Freigeben über

Durchführen der proaktiven End-to-End-Bedrohungssuche in Microsoft Sentinel

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Die proaktive Bedrohungssuche ist ein Prozess, bei dem Sicherheitsanalysten nach nicht erkannten Bedrohungen und schädlichen Verhaltensweisen suchen. Sie erstellen hierzu eine Hypothese, durchsuchen Daten und validieren die Hypothese, um zu bestimmen, für welche Ergebnisse Maßnahmen ergriffen werden. Diese Maßnahmen können das Erstellen neuer Erkennungen oder Threat Intelligence oder das Einrichten eines neuen Incidents umfassen.

Verwenden Sie die End-to-End-Sucherfahrung in Microsoft Sentinel, für:

  • Proaktive Suche basierend auf bestimmten MITRE-Techniken, potenziell schädlichen Aktivitäten, aktuellen Bedrohungen oder einer eigenen benutzerdefinierten Hypothese.
  • Verwenden von von Sicherheitsexperten generierten oder benutzerdefinierten Huntingabfragen, um schädliches Verhalten zu untersuchen.
  • Durchführen von Suchvorgängen mithilfe mehrerer Registerkarten für persistente Abfragen, mit denen Sie den Kontext über einen längeren Zeitraum beibehalten können.
  • Erfassen von Beweisen, Untersuchen von UEBA-Quellen und Kommentieren der Ergebnisse mithilfe von suchspezifischen Lesezeichen.
  • Kommentare zum gemeinsamen Bearbeiten und Dokumentieren der Ergebnisse.
  • Reagieren auf Ergebnisse, indem Sie neue Analyseregeln, neue Incidents und neue Bedrohungsindikatoren erstellen und Playbooks ausführen.
  • Verfolgen von neuen, aktiven und geschlossenen Suchen zentral an einem Ort.
  • Anzeigen von Metriken basierend auf überprüften Hypothesen und konkreten Ergebnissen.

Wichtig

Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz.

Ab Juli 2026 werden alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, auf das Defender-Portal umgeleitet und verwenden nur Microsoft Sentinel im Defender-Portal. Ab Juli 2025 werden viele neue Kunden automatisch eingebunden und zum Defender-Portal umgeleitet.

Wenn Sie Microsoft Sentinel weiterhin im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihres Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang sicherzustellen und die von Microsoft Defender angebotene einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter "Zeit zum Verschieben: Zurückstellen des Azure-Portals von Microsoft Sentinel für größere Sicherheit".

Voraussetzungen

Um die Suchfunktion verwenden zu können, muss Ihnen entweder eine integrierte Microsoft Sentinel-Rolle oder eine benutzerdefinierte Azure RBAC-Rolle zugewiesen sein. Dafür haben Sie die folgenden Möglichkeiten:

Weitere Informationen finden Sie unter Rollen und Berechtigungen in der Microsoft Sentinel-Plattform.

Definieren der Hypothese

Das Definieren einer Hypothese ist ein andauernder, flexibler Prozess und kann jeden Aspekt umfassen, den Sie überprüfen möchten. Beispiele für häufig verwendete Hypothesen:

  • Verdächtiges Verhalten: Untersuchen von potenziell schädlichen Aktivitäten, die in Ihrer Umgebung sichtbar sind, um festzustellen, ob es sich um einen Angriff handelt.
  • Neue Bedrohungskampagne: Suche nach bestimmten Arten schädlicher Aktivitäten auf Grundlage neu erkannter Bedrohungsakteure, -techniken oder Sicherheitsrisiken. Diese Anwendung ist Ihnen möglicherweise aus Nachrichten zu Sicherheitsthemen bekannt.
  • Erkennungslücken: Erhöhen der Erkennungsabdeckung mithilfe der MITRE ATT&CK-Karte, um Lücken zu identifizieren.

