MS Sentinel的威脅搜尋
Microsoft Sentinel 提供了執行威脅搜尋(Threat Hunting)的工具。在開始搜尋之前,了解威脅搜尋過程至關重要。
如果組織使用MS Sentinel的服務。我們希望資安團隊變得成熟,能夠主動搜尋環境中的惡意活動。
我們建議管理階層建立一個威脅搜尋團隊。而我們必須向管理階層解釋威脅搜尋團隊的好處、流程和任務。本文將示範如何制定搜尋品質的假設。
Cybersecurity threat hunts
不同的人對「威脅搜尋」一詞有不同的定義。最常用的定義是,我們主動在環境中尋找威脅或一組以前未偵測到的活動。 「之前未偵測到」部分是威脅搜尋與事故回應或告警分類的差異。
術語「hunting」的其他用途包括使用新取得的指標搜尋威脅。如果威脅情資來源提供了一個被認為有害的新 IP 位址,則分析人員可以取得該 IP 位址並蒐索日誌以查找過去是否曾經看過該新指標。從技術上講,這不是威脅搜尋,因為我們使用的是已知的惡意位址,例如 IP 位址。 Microsoft Sentinel 已經提供了搜尋查詢來促進此流程。接下來,作為事故分析過程的一部分,從當前事故或告警中尋找更多基於證據的威脅。根據目前事故中發現的證據來探索資料至關重要。 Microsoft Sentinel 和 Microsoft Defender XDR 都提供這種類型的搜尋功能。
所有這些方法都有一個共同點:使用 KQL Query來尋找威脅。
Microsoft Defender 和 Microsoft Defender Endpoint 則更專注於搜尋的指標和分析類型。 Microsoft Sentinel 提供了更多功能來管理威脅搜尋過程。
主動式搜尋(Proactive hunts)
為什麼要主動搜尋?當我們尋找「以前未偵測到」的威脅時,需要擔心的是,如果我們等待至偵測到威脅,危害影響可能會更加嚴重。如果我們沒有已知的指標,那麼我們要找什麼?我們基於假設進行搜尋。這個假設可能從「維運威脅情資Operational Threat Intelligence」開始,然後列出攻擊者的戰術和技術。假設可以搜尋特定的技術,而不是像 IP 位址這樣的指標。如果發現惡意活動,我們可能會在早期攻擊過程中發現攻擊者,在攻擊者竊取資料之前。
Process to hunt threats
威脅搜尋應該是一個持續的過程。我們的假設開始上圖週期的頂部。我們的假設幫助我們計劃我們要尋找什麼,這要求我們了解我們要在哪裡尋找以及如何做。這意味著我們需要了解我們擁有的資料、我們擁有的工具、我們擁有的專業知識以及如何使用它們。當我們執行搜尋時,搜尋週期不會停止。在整個生命週期中,我們仍然需要執行幾個階段,包括回應異常。即使我們沒有發現主動威脅,也會有一些活動需要執行。
日常任務應包括:
- 設定新的監控。
- 提高我們的偵測能力。
威脅搜尋中所做的一切都應該記錄下來。搜尋的文件應包括:
- What, How, and Why
- Input and Output
- How to replicate the hunt
- Next Steps
發展一個假設(hypothesis)
搜尋(Hunting)是從一個假設開始。我們要搜尋什麼的想法。正確處理這一點至關重要,因為它可以讓我們專注於我們要做的事情。哪什麼是好的假設?
