在Microsoft的整合 SecOps 平臺中搜捕
搜捕安全性威脅是可高度自定義的活動,在威脅搜捕的所有階段完成時最有效:主動式、回應式和事件后。 Microsoft的整合安全性作業 (SecOps) 平臺為威脅搜捕的每個階段提供有效的搜捕工具。 這些工具非常適合剛開始其職涯的分析師,或是使用進階搜捕方法的資深威脅搜捕人員。 所有層級的威脅搜捕人員都受益於搜捕工具功能,可讓他們與小組分享其技術、查詢和結果。
搜捕工具
Defender 入口網站中的搜捕查詢基礎是以 Kusto 查詢語言 (KQL) 為基礎。 KQL 是功能強大且彈性的語言,已針對在雲端環境中搜尋巨量數據存放區進行優化。 不過,製作複雜的查詢並不是搜捕威脅的唯一方式。 以下是Defender入口網站中一些其他搜捕工具和資源,其設計目的是要將搜捕帶入您的觸角:
- 進階搜捕中的 Security Copilot 會從自然語言提示產生 KQL。
- 引導式搜捕 會使用查詢產生器來製作有意義的搜捕查詢,而不需要知道 KQL 或數據架構。
- 使用自動建議、架構樹狀結構和範例查詢等功能撰寫查詢時取得協助。
- 內容中樞提供專家查詢,以比對 Microsoft Sentinel 中現成的解決方案。
- Microsoft Defender 搜補專家 支援甚至是想要協助的最佳威脅搜捕者。
在 Defender 入口網站中使用下列搜捕工具,最大化小組的完整搜捕能力:
| 搜捕工具 | 描述 |
|---|---|
| 進階搜捕 | 檢視和查詢Microsoft整合 SecOps 平臺內可用的數據源,並與您的小組共享查詢。 使用所有現有的 Microsoft Sentinel 工作區內容,包括查詢和函式。 |
| Microsoft Sentinel 搜捕 | 跨數據源搜捕安全性威脅。 使用特製化的搜尋和查詢工具,例如 搜尋、 書籤 和 即時串流。 |
| 開始搜補 | 快速將調查樞紐至在事件中找到的實體。 |
| 狩獵 | 具有共同作業功能的端對端主動式威脅搜捕程式。 |
| Bookmarks | 保留查詢及其結果,並新增附注和內容觀察。 |
| Livestream | 啟動互動式搜捕會話,並使用任何 Log Analytics 查詢。 |
| 使用摘要規則搜捕 | 使用摘要規則來節省在詳細信息記錄中搜捕威脅的成本。 |
| MITRE ATT&CK 對應 | 建立新的搜捕查詢時,請選取要套用的特定策略和技術。 |
| 還原歷程記錄數據 | 從封存的記錄還原數據,以用於高效能查詢。 |
| 搜尋大型數據集 | 使用 KQL 搜尋最多七年前記錄中的特定事件。 |
| 基礎結構鏈結 | 搜捕威脅執行者之間的新連線、群組類似的攻擊活動和實例假設。 |
| 威脅總管 | 搜捕與電子郵件相關的特殊威脅。 |
搜捕階段
下表說明如何在威脅搜捕的所有階段中充分利用 Defender 入口網站的搜捕工具:
| 搜捕階段 | 搜捕工具 |
|---|---|
| 主動 式 - 在威脅執行者執行之前,先尋找您環境中的弱區域。 較早偵測到可疑的活動。 | - 定期進行端對端 搜捕 ,以主動找出未偵測到的威脅和惡意行為、驗證假設,並建立新的偵測、事件或威脅情報來處理結果。 - 使用 MITRE ATT&CK 對 應來識別偵測落差,然後針對醒目提示的技術執行預先定義的搜捕查詢。 - 將新的威脅情報插入經證實的查詢中,以微調偵測並確認是否正在進行入侵。 - 採取主動步驟,針對來自新來源或更新來源的數據建置和測試查詢。 - 使用 進階搜捕 來尋找早期階段的攻擊或沒有警示的威脅。 |
| 回應式 - 在進行中調查期間使用搜捕工具。 | - 使用 即時串流 以一致的間隔執行特定查詢,以主動監視事件。 - 使用 [ 搜尋 ] 按鈕快速對事件進行樞紐分析,以廣泛搜尋在調查期間找到的可疑實體。 - 透過威脅情報搜捕以執行 基礎結構鏈結。 - 在進階搜捕中使用 Security Copilot,以機器速度和規模產生查詢。 |
| 事件後 - 改善涵蓋範圍和深入解析,以防止類似事件週期性發生。 | - 將成功的搜捕查詢轉換成新的 分析和偵測規則,或精簡現有的分析和偵測規則。 - 還原歷程記錄數據 ,並 搜尋大型數據集 以進行特製化搜捕,作為完整事件調查的一部分。 |