Mit Microsoft Sentinel können Sie flexibel die richtige Gruppe von Suchabfragen festlegen, um Ihre Hypothese zu prüfen. Wenn Sie eine Suche erstellen, initiieren Sie sie mit vordefinierten Huntingabfragen, oder fügen Sie im weiteren Verlauf Abfragen hinzu. Hier finden Sie Empfehlungen für vorausgewählte Abfragen, die auf den gängigsten Hypothesen basieren.

Hypothese: Verdächtiges Verhalten

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Bedrohungsverwaltungdie Option "Suchen" aus.
    Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel>Suche aus.

  2. Wählen Sie die Registerkarte "Abfragen" aus . Führen Sie alle Abfragen aus, um potenziell schädliche Verhaltensweisen zu identifizieren.

  3. Wählen Sie "Alle Abfragen ausführen"> und warten Sie, bis die Abfragen ausgeführt sind. Dieser Vorgang kann etwas dauern.

  4. Wählen Sie Filter hinzufügen>Ergebnisse aus> Deaktivieren Sie die Kontrollkästchen für die Werte „!“, „N/A“, „-“ und „0“ > Wählen Sie AnwendenScreenshot: Der in Schritt 3 beschriebene Filter

  5. Sortieren Sie diese Ergebnisse nach der Spalte "Results Delta ", um zu sehen, was sich zuletzt geändert hat. Diese Ergebnisse geben eine erste Orientierung für die weitere Suche.

Hypothese: Neue Bedrohungskampagne

Der Inhaltshub bietet bedrohungskampagnen- und domänenbasierte Lösungen für die Suche nach bestimmten Angriffen. In den folgenden Schritten installieren Sie einen dieser Lösungstypen.

  1. Wechseln Sie zum Inhaltshub.

  2. Installieren Sie eine Bedrohungskampagne oder domänenbasierte Lösung wie die Log4J-Sicherheitsrisikoerkennung oder Apache Tomcat.

    Screenshot des Inhaltshubs in der Rasteransicht mit ausgewählten Log4J- und Apache-Lösungen.

  3. Wechseln Sie nach der Installation der Lösung in Microsoft Sentinel zur Suche.

  4. Wählen Sie die Registerkarte "Abfragen" aus .

  5. Suchen Sie nach Lösungsname oder filtern Sie nach dem Quellnamen der Lösung.

  6. Wählen Sie die Abfrage aus, und führen Sie die Abfrage aus.

Hypothese: Erkennungslücken

Die MITRE ATT&CK-Karte hilft Ihnen dabei, bestimmte Lücken in Ihrer Erkennungsabdeckung zu identifizieren. Sie können vordefinierte Huntingabfragen für bestimmte MITRE ATT&CK-Techniken als Ausgangspunkt verwenden, um eine neue Erkennungslogik zu entwickeln.

  1. Navigieren Sie zur Seite MITRE ATT&CK (Vorschau).

  2. Heben Sie die Auswahl von Elementen im Dropdownmenü „Aktiv“ auf.

  3. Wählen Sie Jagdabfragen im Filter Simuliert aus, um zu sehen, mit welchen Techniken Jagdabfragen verbunden sind.

    Screenshot: Die Seite „MITRE ATT&CK“ mit ausgewählter Option für simulierte Huntingabfragen

  4. Wählen Sie die Karte mit der gewünschten Technik aus.

  5. Wählen Sie den Link "Ansicht" neben "Suchabfragen " unten im Detailbereich aus. Dieser Link führt Sie zu einer gefilterten Ansicht der Registerkarte "Abfragen " auf der Seite "Suche " basierend auf der ausgewählten Technik.

    Screenshot: Die Kartenansicht „MITRE ATT&CK“ mit dem Link zum Anzeigen von Huntingabfragen

  6. Wählen Sie alle Abfragen für diese Technik aus.

Erstellen einer Suche

Es gibt zwei Hauptverfahren zum Erstellen einer Suche.

  1. Wenn Sie mit einer Hypothese begonnen haben, bei der Sie Abfragen ausgewählt haben, wählen Sie das Dropdown-Menü "Suchaktionen" und dann >. Alle von Ihnen ausgewählten Abfragen werden für diese neue Suche geklont.