因素很多,但主要有以下幾點:
- 保持可實現的目標。不要在明知沒有希望找到結果的情況下進行搜尋。可能是沒有可用的資料,或者對威脅的了解不夠,無法了解如何找到它。
- 保持範圍夠小。避免甚麼都要撈的假設,例如「我要尋找有問題的登入」。這樣的假設無法定義結果的涵義。
- 保持時間區間。我們是否正在尋找自日誌開始以來的任何登入情況?我們在尋找上週的資訊嗎?最後一天?有時間區間也用於文件中。我們會希望威脅追蹤是一個持續的過程。如果我們沒有對搜尋進行時間限制,那麼最終可能會在同一資料集上重複相同的搜尋。我們可以說:“我在這個時間進行了這次搜尋,涵蓋了這一時期。”有了這個記錄,團隊成員就會知道這個假設所尋找的時期。
- 保持其有用和效能。我們希望針對偵測中可能沒有足夠覆蓋範圍的威脅。這些可能是我們知道以前錯過或尚未偵測到的事情。優秀的 SOC 團隊通常很清楚他們的覆蓋範圍在哪些方面較好,哪些方面可能較弱並需要改進。我們還想確保它與現實威脅相關。尋找針對我們不屬於產業或我們不使用的平台的進階威脅是沒有意義的。
- 讓事情與我們要防禦的威脅模型相關。否則,我們可能會花費大量時間來尋找永遠找不到且不構成威脅的東西。
不要從最進階的威脅開始我們的威脅搜尋流程。從基礎開始,逐步成熟組織的威脅追蹤功能。從一個簡單的搜尋假設開始。一個範例假設是,我們有威脅情資,威脅參與者使用 cmd.exe 程序進行自動攻擊。
另一個假設可能是;我們想要檢查帳號執行 cmd.exe 但在過去一週內未執行 cmd.exe 的最後一天。
探索MITRE ATT&CK
MITRE ATT&CK 是攻擊者常用的戰術和技術的可公開存取的知識庫,是透過觀察現實世界的現況來建立和維護的。許多組織使用 MITRE ATT&CK 知識庫來開發特定的威脅模型和方法,用於驗證其環境中的安全狀態。
Microsoft Sentinel analyzes所取得的資料,不僅可以偵測威脅並協助我們進行調查,還可以視覺化組織安全狀態的性質和覆蓋範圍。
在製定威脅搜尋假設時,了解我們正在尋找的戰術和技術至關重要。 MITRE ATT&CK 框架是在整個 Microsoft Sentinel 中使用。
使用 Microsoft Sentinel 中威脅管理下的 MITRE ATT&CK 選擇來查看工作區中已啟動的偵測以及可供我們配置的偵測,以根據 MITRE ATT&CK® 框架中的戰術和技術了解組織的安全覆蓋範圍。
檢視現況的MITRE覆蓋範圍
在 Microsoft Sentinel 中,在左側的威脅管理選單中,選擇 MITRE。預設情況下,目前正在運行的scheduled query和NRT(near real-time)規則均在覆蓋矩陣中呈現。
- 使用右上角的圖例來了解我們的工作區中目前針對特定技術有多少個處於活動狀態的偵測。
- 使用左上角的搜尋列在矩陣中搜尋特定技術,使用技術名稱或 ID,以查看組織的所選技術的安全狀態。
- 在矩陣中選擇特定技術以在右側查看更多詳細資訊。在那裡,使用連結跳到以下任意位置:
- 選擇查看技術詳細資訊,以了解有關 MITRE ATT&CK 框架知識庫中所選技術的更多資訊。
- 選擇任何活動項目的連結可跳到 Microsoft Sentinel 中的相關區域。
使用可用的Detections模擬可能的覆蓋範圍
在 MITRE coverage matrix中,simulated coverage是指 Microsoft Sentinel 工作區中可用但目前未配置的偵測。如果我們配置了所有可用的偵測,需查看simulated coverage以了解組織可能的安全狀態。
在 Microsoft Sentinel 中,在左側的常規選單中,選擇 MITRE。
選擇「Simulate」選單中的項目來模擬組織可能的安全狀態。
- 使用右上角的圖例來了解可供您設定的偵測數量,包括分析規則範本或搜尋查詢。
- 使用左上角的搜尋列在矩陣中搜尋特定技術,使用技術名稱或 ID,以查看組織對所選技術的模擬安全狀態。
- 在矩陣中選擇特定技術以在右側查看更多詳細資訊。在那裡,使用連結跳到以下任意位置:
- 選擇查看技術詳細資訊,以了解有關 MITRE ATT&CK 框架知識庫中所選技術的更多資訊。
- 選擇任何模擬項目的連結可跳到 Microsoft Sentinel 中的相關區域。
例如,選擇「Hunting queries」可跳轉至「Hunting」頁面。在那裡,我們將看到與所選技術關聯的搜尋查詢的篩選清單,並且可供我們在工作區中進行配置。
在分析規則與事故中使用MITRE ATT&CK框架
在 Microsoft Sentinel 工作區中定期執行套用了 MITRE 技術的scheduled rule,可增強 MITRE coverage matrix中為組織顯示的安全狀態。
分析規則(Analytics rules):
- 配置分析規則時,選擇要套用於規則的特定 MITRE 技術。
- 搜尋分析規則時,按技術篩選顯示的規則,以更快找到我們的規則。
事故(Incident):
當為由配置了 MITRE 技術的規則呈現的告警建立事故時,這些技術也會加入事故。
威脅搜尋(Threat hunting):
- 在建立新的搜尋查詢時,選擇要套用於查詢的特定戰術和技術。
- 搜尋主動搜尋查詢時,透過從網格(grid)上方的清單中選擇一個項目來篩選按戰術顯示的查詢(Query)。選擇一個查詢即可在右側查看戰術和技術詳細資訊。
- 建立bookmarks時,可以使用從hunting query繼承的mapping技術,也可以建立我們自己的mapping。
