abordam cada vulnerabilidade
DeviceTvmSoftwareVulnerabilidadesKB Base de conhecimento de vulnerabilidades divulgadas publicamente, incluindo se o código de exploração está disponível publicamente
EmailAttachmentInfo Informações sobre arquivos anexados a e-mails
EmailEvents Eventos de email do Microsoft 365, incluindo eventos de entrega e bloqueio de email
Endereço electrónicoPostDeliveryEvents Eventos de segurança que ocorrem após a entrega, depois que o Microsoft 365 entregou os emails na caixa de correio do destinatário
EmailUrlInfo Informações sobre URLs em e-mails
IdentityDirectoryEvents Eventos que envolvem um controlador de domínio local que executa o Ative Directory (AD). Esta tabela abrange uma variedade de eventos relacionados à identidade e eventos do sistema no controlador de domínio.
IdentityInfo Informações da conta de várias fontes, incluindo o Microsoft Entra ID
IdentityLogonEvents Eventos de autenticação no Ative Directory e nos serviços online da Microsoft
IdentityQueryEvents Consultas para objetos do Ative Directory, como usuários, grupos, dispositivos e domínios

Deteções personalizadas

Com deteções personalizadas, você pode monitorar e responder proativamente a vários eventos e estados do sistema, incluindo suspeita de atividade de violação e pontos de extremidade mal configurados. Isso é possível graças a regras de deteção personalizáveis que disparam automaticamente alertas e ações de resposta.

As deteções personalizadas funcionam com caça avançada, que fornece uma linguagem de consulta poderosa e flexível que abrange um amplo conjunto de informações de eventos e sistemas da sua rede. Você pode configurá-los para serem executados em intervalos regulares, gerando alertas e tomando ações de resposta sempre que houver correspondências.

As deteções personalizadas fornecem:

  • Alertas para deteções baseadas em regras criadas a partir de consultas de caça avançadas

  • Ações de resposta automática que se aplicam a arquivos e dispositivos

Criar regras de deteção

Para criar regras de deteção:

1. Prepare a consulta.

Na Central de Segurança do Microsoft Defender, vá para Caça avançada e selecione uma consulta existente ou crie uma nova consulta. Ao usar uma nova consulta, execute-a para identificar erros e entender possíveis resultados.

Importante

Para evitar que o serviço retorne muitos alertas, cada regra se limita a gerar apenas 100 alertas sempre que é executado. Antes de criar uma regra, ajuste sua consulta para evitar alertar para atividades normais do dia a dia.

Para usar uma consulta para uma regra de deteção personalizada, a consulta deve retornar as seguintes colunas:

  • Carimbo de Data/Hora

  • DeviceId

  • ReportId

Consultas simples, como aquelas que não usam o operador de projeto ou resumo para personalizar ou agregar resultados, normalmente retornam essas colunas comuns.

Há várias maneiras de garantir que consultas mais complexas retornem essas colunas. Por exemplo, se você preferir agregar e contar por DeviceId, ainda poderá retornar Timestamp e ReportId obtendo-os do evento mais recente envolvendo cada dispositivo.

A consulta de exemplo abaixo conta o número de dispositivos exclusivos (DeviceId) com deteções antivírus e usa isso para localizar apenas os dispositivos com mais de cinco deteções. Para retornar o carimbo de data/hora mais recente e o ReportID correspondente, ele usa o operador summarize com a função arg_max.

DeviceEvents
| where Timestamp > ago(7d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

2. Crie uma nova regra e forneça detalhes do alerta.

Com a consulta no editor de consultas, selecione Criar regra de deteção e especifique os seguintes detalhes de alerta:

  • Nome da deteção—nome da regra de deteção

  • Frequência — intervalo para executar a consulta e executar uma ação. Ver orientações adicionais abaixo

  • Título do alerta—título exibido com alertas acionados pela regra

  • Gravidade — risco potencial do componente ou atividade identificado pela regra.

  • Categoria—tipo de componente ou atividade de ameaça, se houver.

