Microsoft'un birleşik SecOps platformunda avcılık
Güvenlik tehditleri için avcılık, tehdit avcılığı sürecinin tüm aşamalarında gerçekleştirildiğinde en etkili olan son derece özelleştirilebilir bir etkinliktir: proaktif, reaktif ve olay sonrası. Microsoft'un birleşik güvenlik operasyonları (SecOps) platformu, tehdit avcılığı için her aşama için etkili avcılık araçları sağlar. Bu araçlar, kariyerine yeni başlayan analistler veya gelişmiş avcılık yöntemlerini kullanan deneyimli tehdit avcıları için uygundur. Her düzeydeki tehdit avcıları tekniklerini, sorgularını ve bulgularını ekipleriyle paylaşmalarına olanak sağlayan avcılık aracı özelliklerinden yararlanıyor.
Avcılık araçları
Defender portalında avcılık sorgularının temeli Kusto Sorgu Dili (KQL) üzerindedir. KQL, bulut ortamlarındaki büyük veri depolarında arama için iyileştirilmiş güçlü ve esnek bir dildir. Ancak tehditleri avlamanın tek yolu karmaşık sorgular oluşturmak değildir. Defender portalında avcılığı erişiminize sunmak için tasarlanan daha fazla avcılık aracı ve kaynağı şunlardır:
- Security Copilot gelişmiş avcılık, doğal dil istemlerinden KQL oluşturur.
- Kılavuzlu avcılık , KQL'yi veya veri şemasını bilmeden anlamlı avcılık sorguları oluşturmak için bir sorgu oluşturucu kullanır.
- Otomatik öneri, şema ağacı ve örnek sorgular gibi özelliklere sahip sorgular yazarken yardım alın.
- İçerik hub'ı, Microsoft Sentinel'da kullanıma sunulan çözümlerle eşleştirmek için uzman sorguları sağlar.
- Tehdit Avcılığı için Microsoft Defender Uzmanları yardım isteyen en iyi tehdit avcılarına bile iltifat ediyor.
Defender portalında aşağıdaki tehdit avcılığı araçlarıyla ekibinizin avlanma uzmanlarının tüm kapsamını en üst düzeye çıkarın:
| Tehdit avcılığı aracı | Açıklama |
|---|---|
| Gelişmiş avcılık örneği | Microsoft'un birleşik SecOps platformunda bulunan veri kaynaklarını görüntüleyin ve sorgulayıp ekibinizle sorgu paylaşın. Sorgular ve işlevler de dahil olmak üzere var olan tüm Microsoft Sentinel çalışma alanı içeriğinizi kullanın. |
| Microsoft Sentinel avcılığı | Veri kaynakları genelinde güvenlik tehditlerini arayın. Avlar, yer işaretleri ve canlı akış gibi özel arama ve sorgu araçlarını kullanın. |
| Git avla | Bir araştırmayı olay içinde bulunan varlıklara hızla özetler. |
| Avı | İşbirliği özellikleriyle uçtan uca, proaktif bir tehdit avcılığı süreci. |
| Yer im -leri | Notlar ve bağlamsal gözlemler ekleyerek sorguları ve sonuçlarını koruyun. |
| Canlı akış | Etkileşimli bir tehdit avcılığı oturumu başlatın ve herhangi bir Log Analytics sorgusu kullanın. |
| Özet kurallarla avlanma | Ayrıntılı günlüklerde tehdit avcılığı maliyetlerinden tasarruf etmek için özet kuralları kullanın. |
| MITRE ATT&CK haritası | Yeni bir tehdit avcılığı sorgusu oluştururken uygulanacak belirli taktikleri ve teknikleri seçin. |
| Geçmiş verileri geri yükleme | Arşivlenmiş günlüklerdeki verileri yüksek performanslı sorgularda kullanmak üzere geri yükleyin. |
| Büyük veri kümelerini arama | KQL kullanarak yedi yıl öncesine kadar olan günlüklerde belirli olayları arayın. |
| Altyapı zincirleme | Tehdit aktörleri arasında yeni bağlantılar arayın, benzer saldırı etkinliklerini gruplayın ve varsayımları doğrulayın. |
| Tehdit gezgini | E-postayla ilgili özel tehditleri arayın. |
Avlanma aşamaları
Aşağıdaki tabloda, Tehdit Avcılığı'nın tüm aşamalarında Defender portalının tehdit avcılığı araçlarından nasıl en iyi şekilde nasıl en iyi şekilde yararlanın:
| Avlanma aşaması | Avcılık araçları |
|---|---|
| Proaktif - Ortamınızdaki zayıf alanları tehdit aktörlerinden önce bulun. Şüpheli etkinliği daha erken algılayın. | - Algılanmamış tehditleri ve kötü amaçlı davranışları proaktif olarak aramak, hipotezleri doğrulamak ve yeni algılamalar, olaylar veya tehdit bilgileri oluşturarak bulgular üzerinde işlem yapmak için düzenli olarak uçtan uca avlar gerçekleştirin. - Algılama boşluklarını belirlemek için MITRE ATT&CK haritasını kullanın ve vurgulanan teknikler için önceden tanımlanmış avlanma sorguları çalıştırın. - Algılamaları ayarlamak ve bir güvenlik güvenliğinin devam edip etmediğini onaylamak için başarısı kanıtlanmış sorgulara yeni tehdit bilgileri ekleyin. - Yeni veya güncelleştirilmiş kaynaklardan gelen verileri sorgular oluşturmak ve test etmek için proaktif adımlar uygulayın. - Erken aşama saldırıları veya uyarıları olmayan tehditleri bulmak için gelişmiş avcılığı kullanın. |
| Reaktif - Etkin bir araştırma sırasında avlanma araçlarını kullanın. | - Olayları etkin bir şekilde izlemek için belirli sorguları tutarlı aralıklarla çalıştırmak için canlı akışı kullanın. - Araştırma sırasında bulunan şüpheli varlıkları geniş kapsamlı bir şekilde aramak için Git avla düğmesiyle olaylara hızla odaklanın. - Altyapı zincirleme gerçekleştirmek için tehdit istihbaratı aracılığıyla av. - Makine hızı ve ölçeğinde sorgu oluşturmak için gelişmiş avcılıkta Security Copilot kullanın. |
| Olay sonrası - Benzer olayların yinelenmesini önlemek için kapsamı ve içgörüleri geliştirin. | - Başarılı avlanma sorgularını yeni analiz ve algılama kurallarına dönüştürün veya mevcut sorguları iyileştirin. - Geçmiş verileri geri yükleyin ve tam olay araştırmalarının bir parçası olarak özel avcılık için büyük veri kümelerinde arama yapın. |