Jakt på Microsofts enhetliga SecOps-plattform
Jakt på säkerhetshot är en mycket anpassningsbar aktivitet som är mest effektiv när den utförs i alla faser av hotjakt: proaktiv, reaktiv och efter incident. Microsofts plattform för enhetliga säkerhetsåtgärder (SecOps) innehåller effektiva jaktverktyg för varje steg i hotjakten. Dessa verktyg är väl lämpade för analytiker som precis har börjat i sin karriär, eller erfarna hotjägare som använder avancerade jaktmetoder. Hotjägare på alla nivåer drar nytta av jaktverktygsfunktioner som gör att de kan dela sina tekniker, frågor och resultat med sitt team på vägen.
Jaktverktyg
Grunden för jaktfrågor i Defender-portalen ligger på Kusto-frågespråk (KQL). KQL är ett kraftfullt och flexibelt språk som är optimerat för sökning i stordatalager i molnmiljöer. Men att skapa komplexa frågor är inte det enda sättet att jaga hot. Här är några fler jaktverktyg och resurser i Defender-portalen som är utformade för att ge dig jakt:
- Security Copilot i avancerad jakt genererar KQL från frågor på naturligt språk.
- Guidad jakt använder en frågebyggare för att skapa meningsfulla jaktfrågor utan att känna till KQL eller dataschemat.
- Få hjälp när du skriver frågor med funktioner som automatiska förslag, schematräd och exempelfrågor.
- Innehållshubben tillhandahåller expertfrågor för att matcha färdiga lösningar i Microsoft Sentinel.
- Microsoft Defender jaktexperter berömmer även de bästa hotjägare som vill ha hjälp.
Maximera hela omfattningen av teamets jaktförmåga med följande jaktverktyg i Defender-portalen:
| Jaktverktyg | Beskrivning |
|---|---|
| Avancerad jakt | Visa och fråga efter datakällor som är tillgängliga på Microsofts enhetliga SecOps-plattform och dela frågor med ditt team. Använd allt befintligt Microsoft Sentinel arbetsyteinnehåll, inklusive frågor och funktioner. |
| Microsoft Sentinel jakt | Jaga säkerhetshot mellan datakällor. Använd specialiserade sök- och frågeverktyg som jakter, bokmärken och livestream. |
| Gå på jakt | Snabbt pivotering av en undersökning till entiteter som hittats i en incident. |
| Jagar | En proaktiv process för hotjakt från slutpunkt till slutpunkt med samarbetsfunktioner. |
| Bokmärken | Bevara frågor och deras resultat, lägga till anteckningar och kontextuella observationer. |
| Livestream | Starta en interaktiv jaktsession och använd alla Log Analytics-frågor. |
| Jakt med sammanfattningsregler | Använd sammanfattningsregler för att spara kostnader på jakt efter hot i utförliga loggar. |
| MITRE ATT&CK-karta | När du skapar en ny jaktfråga väljer du specifika taktiker och tekniker som ska tillämpas. |
| Återställa historiska data | Återställa data från arkiverade loggar för användning i högpresterande frågor. |
| Söka i stora datamängder | Sök efter specifika händelser i loggar för upp till sju år sedan med hjälp av KQL. |
| Infrastrukturlänkning | Jaga nya anslutningar mellan hotaktörer, gruppera liknande attackaktivitet och underbygga antaganden. |
| Hotutforskaren | Jaga specialiserade hot som rör e-post. |
Jaktfaser
I följande tabell beskrivs hur du kan få ut mesta möjliga av Defender-portalens jaktverktyg i alla faser av hotjakt:
| Jaktfas | Jaktverktyg |
|---|---|
| Proaktiv – Hitta de svaga områdena i din miljö innan hotaktörer gör det. Identifiera misstänkt aktivitet extra tidigt. | - Genomför regelbundet heltäckande jakter för att proaktivt söka efter oupptäckta hot och skadliga beteenden, validera hypoteser och agera på resultat genom att skapa nya identifieringar, incidenter eller hotinformation. – Använd MITRE ATT-&CK-kartan för att identifiera identifieringsluckor och kör sedan fördefinierade jaktfrågor för markerade tekniker. – Infoga ny hotinformation i beprövade frågor för att finjustera identifieringar och bekräfta om en kompromiss pågår. – Vidta proaktiva åtgärder för att skapa och testa frågor mot data från nya eller uppdaterade källor. – Använd avancerad jakt för att hitta tidiga attacker eller hot som inte har aviseringar. |
| Reaktiv – Använd jaktverktyg under en aktiv undersökning. | – Använd livestream för att köra specifika frågor med konsekventa intervall för att aktivt övervaka händelser. – Snabbt pivotering av incidenter med knappen Go hunt för att söka brett efter misstänkta entiteter som hittats under en undersökning. – Jaga genom hotinformation för att utföra infrastrukturlänkning. – Använd Security Copilot i avancerad jakt för att generera frågor med maskinhastighet och skalning. |
| Efter incident – Förbättra täckningen och insikterna för att förhindra att liknande incidenter återkommer. | – Omvandla lyckade jaktfrågor till nya analys- och identifieringsregler eller förfina befintliga. - Återställa historiska data och söka i stora datauppsättningar efter specialiserad jakt som en del av fullständiga incidentundersökningar. |