现代安全专业人员的责任比以往任何时候都多。要跟上来自整个组织中各种安全产品的信息的涌入,对于经常承担许多与信息安全相关的内部责任的小型团队来说,这是一项艰巨的任务。任何节省时间和提高效率的机会都值得投资。Red Canary使用Microsoft Defender for Endpoint API为我们的客户验证警报,让他们的团队能够处理更具影响力的工作。
在Red Canary,我们检索警报,将这些警报与从端点卫士,分析我们的24/7 CIRT(网络事件响应团队)最后向我们的客户传达确认的威胁。您的安全团队可以采用类似的技术方法,使用API来管理警报,并在将警报导入到您为环境选择的任何平台之前添加其他上下文。
熟悉平台
要熟悉Defender警报中的可用数据,请首先在Microsoft Defender安全中心控制台中查看这些数据。警报包含有用的信息,如用户、网络连接和文件元数据。
您可以使用Defender API定期获取最近警报的列表以及任何相关信息,包括用户、网络信息和文件元数据。首先,您需要使用Microsoft Defender for Endpoint API进行身份验证。这可以通过配置的用户或应用程序上下文.应用程序上下文最适合后台服务或守护程序,而用户上下文用于代表登录用户在API中执行操作。对于本例,我们使用应用程序上下文进行身份验证。
Microsoft Defender for Endpoint利用OAuth 2.0进行身份验证。身份验证过程结束后,Defender for Endpoint发出一个访问令牌,您的应用程序将使用该令牌访问API。
拥有访问令牌后,可以从Defender警报API获取警报列表。有关获取警报的更多示例以及Defender For Endpoint API模式的全面摘要,请访问Microsoft Defender for Endpoint API架构和获取警报示例文档页面.
获取警报列表后,可以对其进行迭代,以获取有关每个警报的其他信息,例如端点元数据或相关文件和网络信息。
一旦您有了这些警报,您就需要对它们进行解析,以提取对与其他数据源关联很重要的信息。然后,可以将这些信息收集到一个标准化的警报模型中,该模型可以提供处理信息的一套方法。构建这样一个结构的一个简单方法是创建一个结构类,该类包含要从每个警报中记录的信息:
如果警报包括识别进程ID和进程创建时间等进程信息,则通常可以直接将警报与遥测数据关联起来,而无需进一步调查。如果警报不包含过程数据,您可以使用Defender中的高级搜索工具来查找相关的遥测数据。Advanced Hunting利用了Defender API的独立模式,可以通过Defender门户或API运行查询。有关高级搜索、KQL和高级搜索模式的更多信息,请访问高级狩猎文档页面.
利用Defender for Endpoint自动生成Azure Kusto查询(KQL)因为相关信息只是从警报转到相关事件并查看“证据”选项卡。从该视图中,您可以选择任何相关文件或流程,然后单击去狩猎自动生成并运行相关的高级搜索查询。
了解有关Red Canary如何使用Defender for Endpoint端点遥测分析警报和检测威胁的更多信息在这里.
