Microsoft Threat Protection – Unified Hunting
Wenn Sie Security Incidents bearbeiten, sind Informationen entscheidend. Genauso wichtig ist: Korrelation. Der Wert von Daten steigt deutlich, wenn Sie sie mit anderen Signalen in Verbindung bringen können. Auf der Ignite 2018 hat Microsoft „Microsoft Threat Protection“ (MTP) als Oberbegriff für seine ATP-Reihe (O365 ATP, Azure ATP, Defender ATP) angekündigt.
Seitdem hat Microsoft diese Dienste stetig weiter ausgebaut. Jetzt ist MTP nicht mehr nur ein Oberbegriff, sondern eine konkrete technische Funktion, die nun global verfügbar ist. Advanced Hunting, automatisierte Untersuchungen und korrelierte Vorfälle können Sie jetzt über Office- und Endpunkt-Daten hinweg ausführen.
In diesem Blog stelle ich Ihnen die Möglichkeiten des Unified Advanced Hunting vor.
MTP aktivieren
Zuerst müssen Sie auf die Opt-in-Seite gehen, die Sie hier finden:
https://security.microsoft.com/enable_mtp/mtp_consent
Auf der Einstellungsseite wählen Sie „Turn on Microsoft Threat Protection“ und bestätigen die Auswahl über die Schaltfläche „Save“.
Hinweis
Bitte beachten Sie die Servicebedingungen, die Microsoft in der Beschreibung unter dem Opt-in-Schalter erwähnt, bevor Sie MTP aktivieren.
Lassen Sie uns nach der Aktivierung zu Advanced Hunting unter https://security.microsoft.com/hunting wechseln.
Das Layout ist ziemlich geradlinig. Auf der linken Seite erhalten Sie eine Schemareferenz (1) zum Nachschlagen von Tabellennamen und Spalten. Im Eingabefeld oben rechts (2) werden Queries geschrieben, rechts unten (3) wird die jeweilige Ausgabe angezeigt.
Wie Sie auf dem Screenshot sehen können, unterliegt Advanced Hunting, wie auch viele andere Dienste, häufigen Änderungen. Derzeit arbeitet Microsoft an der Fertigstellung des Schemas, um es an die verschiedenen Datenquellen von Microsoft Threat Protection anzupassen.
Sie finden die Ankündigung hier: https://techcommunity.microsoft.com/t5/Microsoft-Defender-ATP/Advanced-hunting-data-schema-changes/ba-p/1043914
Um es kurz zu machen: Das Präfix jedes Tabellennamens gibt die Datenquelle an.
| Data source | Prefix | Example |
|---|---|---|
| Microsoft Defender ATP | Device | DeviceProcessEvents |
| Office 365 ATP | EmailAttachmentInfo | |
| Microsoft Cloud App Security + Azure ATP | App | AppFileEvents |
Wenn Sie diesen Beitrag zu einem späteren Zeitpunkt lesen, sind diese Änderungen wahrscheinlich bereits umgesetzt. Jede Tabelle besteht aus mehreren Spalten, die die eigentlichen Informationen enthalten. EmailAttachmentInfo enthält z. B. die folgenden Spalten:
- Timestamp
- AttachmentId
- NetworkMessageId
- SenderFromAddress
- RecipientEmailAddress
- RecipientObjectId
- FileName
- FileType
- SHA256
- MalwareFilterVerdict
- MalwareDetectionMethod
Jede Tabelle hat verschiedene Spalten, die sich jedoch bei den gängigsten Informationstypen manchmal überschneiden.
Hier ist ein Beispiel, wie eine Abfrage aussehen könnte. In diesem Fall wird nach pnp-Events gesucht, die von Massenspeichergeräten erzeugt werden:
Es ist ziemlich einfach, eigene Queries zu erstellen. Sich komplett zurechtzufinden dauert aber eine Weile, länger als in einem Blog-Beitrag dargestellt werden kann. Wenn Sie mehr wissen wollen, gibt es dazu von Microsoft veröffentlichte Ressourcen:
Kurze Einführung: https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/advanced-hunting-query-language
Vollständige Kusto Query Language (KQL)-Dokumentation: https://docs.microsoft.com/en-us/azure/kusto/query/
Das MDATP-Schema
Das erweiterte MDATP Advanced Hunting-Schema existiert schon seit geraumer Zeit. Abgesehen von der Umbenennung, um die von MTP vorgenommenen Ergänzungen widerzuspiegeln, hat sich nicht viel geändert.
