Partilhar via

Conduza a caça proativa de ameaças de ponta a ponta no Microsoft Sentinel

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

A caça proativa a ameaças é um processo em que os analistas de segurança procuram ameaças não detetadas e comportamentos maliciosos. Ao criar uma hipótese, pesquisar dados e validar essa hipótese, eles determinam no que agir. As ações podem incluir a criação de novas deteções, novas informações sobre ameaças ou a criação de um novo incidente.

Use a experiência de caça de ponta a ponta no Microsoft Sentinel para:

  • Caça proativa com base em técnicas MITRE específicas, atividade potencialmente maliciosa, ameaças recentes ou sua própria hipótese personalizada.
  • Use consultas de caça geradas pelo pesquisador de segurança ou consultas de caça personalizadas para investigar comportamentos mal-intencionados.
  • Conduza suas caçadas usando várias guias de consulta persistente que permitem manter o contexto ao longo do tempo.
  • Colete evidências, investigue fontes da UEBA e anote suas descobertas usando marcadores específicos de caça.
  • Colabore e documente suas descobertas com comentários.
  • Atue de acordo com os resultados, criando novas regras analíticas, novos incidentes, novos indicadores de ameaça e executando playbooks.
  • Acompanhe suas caçadas novas, ativas e fechadas em um só lugar.
  • Visualize métricas com base em hipóteses validadas e resultados tangíveis.

Importante

O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.

A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.

Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.

Pré-requisitos

Para usar o recurso de buscas, você precisa receber uma função interna do Microsoft Sentinel ou uma função personalizada do RBAC do Azure. Aqui estão as suas opções:

Para obter mais informações, consulte Funções e permissões na plataforma Microsoft Sentinel.

Defina a sua hipótese

Definir uma hipótese é um processo aberto e flexível e pode incluir qualquer ideia que você queira validar. As hipóteses comuns incluem:

  • Comportamento suspeito - investigue atividades potencialmente maliciosas visíveis em seu ambiente para determinar se um ataque está ocorrendo.
  • Nova campanha de ameaças - Procure tipos de atividade maliciosa com base em agentes de ameaça, técnicas ou vulnerabilidades recém-descobertas. Isso pode ser algo que você ouviu falar em um artigo de notícias de segurança.
  • Lacunas de deteção - Aumente sua cobertura de deteção usando o mapa MITRE ATT&CK para identificar lacunas.

O Microsoft Sentinel oferece flexibilidade à medida que você se concentra no conjunto certo de consultas de caça para investigar sua hipótese. Ao criar uma caça, inicie-a com consultas de caça pré-selecionadas ou adicione consultas à medida que progride. Aqui estão recomendações para consultas pré-selecionadas com base nas hipóteses mais comuns.

Hipótese - Comportamento suspeito

  1. Para Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Caça.
    Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Threat management>Hunting.

  2. Selecione a guia Consultas . Para identificar comportamentos potencialmente maliciosos, execute todas as consultas.

  3. Selecione Executar Todas as consultas> aguarde a execução das consultas. Este processo pode demorar algum tempo.

  4. Selecione Adicionar filtro>Resultados> desmarque as caixas de seleção "!", "N/A", "-" e "0" valores >AplicarA captura de tela mostra o filtro descrito na etapa 3.

  5. Classifique esses resultados pela coluna Delta de resultados para ver o que mudou mais recentemente. Estes resultados fornecem orientação inicial sobre a caça.

Hipótese - Nova campanha de ameaças

O hub de conteúdo oferece campanhas de ameaças e soluções baseadas em domínio para caçar ataques específicos. Nas etapas a seguir, você instala um desses tipos de soluções.

  1. Vá para o Hub de conteúdo.

  2. Instale uma campanha de ameaças ou uma solução baseada em domínio, como o Log4J Vulnerability Detection ou o Apache Tomcat.

    A captura de tela mostra o hub de conteúdo na visualização em grade com as soluções Log4J e Apache selecionadas.

  3. Depois que a solução for instalada, no Microsoft Sentinel, vá para Hunting.

  4. Selecione a guia Consultas .

  5. Pesquise por nome da solução ou filtre por Nome de origem da solução.

  6. Selecione a consulta e Executar consulta.

Hipótese - Lacunas de deteção

O mapa MITRE ATT&CK ajuda-o a identificar lacunas específicas na sua cobertura de deteção. Use consultas de caça predefinidas para técnicas específicas de MITRE ATT&CK como ponto de partida para desenvolver uma nova lógica de deteção.