    Screenshot: Ausgewählte Abfragen und die ausgewählte Menüoption „Neue Suche erstellen“

  2. Wenn Sie sich noch nicht für bestimmte Abfragen entschieden haben, wählen Sie die Registerkarte Suchen (Vorschau) die Option >Neue Suche aus, um eine leere Suche zu erstellen.

    Screenshot des Menüs zum Erstellen einer leeren Suche ohne zuvor ausgewählte Abfragen.

  3. Füllen Sie den Namen und die optionalen Felder für die Suche aus. In der Beschreibung können Sie Ihre Hypothese als Text formulieren. Im Dropdownmenü "Hypothese" legen Sie den Status Ihrer Arbeitshypothese fest.

  4. Wählen Sie "Erstellen" aus, um zu beginnen.

    Screenshot: Seite zum Erstellen einer Suche mit Namen, Beschreibung, Besitzer, Status und Hypothesenstatus

Anzeigen von Details zur Suche

  1. Wählen Sie die Registerkarte "Hunts (Vorschau) " aus, um Ihre neue Suche anzuzeigen.

  2. Wählen Sie den Suchlink anhand des Namens aus, um die Details anzuzeigen und Maßnahmen zu ergreifen.

    Screenshot: Die neue Suche auf der Registerkarte „Hunting“

  3. Zeigen Sie den Detailbereich mit dem Suchnamen, der Beschreibung, dem Inhalt, der letzten Aktualisierungszeit und der Erstellungszeit an.

  4. Beachten Sie die Registerkarten für Abfragen, Lesezeichen und Entitäten.

    Screenshot mit den Details zur Jagd.

Registerkarte „Abfragen“

Die Registerkarte "Abfragen " enthält Suchabfragen, die für diese Suche spezifisch sind. Diese Abfragen sind Klone der Originale, unabhängig von allen anderen im Arbeitsbereich. Sie können ohne Auswirkung auf die Suchabfragen oder Abfragen in anderen Suchen aktualisiert oder gelöscht werden.

Hinzufügen einer Abfrage zur Suche

  1. Abfrageaktionen> auswählen, um Abfragen zur Suche hinzuzufügen
  2. Wählen Sie die Abfragen aus, die Sie hinzufügen möchten. Screenshot des Menüs

Ausführen von Abfragen

  1. Wählen Sie "Alle Abfragen ausführen" aus, oder wählen Sie bestimmte Abfragen aus, und wählen Sie "Ausgewählte Abfragen ausführen" aus.
  2. Wählen Sie "Abbrechen " aus, um die Abfrageausführung jederzeit abzubrechen.

Verwalten von Abfragen

  1. Klicken Sie mit der rechten Maustaste auf eine Abfrage, und wählen Sie im Kontextmenü eine der folgenden Optionen aus:

    • Laufen
    • Redigieren
    • Klone
    • Löschen
    • Erstellen einer Analyseregel

    Screenshot: Optionen im Kontextmenü auf der Registerkarte „Abfragen“ einer Suche

    Diese Optionen verhalten sich genau wie die vorhandene Abfragetabelle auf der Seite "Suche ", außer dass die Aktionen nur innerhalb dieser Suche gelten. Wenn Sie sich für die Erstellung einer Analyseregel entscheiden, werden der Name, die Beschreibung und die KQL-Abfrage in der neuen Regel vorab ausgefüllt. Es wird ein Link erstellt, um die neue Analyseregel anzuzeigen, die unter "Verwandte Analyseregeln" zu finden ist.

    Screenshot mit Jagddetails und zugehöriger Analyseregel.

Anzeigen der Ergebnisse

Mit diesem Feature können Sie Ergebnisse von Huntingabfragen in der Log Analytics-Suchumgebung anzeigen. Analysieren Sie von hier aus Ihre Ergebnisse, verfeinern Sie Ihre Abfragen, und erstellen Sie Lesezeichen , um Informationen aufzuzeichnen und einzelne Zeilenergebnisse weiter zu untersuchen.

