Day29:今天来聊一下如何建立及管理 Azure Sentinel 威胁搜捕查询

Azure Sentinel包含功能强大的查询工具，可协助为资安人员找出并隔离公司环境内安全

性威胁与非必要活动。

使用内建查询进行搜捕

我们可以使用Azure Sentinel中的搜寻与查询工具,寻找整个环境中的安全性威胁与

手段。搜捕查询可让我们筛选大量的事件及安全性资料来源,以找出潜在威胁或追踪

已知或预期的威胁。

Azure Sentinel中的搜捕页面有内建查询。这些查询可以引导我们搜寻流程,并协助

我们经过适当的搜捕途径,找出环境中的问题。

搜捕查询可将不明显的问题加以公开，这些问题虽然不会产生警示，但在一段时间内

频繁发生，因而有进行调查的必要。

管理搜捕查询

当从清单中选取查询时,查询详细资料会出现在新的窗格中。

查询详细资料窗格包含描述、程序码以及查询相关的其他资讯。

使用MITRE ATT&CK架构搜捕威胁

Azure Sentinel使用 MITRE ATT&CK架构,依据手段来分类及排序查询。

ATT&CK是一个知识库，囊括在全球威胁环境中所使用及观察到的手段与技巧。

我们可以使用MITRE ATT&CK来开发和通知Azure Sentinel中的威胁搜捕模型与方法。

在Azure Sentinel中进行威胁搜捕时,可透过ATT&CK架构,使用 MITRE ATT&CK手段

时间表来分类并执行查询。