  1. Navegar até à página MITRE ATT&CK (Preview).

  2. Desmarque os itens no menu suspenso Ativo.

  3. Selecione Consultas de caça no filtro Simulado para ver quais técnicas têm consultas de caça associadas a elas.

    A captura de tela mostra a página MITRE ATT&CK com a opção para consultas de caça simuladas selecionada.

  4. Selecione o cartão com a técnica desejada.

  5. Selecione o link Ver ao lado de Consultas de pesquisa na parte inferior do painel de detalhes. Este link leva você a uma exibição filtrada da guia Consultas na página Caça com base na técnica selecionada.

    A captura de tela mostra a visualização do cartão MITRE ATT&CK com o link Hunting queries view.

  6. Selecione todas as consultas para essa técnica.

Criar uma caça

Existem duas formas principais de criar uma caçada.

  1. Se começaste com uma hipótese em que selecionaste consultas, seleciona o menu suspenso Ações de busca>. Todas as consultas selecionadas são clonadas para esta nova caçada.

    A captura de tela mostra as consultas selecionadas e a opção criar novo menu de busca selecionada.

  2. Se ainda não decidiu as consultas, selecione o separador Caçadas (Visualização)>Nova Caça para criar uma caça em branco.

    A captura de tela mostra o menu para criar uma busca em branco sem consultas pré-selecionadas.

  3. Preencha o nome da caça e os campos opcionais. A descrição é um bom lugar para verbalizar sua hipótese. O menu suspenso Hipótese é onde você define o status da sua hipótese de trabalho.

  4. Selecione Criar para começar.

    A captura de ecrã mostra a página de criação da caça, com o nome da caça, a descrição, o proprietário, o status e o estado da hipótese.

Ver detalhes da caça

  1. Selecione o separador Caçadas (Pré-visualização) para ver a sua nova caçada.

  2. Selecione o link de busca pelo nome para visualizar os detalhes e tomar medidas.

    Captura de tela mostrando nova caça na guia Caça.

  3. Exiba o painel de detalhes com o Nome da caça, Descrição, Conteúdo, Hora da última atualização e Hora da criação.

  4. Observe as guias para Consultas, Favoritos e Entidades.

    Captura de tela mostrando os detalhes da caçada.

Guia Consultas

A guia Consultas contém consultas de caça específicas para essa caça. Essas consultas são clones dos originais, independentes de todos os outros no espaço de trabalho. Atualize-os ou exclua-os sem afetar seu conjunto geral de consultas de caça ou consultas em outras caçadas.

Adicionar uma consulta à caça

  1. Selecionar Ações de Consulta>adicionar consultas para caçar
  2. Selecione as consultas que deseja adicionar. A captura de ecrã mostra o menu de ações de consulta na página do separador consultas.

Executar consultas

  1. Selecione Executar todas as consultas ou escolha consultas específicas e selecione Executar consultas selecionadas.
  2. Selecione Cancelar para cancelar a execução da consulta a qualquer momento.

Gerenciar consultas

  1. Clique com o botão direito do mouse em uma consulta e selecione uma das seguintes opções no menu de contexto:

    • Executar
    • Editar
    • Clone
    • Suprimir
    • Criar regra de análise

    A captura de ecrã mostra as opções do menu de contexto do botão direito do rato no separador Consultas de uma investigação.

    Essas opções se comportam como a tabela de consultas existente na página Caça, exceto que as ações só se aplicam dentro dessa caçada. Quando você opta por criar uma regra de análise, o nome, a descrição e a consulta KQL são preenchidos previamente na criação da nova regra. Um link é criado para exibir a nova regra de análise encontrada em Regras de análise relacionadas.

    Captura de tela mostrando detalhes da caça com a regra de análise relacionada.

Ver resultados

Esse recurso permite que você veja os resultados da consulta de caça na experiência de pesquisa do Log Analytics. A partir daqui, analise seus resultados, refine suas consultas e crie marcadores para registrar informações e investigar ainda mais os resultados de linhas individuais.

  1. Selecione o botão Ver resultados .
  2. Se você pivotar para outra parte do portal do Microsoft Sentinel e, em seguida, navegar de volta para a experiência de pesquisa de log de LA na página de busca, todas as guias de consulta de LA permanecerão.
  3. Essas guias de consulta LA são perdidas se você fechar a guia do navegador. Se quiser manter as consultas a longo prazo, você precisa salvar a consulta, criar uma nova consulta de caça ou copiá-la em um comentário para uso posterior dentro da caça.

Adicionar um marcador

Quando encontrar resultados interessantes ou linhas de dados importantes, adicione esses resultados à caça criando um marcador. Para obter mais informações, consulte Usar marcadores de caça para investigações de dados.

