Tehdit avı

Çevrimiçi düzenle

Hipotezlerinizi kanıtlamak ya da çürütmek üzere verileri içe aktarmak, gruplamak, birleştirmek ve işlemek için Data Explorer içinde tehdit avını kullanabilirsiniz. Örneğin, yüksek kritik kaynakların şüpheli dış DNS sunucularına bağlı olup olmadığını bilmek isteyebilirsiniz.

Av, bir hipotezi kanıtlamak veya çürütmek için bilinmeyen bir tehdidin proaktif bir soruşturması. Bir av, adımlar (sorular), değişkenler (yanıtlar) ve anlık görüntüden (kanıt) oluşur.

Adım, avcının bazı verileri görmek için sorduğu bir sorudur. Bir adım, Kestrel ifadesini ve avcının yorumunu içerir.

Anlık görünüm, bir değişkenin statik görünümüdür. Anlık görüntüler, raporlarda başvurulacak kanıt olarak kaydedilir.

Adımlar

Adımlar avın özünde. Bir adım, Kestrel ifadesini ve verileri almak için avcının yorumunu içerir. Adım adları yalnızca adımı tanımlamak için kullanılır. Ad belirtmezseniz, deyimdeki komuta dayalı olarak varsayılan bir ad uygulanır.

Komutlar

Kestrel komutu yazdığınızda, Kestrel deyimi yazmak için istenen şablonu kullanmayı seçebilirsiniz.

Data Explorer aşağıdaki komutları destekler:

  • GET-Veri unuzu İklarını isimlendir: STIX örüntlerini kullanarak bağlı veri kaynaklarından herhangi birinden veri arayın.
  • APPLY-add analytics: Verinizi analiz edin ve zenginleştirin.
  • GROUP-group by column: Bir değişken içindeki bir sütuna dayalı olarak gruplanmış bir tablo oluşturun.
  • JOIN-değişkenleri birleştir: Sütun değerlerini kullanarak iki değişkeni birleştirin.
  • DISP-anlık görüntü yarat: Raporlarda anlık görüntüde görüntülenecek belirli sütunları seçin.
  • FIND-find entiteleri bir değişken içinde: Belirtilen bir varlık listesine bağlı varlıkları bulun ve döndürR ' yorlar.
  • YENİ-değişken yarat: Doğrudan belirtilen veriden gelen varlıklarla bir değişken oluşturun.
  • SORT-sıralama sütunu: Bir değişkendeki varlıkları yeniden sıralayın ve yeni düzenle aynı varlık kümesini yeni bir değişkene yazın.
  • COPY-verileri yeni bir değişkene kopyala: Var olan bir değişkeni başka bir değişken yaratmak üzere kopyalayın.
  • MERGE-union varlıkları: Mantıksal bir birleşim kullanarak varlıkları birden çok değişkende birleştirin.

Kestrel deyimleri

Kestrel, daha önce bilinmeyen tehditleri bulmak için oluşturulmuş bir tehdit avlama dilidir. Var olan savunmalarınız tarafından saptanmayan anormallikleri ve kötü niyetli davranışları bulma yeteneği sağlar. Deyimler birden çok komut ve parametre oluşturabilirler. Kestrel 'in Data Explorer' da tehdit avcılığını doğru şekilde kullanması için anlamanız gerekir. Daha fazla bilgi için bkz. Kestrel Tehdit Avcılık Dili.

Kestrel analitiği

Analitik, güvenlik verilerinin analiz edilmesini ve zenginleştirilmesi için olanak sağlar. Önceki hunt adımlarında oluşturduğunuz değişkenlerde bu analitiği çalıştırmak için APPLY komutunu kullanarak Kestrel deyimleri oluşturabilirsiniz.

  • skcluster -Seçilen sütunlar için kümeleme sonucu sağlayın. Daha fazla bilgi için bkz. Scikit-learn Clustering.
    • Parametreler:
      • columns: Kümeleme algoritmasına geçirileecek kolonların/özniteliklerin listesi.
      • method: Kümeleme algoritmasının adı; "kanlam" (varsayılan) ya da "dbscan" değerlerinden biri.
        İpucu:
        kanlamları örneği
        APPLY skcluster ON var WITH method=kmeans, n_clusters=3, columns=src_byte_count,dst_byte_count
        dbscan örneği
        APPLY skcluster ON var WITH method=dbscan, eps=0.5, columns=src_byte_count,dst_byte_count
    • Girişler:

      tipler: herhangi biri

  • şüpheli-süreç-puanlama -Süreç nesneleri için bir kuşku puanı hesaplaın.
    • Parametreler: Yok.
    • Girişler:

      tipler: process

  • tis-enrich - ipv4-addr, etki alanı, url ve dosya (hash) gibi nesnelere Tehdit İstihbaratı ekleyin.
    • Parametreler: Yok.
    • Girişler:

      tipler: ipv4-addr, ipv6-addr, domain-name, url, network-trafficya da file

  • outliers (aykırı değerler)-Bir veri kümesinden aykırı değer puanlarını hesaplamanızı sağlar. 0 'a yakın puanlar normal, 1.0 ' a yakın puanlar anormaldir.
    • Parametreler:
      • columns: aykırı değer algılama algoritmasına geçirileecek sütunların/özniteliklerin listesi.
      • method: aykırı değer algılama algoritmasının adı; "auto" (varsayılan; uygun bir yöntemi otomatik olarak belirler), "zscore" ya da "isolationforest". zscore tek değişkenli bir yöntemdir; giriş olarak yalnızca tek bir sayısal öznitelik kullanabilir.
      • k: Standart sapma için tamsayı çarpanı (yalnızca yöntem "zscore" olduğunda kullanılır). Varsayılan değer 3 'tür. "
      • contamination: Veri kümesindeki aykırı değerlerin oranı (yalnızca yöntem "yalıtma ormanı" olduğunda kullanılır). Varsayılan değer 'auto' değeridir. "
    • Girişler:

      tipler: herhangi biri