  1. Wählen Sie die Schaltfläche " Ergebnisse anzeigen " aus.
  2. Wenn Sie zu einem anderen Bereich des Microsoft Sentinel-Portals wechseln und dann von der Suchseite zurück zur LA-Protokollsuche navigieren, bleiben alle LA-Abfrageregisterkarten erhalten.
  3. Diese LA-Abfrageregisterkarten gehen verloren, wenn Sie die Browserregisterkarte schließen. Wenn Sie die Abfragen langfristig beibehalten möchten, müssen Sie die Abfrage speichern, eine neue Suchabfrage erstellen oder sie in einen Kommentar kopieren, um sie später innerhalb der Suche zu verwenden.

Hinzufügen eines Lesezeichens

Wenn Sie interessante Ergebnisse oder wichtige Datenzeilen finden, fügen Sie diese Ergebnisse der Suche hinzu, indem Sie ein Lesezeichen erstellen. Weitere Informationen finden Sie unter Verwenden von Hunting-Lesezeichen für Datenuntersuchungen.

  1. Wählen Sie die gewünschte Zeile oder Zeilen aus.

  2. Wählen Sie oberhalb der Ergebnistabelle die Option "Textmarke hinzufügen" aus. Screenshot mit dem Bereich

  3. Benennen Sie das Lesezeichen.

  4. Geben Sie einen Wert für die Ereigniszeitspalte an.

  5. Ordnen Sie Entitätsbezeichner zu.

  6. Legen Sie MITRE-Taktiken und -Techniken fest.

  7. Fügen Sie Tags und Notizen hinzu.

    In den Lesezeichen werden die spezifischen Zeilenergebnisse, die KQL-Abfrage und der Zeitbereich gespeichert, mit denen das Ergebnis generiert wurde.

  8. Wählen Sie Erstellen aus, um das Lesezeichen der Suche hinzuzufügen.

Anzeigen von Lesezeichen

  1. Navigieren Sie zur Lesezeichenregisterkarte der Suche, um Ihre Lesezeichen anzuzeigen.

    Screenshot: Lesezeichen mit allen Details und geöffnetem Aktionsmenü für die Suche

  2. Wählen Sie das gewünschte Lesezeichen aus, und führen Sie die folgenden Aktionen aus:

    • Wählen Sie Entitätslinks aus, um die entsprechende UEBA-Entitätsseite anzuzeigen.
    • Zeigen Sie Rohergebnisse, Tags und Notizen an.
    • Wählen Sie "Quellabfrage anzeigen" aus, um die Quellabfrage in Log Analytics anzuzeigen.
    • Wählen Sie Lesezeichenprotokolle anzeigen aus, um den Inhalt des Lesezeichens in der Log Analytics-Tabelle „Hunting-Lesezeichen“ anzuzeigen.
    • Wählen Sie die Schaltfläche " Untersuchen" aus, um die Textmarke und die zugehörigen Entitäten im Untersuchungsdiagramm anzuzeigen.
    • Wählen Sie die Schaltfläche "Bearbeiten " aus, um die Tags, MITRE-Taktiken und -Techniken und Notizen zu aktualisieren.

Interagieren mit Entitäten

  1. Navigieren Sie zur Registerkarte " Entitäten " Ihrer Suche, um die in Ihrer Suche enthaltenen Entitäten anzuzeigen, zu suchen und zu filtern. Diese Liste wird aus der Liste der Entitäten in den Lesezeichen generiert. Auf der Registerkarte „Entitäten“ werden doppelte Einträge automatisch aufgelöst.

  2. Wählen Sie Entitätsnamen aus, um die entsprechende UEBA-Entitätsseite aufzurufen.

  3. Klicken Sie mit der rechten Maustaste auf eine Entität, um geeignete Aktionen für die Entitätstypen auszuführen, z. B. Hinzufügen einer IP-Adresse zu TI oder Ausführen eines spezifischen Playbooks für den Entitätstyp.