  1. Selecione a(s) linha(s) desejada(s).

  2. Acima da tabela de resultados, selecione Adicionar marcador. Captura de ecrã a mostrar o painel adicionar marcadores com campos opcionais preenchidos.

  3. Nomeie o marcador.

  4. Defina a coluna de hora do evento.

  5. Mapear identificadores de entidade.

  6. Defina táticas e técnicas MITRE.

  7. Adicione etiquetas e adicione notas.

    Os marcadores preservam os resultados de linha específicos, a consulta KQL e o intervalo de tempo que gerou o resultado.

  8. Selecione Criar para adicionar o marcador à caça.

Ver marcadores

  1. Navegue até a guia de favoritos da caça para ver seus favoritos.

    Captura de ecrã mostrando um marcador com todos os seus detalhes e o menu de ações de caça aberto.

  2. Selecione um marcador desejado e execute as seguintes ações:

    • Selecione links de entidade para exibir a página de entidade UEBA correspondente.
    • Visualize resultados brutos, tags e anotações.
    • Selecione Exibir consulta de origem para ver a consulta de origem no Log Analytics.
    • Selecione Exibir logs de marcadores para ver o conteúdo dos marcadores na tabela de marcadores de investigação do Log Analytics.
    • Selecione o botão Investigar para visualizar o marcador e as entidades relacionadas no gráfico de investigação.
    • Selecione o botão Editar para atualizar as tags, táticas e técnicas MITRE e notas.

Interagir com entidades

  1. Navegue até a guia Entidades da sua caça para visualizar, pesquisar e filtrar as entidades contidas na sua caça. Esta lista é gerada a partir da lista de entidades nos favoritos. A guia Entidades resolve automaticamente entradas duplicadas.

  2. Selecione nomes de entidades para visitar a página de entidade UEBA correspondente.

  3. Clique com o botão direito do mouse na entidade para executar ações apropriadas aos tipos de entidade, como adicionar um endereço IP à TI ou executar um manual específico de tipo de entidade.

    Captura de ecrã a mostrar o menu de contexto para entidades.

Adicionar comentários

Os comentários são um excelente lugar para colaborar com colegas, preservar anotações e documentar descobertas.

  1. Selecione

  2. Digite e formate seu comentário na caixa de edição.

  3. Adicione um resultado de consulta como um link para que os colaboradores entendam rapidamente o contexto.

  4. Selecione o botão Comentar para aplicar seus comentários.

    Captura de tela mostrando a caixa de edição de comentários com a consulta LA como um link.

Criar incidentes

Existem duas opções para a criação de incidentes durante a caça.

Opção 1: Use favoritos.

  1. Selecione um marcador ou marcadores.

  2. Selecione o botão Ações de incidente.

  3. Selecione Criar novo incidente ou Adicionar a incidente existente

    Captura de tela mostrando o menu de ações de incidentes na janela de favoritos.

    • Para Criar novo incidente, siga as etapas guiadas. A guia Favoritos é preenchida previamente com os favoritos selecionados.
    • Para Adicionar a incidente existente, selecione o incidente e selecione o botão Aceitar .

Opção 2: Use as Ações de caça.

  1. Selecione o menu > de caça Criar incidente e siga as etapas guiadas.

    Captura de tela mostrando o menu de ações de busca na janela de favoritos.

  2. Durante a etapa Adicionar marcadores, use a ação Adicionar marcador para selecionar marcadores da busca e adicioná-los ao incidente. Você está limitado a favoritos que não são atribuídos a um incidente.

  3. Depois que o incidente for criado, ele será vinculado na lista de incidentes relacionados para essa caçada.

Estado da atualização

  1. Quando você capturou evidências suficientes para validar ou invalidar sua hipótese, atualize seu estado de hipótese.

    A captura de tela mostra a seleção do menu do estado da hipótese.

  2. Quando todas as ações associadas à caça estiverem concluídas, como criar regras de análise, incidentes ou adicionar indicadores de comprometimento (IOCs) à TI, feche a caçada.

    A captura de tela mostra a seleção do menu Estado de caça.

Essas atualizações de status são visíveis na página principal do Hunting e são usadas para rastrear métricas.

Acompanhe as métricas

Acompanhe resultados tangíveis da atividade de caça usando a barra de métricas na guia Caçadas . As métricas mostram o número de hipóteses validadas, novos incidentes criados e novas regras analíticas criadas. Use esses resultados para definir metas ou celebrar marcos do seu programa de caça.

A captura de ecrã mostra as métricas de caça.

Próximos passos

Neste artigo, você aprendeu como executar uma investigação de caça com o recurso de caças no Microsoft Sentinel.

Para obter mais informações, consulte:

  • Last updated on