  • Técnicas MITRE ATT&CK — uma ou mais técnicas de ataque identificadas pela regra, conforme documentado na estrutura MITRE ATT&CK. Esta seção não está disponível com determinadas categorias de alerta, como malware, ransomware, atividade suspeita e software indesejado

  • Descrição—mais informações sobre o componente ou atividade identificado pela regra

  • Ações recomendadas — ações adicionais que os respondentes podem tomar em resposta a um alerta

3. Frequência da regra

Quando salva, uma nova regra de deteção personalizada é executada imediatamente e verifica se há correspondências dos últimos 30 dias de dados. Em seguida, a regra é executada novamente em intervalos fixos e durações de retrospetiva com base na frequência escolhida:

  • A cada 24 horas — funciona a cada 24 horas, verificando dados dos últimos 30 dias

  • A cada 12 horas — funciona a cada 12 horas, verificando dados das últimas 48 horas

  • A cada 3 horas — funciona a cada 3 horas, verificando dados das últimas 12 horas

  • A cada hora — funciona de hora em hora, verificando dados das últimas 4 horas

  • Contínuo (NRT) — é executado continuamente, verificando dados de eventos à medida que são coletados e processados em tempo quase real (NRT)

Selecione a frequência que corresponde à proximidade com que você deseja monitorar as deteções e considere a capacidade da sua organização de responder aos alertas.

Nota

Definir uma deteção personalizada para ser executada na frequência Contínua (NRT) permite aumentar a capacidade da sua organização de identificar ameaças mais rapidamente.

4. Escolha as entidades impactadas.

Identifique as colunas nos resultados da consulta onde você espera encontrar a entidade principal afetada ou afetada. Por exemplo, uma consulta pode retornar IDs de dispositivo e de usuário. Identificar qual dessas colunas representa a principal entidade afetada ajuda o serviço a agregar alertas relevantes, correlacionar incidentes e direcionar ações de resposta.

Você pode selecionar apenas uma coluna para cada tipo de entidade. As colunas que não são retornadas pela sua consulta não podem ser selecionadas.

5. Especificar ações.

Sua regra de deteção personalizada pode executar ações automaticamente em arquivos ou dispositivos retornados pela consulta.

Ações em dispositivos

Estas ações são aplicadas a dispositivos na coluna DeviceId dos resultados da consulta:

  • Isolar dispositivo — aplica isolamento total de rede, impedindo que o dispositivo se conecte a qualquer aplicativo ou serviço, exceto para o serviço Defender for Endpoint.

  • Coletar pacote de investigação — coleta informações do dispositivo em um arquivo ZIP.

  • Executar verificação antivírus — executa uma verificação completa do Microsoft Defender Antivírus no dispositivo

  • Iniciar investigação — inicia uma investigação automatizada no dispositivo

Ações em arquivos

Essas ações são aplicadas a arquivos na coluna SHA1 ou InitiatingProcessSHA1 dos resultados da consulta:

  • Permitir/Bloquear—adiciona automaticamente o arquivo à sua lista de indicadores personalizada para que ele seja sempre permitido ou bloqueado de ser executado. Você pode definir o escopo dessa ação para que ela seja executada somente em grupos de dispositivos selecionados. Este âmbito de aplicação é independente do âmbito de aplicação da regra.

  • Arquivo de quarentena — exclui o arquivo de seu local atual e coloca uma cópia em quarentena

6. Defina o escopo da regra.

Defina o escopo para especificar quais dispositivos são cobertos pela regra:

  • Todos os dispositivos

  • Grupos de dispositivos específicos

Apenas os dados dos dispositivos no âmbito serão consultados. Além disso, as ações serão tomadas apenas nesses dispositivos.

7. Reveja e ative a regra.

Depois de revisar a regra, selecione Criar para salvá-la. A regra de deteção personalizada é executada imediatamente. Ele é executado novamente com base na frequência configurada para verificar correspondências, gerar alertas e executar ações de resposta.