    Screenshot des Kontextmenüs für Entitäten.

Hinzufügen von Kommentaren

Kommentare sind ideal, um mit Kollegen zusammenzuarbeiten, Notizen zu speichern und Ergebnisse zu dokumentieren.

  1. Auswählen

  2. Geben Sie Ihren Kommentar in das Bearbeitungsfeld ein, und formatieren Sie ihn.

  3. Fügen Sie ein Abfrageergebnis als Link für Projektmitarbeiter hinzu, damit sie den Kontext schnell verstehen.

  4. Wählen Sie die Schaltfläche "Kommentar " aus, um Ihre Kommentare anzuwenden.

    Screenshot des Kommentarbearbeitungsfelds mit LA-Abfrage als Link.

Erstellen von Vorfällen

Es gibt zwei Optionen für die Erstellung von Incidents während der Suche.

Option 1: Verwenden von Lesezeichen

  1. Wählen Sie ein Lesezeichen oder mehrere Lesezeichen aus.

  2. Wählen Sie die Schaltfläche „Vorfallaktionen“ aus.

  3. Wählen Sie „Neuen Vorfall erstellen“ oder „Zu vorhandenem Incident hinzufügen“ aus.

    Screenshot: Das Aktionsmenü für Incidents im Lesezeichenfenster

    • Folgen Sie bei der Option Neuen Vorfall erstellen den schrittweisen Anleitungen. Die Registerkarte „Lesezeichen“ ist bereits mit Ihren ausgewählten Lesezeichen ausgefüllt.
    • Wählen Sie für "Zu vorhandenem Vorfall hinzufügen" den Vorfall und dann die Schaltfläche " Annehmen " aus.

Option 2: Verwenden von Aktionen für Suchen

  1. Wählen Sie das Menü Suchen>Vorfall erstellen aus, und folgen Sie den Anweisungen.

    Screenshot: Aktionsmenüs für Suchen im Lesezeichenfenster

  2. Verwenden Sie im Schritt Lesezeichen hinzufügen die Aktion Lesezeichen hinzufügen, um Lesezeichen aus der Suche auszuwählen, die dem Incident hinzugefügt werden sollen. Sie können nur Lesezeichen auswählen, die noch keinem Incident zugewiesen wurden.

  3. Nachdem der Incident erstellt wurde, wird er in der Liste Zugehörige Vorfälle für diese Suche verknüpft.

Aktualisierungsstatus

  1. Wenn Sie genügend Beweise erfasst haben, um Ihre Hypothese zu bestätigen oder zurückzuweisen, aktualisieren Sie den Hypothesenstatus.

    Screenshot: Auswahl im Statusmenü der Hypothese

  2. Wenn alle Aktionen im Zusammenhang mit der Suche abgeschlossen sind, z. B. das Erstellen von Analyseregeln und Incidents oder das Hinzufügen von Kompromittierungsindikatoren (Indicators of Compromise, IOCs) zu TI, schließen Sie die Suche.

    Screenshot: Auswahl im Statusmenü der Suche

Diese Statusaktualisierungen sind auf der Hauptseite "Suche" sichtbar und werden verwendet, um Metriken nachzuverfolgen.

Nachverfolgen von Metriken

Verfolgen Sie greifbare Ergebnisse aus der Suchaktivität mithilfe der Metrikleiste auf der Registerkarte "Hunts ". Metriken zeigen die Anzahl der überprüften Hypothesen, neue erstellte Vorfälle und neue Analyseregeln an. Anhand dieser Ergebnisse können Sie Ziele setzen oder das Erreichen von Meilensteinen Ihres Huntingprogramms würdigen.

Screenshot zeigt Jagdmetriken.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie eine Bedrohungsuntersuchung mit der Huntingfunktion in Microsoft Sentinel ausführen.

Weitere Informationen finden Sie unter

  • Last updated on