在Microsoft的统一 SecOps 平台中搜寻
搜寻安全威胁是一项高度可自定义的活动,在跨威胁搜寻的所有阶段(主动、反应和后事件)中完成时,该活动最为有效。 Microsoft的统一安全操作 (SecOps) 平台为威胁搜寻的每个阶段提供了有效的搜寻工具。 这些工具非常适合刚开始职业生涯的分析师,或者使用高级搜寻方法的经验丰富的威胁猎手。 所有级别的威胁猎手都受益于搜寻工具功能,这些功能允许他们在此过程中与团队共享其技术、查询和发现结果。
搜寻工具
Defender 门户中搜寻查询的基础在于Kusto 查询语言 (KQL) 。 KQL 是一种功能强大且灵活的语言,已针对在云环境中的大数据存储中搜索进行优化。 但是,创建复杂查询并不是搜寻威胁的唯一方法。 下面是 Defender 门户中的一些更多搜寻工具和资源,旨在使搜寻触手可及:
- 高级搜寻中的Security Copilot会从自然语言提示生成 KQL。
- 引导式搜寻 使用查询生成器在不知道 KQL 或数据架构的情况下创建有意义的搜寻查询。
- 使用自动建议、架构树和示例查询等功能编写查询时获取帮助。
- 内容中心提供专家查询,以匹配 Microsoft Sentinel 中的现用解决方案。
- Microsoft Defender 搜寻专家称赞,即使是最好的威胁猎人,需要帮助。
在 Defender 门户中使用以下搜寻工具,最大程度地提高团队的搜寻能力:
| 搜寻工具 | 说明 |
|---|---|
| 高级搜寻 | 查看和查询Microsoft统一 SecOps 平台中可用的数据源,并与团队共享查询。 使用所有现有的Microsoft Sentinel工作区内容,包括查询和函数。 |
| Microsoft Sentinel搜寻 | 跨数据源搜寻安全威胁。 使用专门的搜索和查询工具,例如 搜寻、 书签 和 实时流。 |
| 转到查寻 | 快速将调查透视到事件中发现的实体。 |
| 狩猎 | 具有协作功能的端到端主动威胁搜寻过程。 |
| Bookmarks | 保留查询及其结果,添加注释和上下文观察。 |
| Livestream | 启动交互式搜寻会话并使用任何 Log Analytics 查询。 |
| 使用摘要规则进行搜寻 | 使用摘要规则可节省在详细日志中查找威胁的成本。 |
| MITRE ATT&CK 地图 | 创建新的搜寻查询时,请选择要应用的特定策略和技术。 |
| 还原历史数据 | 从存档日志还原数据以用于高性能查询。 |
| 搜索大型数据集 | 使用 KQL 在最多七年前的日志中搜索特定事件。 |
| 基础结构链接 | 搜寻威胁参与者之间的新联系,对类似的攻击活动进行分组,并证实假设。 |
| 威胁资源管理器 | 搜寻与电子邮件相关的专用威胁。 |
搜寻阶段
下表介绍了如何在威胁搜寻的所有阶段充分利用 Defender 门户的搜寻工具:
| 搜寻阶段 | 搜寻工具 |
|---|---|
| 主动 - 在威胁参与者之前先查找环境中的薄弱区域。 尽早检测可疑活动。 | - 定期执行端到端 搜寻 ,以主动查找未检测到的威胁和恶意行为,验证假设,并通过创建新的检测、事件或威胁情报来根据发现结果采取行动。 - 使用 MITRE ATT&CK 映射 识别检测差距,然后针对突出显示的技术运行预定义的搜寻查询。 - 将新的威胁情报插入到经过验证的查询中,以优化检测并确认入侵是否正在进行中。 - 采取主动步骤,针对来自新源或更新源的数据生成和测试查询。 - 使用 高级搜寻 查找没有警报的早期攻击或威胁。 |
| 反应 - 在主动调查期间使用搜寻工具。 | - 使用 实时流 以一致的间隔运行特定查询,以主动监视事件。 - 使用 “搜索 ”按钮快速透视事件,以广泛搜索在调查期间发现的可疑实体。 - 搜寻威胁情报以执行 基础结构链接。 - 在高级搜寻中使用Security Copilot,以计算机速度和规模生成查询。 |
| 事件后 - 提高覆盖范围和见解,以防止类似事件重复发生。 | - 将成功的搜寻查询转换为新的 分析和检测规则,或优化现有规则。 - 作为完整事件调查的一部分,还原历史数据并搜索用于专用搜寻的大型数据集。 |