Охота на унифицированной платформе SecOps корпорации Майкрософт
Поиск угроз безопасности — это настраиваемое действие, которое наиболее эффективно при выполнении на всех этапах охоты на угрозы: упреждающее, реактивное и после инцидента. Платформа Унифицированных операций безопасности (SecOps) Корпорации Майкрософт предоставляет эффективные средства охоты на каждый этап охоты на угрозы. Эти инструменты хорошо подходят для аналитиков, которые только начинают свою карьеру, или опытных охотников за угрозами, использующих передовые методы охоты. Охотники за угрозами всех уровней получают преимущества от функций охотничьего инструмента, которые позволяют им поделиться своими методами, запросами и выводами со своей командой на этом пути.
Средства охоты
В основе поисковых запросов на портале Defender лежит язык запросов Kusto (KQL). KQL — это мощный и гибкий язык, оптимизированный для поиска в хранилищах больших данных в облачных средах. Однако создание сложных запросов — это не единственный способ охоты на угрозы. Ниже приведены еще некоторые инструменты и ресурсы для охоты на портале Defender, предназначенные для обеспечения вашей досягаемости:
- Security Copilot в расширенной охоте создает KQL из запросов естественного языка.
- Интерактивная охота использует построитель запросов для создания значимых запросов охоты без знания KQL или схемы данных.
- Получите справку по написанию запросов с такими функциями , как автозаполнения, дерево схемы и примеры запросов.
- Центр содержимого предоставляет экспертные запросы для сопоставления встроенных решений в Microsoft Sentinel.
- Эксперты Microsoft Defender по охоте на угрозы комплименты даже лучшим охотникам за угрозами, которые хотят помощи.
Повысьте всю степень охотничьего мастерства вашей команды с помощью следующих средств охоты на портале Defender:
| Охотничий инструмент | Описание |
|---|---|
| Расширенная охота | Просматривайте и запрашивайте источники данных, доступные на унифицированной платформе SecOps корпорации Майкрософт, и делитесь запросами с вашей командой. Используйте все существующее содержимое рабочей области Microsoft Sentinel, включая запросы и функции. |
| Microsoft Sentinel охота | Поиск угроз безопасности в разных источниках данных. Используйте специализированные средства поиска и запросов, такие как охота, закладки и прямая трансляция. |
| Запуск слежения | Быстрое свораивание исследования на сущности, обнаруженные в инциденте. |
| Охотится | Комплексный процесс упреждающего поиска угроз с функциями совместной работы. |
| Закладки | Сохранение запросов и их результатов, добавление заметок и контекстных наблюдений. |
| Прямая трансляция | Запустите интерактивный сеанс охоты и используйте любой запрос Log Analytics. |
| Охота с помощью сводных правил | Используйте сводные правила для экономии затрат на поиск угроз в подробных журналах. |
| Карта MITRE ATT&CK | При создании запроса охоты выберите конкретные тактики и методы, которые нужно применить. |
| Восстановление исторических данных | Восстановление данных из архивных журналов для использования в высокопроизводительных запросах. |
| Поиск больших наборов данных | Поиск определенных событий в журналах до семи лет назад с помощью KQL. |
| Построение цепочек инфраструктуры | Поиск новых связей между субъектами угроз, группирование аналогичных атак и обоснование предположений. |
| Обозреватель угроз | Поиск специализированных угроз, связанных с электронной почтой. |
Этапы охоты
В следующей таблице описано, как максимально эффективно использовать средства охоты на портале Defender на всех этапах охоты на угрозы.
| Этап охоты | Средства охоты |
|---|---|
| Упреждающее — найдите слабые области в вашей среде до того, как это сделают субъекты угроз. Обнаружение подозрительных действий на более ранней стадии. | — Регулярно проводите сквозную охоту для упреждающего поиска незамеченных угроз и вредоносных действий, проверки гипотез и принятия мер на основе полученных результатов путем создания новых обнаружений, инцидентов или аналитики угроз. — Используйте карту MITRE ATT&CK для выявления пробелов, а затем выполните предопределенные запросы охоты для выделенных методов. — Вставьте новую аналитику угроз в проверенные запросы, чтобы настроить обнаружение и проверить, выполняется ли компрометация. — Выполните упреждающие действия по созданию и тестированию запросов к данным из новых или обновленных источников. — Используйте расширенную охоту для поиска атак или угроз на ранней стадии, у которых нет оповещений. |
| Реактивная — используйте средства охоты во время активного исследования. | — используйте livestream для выполнения определенных запросов через согласованные интервалы для активного мониторинга событий. — Быстро сводите сведения об инцидентах с помощью кнопки Go hunt (Поиск ) для широкого поиска подозрительных сущностей, обнаруженных во время расследования. — Поиск с помощью аналитики угроз для выполнения цепочек инфраструктуры. — Используйте Security Copilot в расширенной охоте для создания запросов на скорости и масштабе компьютера. |
| После инцидента — улучшение охвата и аналитических сведений, чтобы предотвратить повторение подобных инцидентов. | — Превращайте успешные запросы охоты в новые правила аналитики и обнаружения или уточняйте существующие. - Восстановление исторических данных и поиск больших наборов данных для специализированной охоты в рамках полного расследования инцидентов. |