| Tabelle | Beschreibung |
|---|---|
| DeviceInfo | Allgemeine Information über Maschinen wie Computername, Betriebssystem-Build, angemeldete Benutzer… |
| DeviceNetworkInfo | Netzwerkkonfiguration von Maschinen (Adapter, IP- und MAC-Adressen, …) |
| DeviceProcessEvents | Prozesserstellung und zugehörige Ereignisse |
| DeviceNetworkEvents | Netzwerkverbindungsereignisse |
| DeviceFileEvents | Events im Zusammenhang mit der Erstellung, Änderung, … |
| DeviceRegistryEvents | Erstellung und Änderung von Registry-Einträgen |
| DeviceLogonEvents | Benutzeranmeldung und Authentifizierungsereignisse |
| DeviceImageLoadEvents | DLL-Ladeereignisse |
| DeviceEvents | Verschiedene Geräteereignisse, insbesondere im Hinblick auf Sicherheitskontrollen (Application Control, Windows Firewall usw.) |
| DeviceTvmSoftwareInventoryVulnerabilities | Software-Inventar und Schwachstellen, die von Threat & Vulnerability Management (TVM) bereitgestellt werden (vgl. https://infowan.de/threat-vulnerability-management-hoehere-client-sicherheit-mit-mdatp/) |
| DeviceTvmSoftwareVulnerabilitiesKB | Liste der Schwachstellen von TVM |
| DeviceTvmSecureConfigurationAssessment | Assessment-Ereignisse für bestimmte Sicherheitskonfigurationen von TVM |
| DeviceTvmSecureConfigurationAssessmentKB | Informationen über sichere Konfigurationen (einschließlich Risikoinformationen, Branchen-Benchmarks und MITRE ATT&CK-Techniken) |
Das OATP-Schema
Das Office 365 ATP-Schema wurde mit der (Vorschau-)Veröffentlichung von MTP hinzugefügt. Es verwendet Office 365-Mail-Daten.
| Tabelle | Beschreibung |
|---|---|
| EmailEvents | Allgemeine Informationen über E-Mail |
| EmailAttachmentInfo | Informationen über E-Mail-Anhänge |
| EmailUrlInfo | Informationen über URLs in E-Mails |
Hinweis
Wenn Sie mehr über Mail-Hunting erfahren möchten, schauen Sie sich den Blog-Post von Alex Verboon an: Microsoft Threat Protection – Using advanced hunting to see what’s going on with your mail.
Nützliche Queries
Microsoft veröffentlicht einige Anfragen in seinem offiziellen GitHub-Repository: https://github.com/microsoft/WindowsDefenderATP-Hunting-Queries
Ich bin kein großer Fan der Auflistung von vordefinierten Queries, da diese in den meisten Fällen ohnehin an Ihre eigene Umgebung angepasst werden müssen. Hier sind jedoch einige Anwendungsfälle, die durch Advanced Hunting verbessert werden können:
- Überwachen Sie Ihre Windows-Firewall-Konfiguration mit Hilfe von Daten aus der Tabelle DeviceNetworkEvents.
- Überwachen Sie Ihre Application Guard / AppLocker-Konfiguration mit Hilfe der Tabelle DeviceEvents.
- Verwenden Sie EmailEvents, EmailAttachmentInfo und EmailUrlInfo, um Office 365 ATP-Aktionen zu überwachen, z. B. Zustellaktionen, erkannte Malware und Phishing sowie URL-Informationen von ATP-Safe-Links. Ich persönlich finde Advanced Hunting viel bequemer als die Verwendung des Threat Explorers im „alten“ Sicherheits- und Compliance-Center.
- Sie können Hunting auch verwenden, um festzustellen, ob Benutzer Sicherheitswarnungen, die zum Beispiel von SmartScreen ausgelöst wurden, überschrieben haben.
- Wenn Sie nicht in der Lage sind, externe Massenspeichergeräte zu blockieren, können Sie die Hunting-Funktion verwenden, um die Exfiltration von Bulkdaten zu erkennen. Dies kann als Teil Ihrer allgemeinen DLP-Konfiguration verwendet werden.
- Überprüfen Sie den Update-Status für Betriebssystem und Virenschutz.
- Überwachen Sie lokale Administratoren und administrative Anmeldungen.
- Natürlich können Sie auch einfach nach Indikatoren für eine Kompromittierung im gesamten Unternehmen suchen, wenn ein bestimmter Incident aufgetreten ist.
In einem zukünftigen Beitrag werde ich auf einige dieser Szenarien näher eingehen.
Fazit
Wissen ist Macht: Nichts beschreibt besser, was Advanced Hunting in Microsoft Threat Protection dem Security-Personal bietet. Viele Szenarien wurden bereits in Defender ATP abgedeckt, doch mit der Integration von Office 365 ATP-Daten (in Zukunft gefolgt von MCAS und Azure ATP) können Sie diese nun für zentralisierte Queries in Ihren wichtigsten Cloud-gestützten Abwehrsystemen verwenden.
Danke fürs Lesen!
Christian Müller
Die englische Version des Artikels finden Sie im Blog unseres Kollegen Christian Müller:
https://chrisonsecurity.net/2019/12/15/microsoft-threat-protection-unified-hunting/
Photo by Headway on Unsplash