威脅搜尋

線上編輯

您可以在 Data Explorer 中使用威脅獵捕來匯入、分組、結合及操作資料，以證明或反駁您的假設。例如，您可能想要知道高度重要資源是否連接至可疑的外部 DNS 伺服器。

狩獵是對未知威脅的主動調查，以證明或反駁假設。搜尋包含步驟 (問題)、變數 (回答) 及 Snapshot (證明)。

步驟是搜尋程式詢問以查看部分資料的問題。步驟包括 Kestrel 陳述式及搜尋者的註解。

Snapshot 是變數的靜態視圖。 Snapshot 會儲存為要在報告中參照的證明。

步骤

步驟是狩獵的核心。步驟包括 Kestrel 陳述式及搜尋程式的註解，以擷取資料。步驟名稱只用來識別步驟。如果您未提供名稱，則會根據陳述式中的指令來套用預設名稱。

指揮

當您鍵入 Kestrel 指令時，可以選擇使用提示範本來撰寫 Kestrel 陳述式。

Data Explorer 支援下列指令:

GET-搜尋資料來源: 使用 STIX 圖形來搜尋任何連接的資料來源中的資料。
APPLY-add analytics: 分析及強化資料。
GROUP-依直欄分組: 根據變數內的直欄建立分組表格。
JOIN-結合變數: 使用直欄值將兩個變數結合在一起。
DISP-建立 Snapshot: 從變數中選取要顯示在報告 Snapshot 中的特定直欄。
FIND-尋找變數內的實體: 尋找並傳回連接至指定實體清單的實體。
NEW-create 變數: 使用直接來自指定資料的實體來建立變數。
SORT-排序直欄: 將變數中的實體重新排序，並將具有新順序的同一組實體輸出至新變數。
COPY-將資料複製到新變數: 複製現有變數以建立另一個變數。
MERGE-聯集實體: 使用邏輯聯集合併多個變數中的實體。

Kestrel 陳述式

Kestrel 是一種威脅獵捕語言，專門用來尋找先前未知的威脅。它提供尋找現有防禦未偵測到的異常及惡意行為的能力。陳述式可以包含多個指令和參數。您必須瞭解 Kestrel ，才能在 Data Explorer中適當地使用威脅獵捕。如需相關資訊，請參閱 Kestrel Threat Hunting Language。

Kestrel 分析

分析提供安全資料的分析和強化。您可以使用 APPLY 指令來建立 Kestrel 陳述式，以針對您在先前搜尋步驟中建立的變數執行這些分析。

skcluster -提供所選直欄的叢集結果。如需相關資訊，請參閱 Scikit-learn Clustering。
- 參數：
  - columns: 要傳遞至叢集作業演算法的直欄/屬性清單。
  - method: 叢集演算法的名稱; "kmeans" (預設值) 或 "dbscan" 其中之一。
    訣竅：
    kmeans 範例
    APPLY skcluster ON var WITH method=kmeans, n_clusters=3, columns=src_byte_count,dst_byte_count
    dbscan 範例
    APPLY skcluster ON var WITH method=dbscan, eps=0.5, columns=src_byte_count,dst_byte_count
- 輸入:
  類型: 任何
可疑-process-scoring -計算程序物件的可疑評分。
- 參數: 無。
- 輸入:
  類型: process
tis-強化 -將 Threat Intelligence 新增至物件，例如 ipv4-addr、網域、URL 及檔案 (雜湊)。
- 參數: 無。
- 輸入:
  類型: ipv4-addr、 ipv6-addr、 domain-name、 url、 network-traffic或 file
離群值 -從資料集計算離群值分數。越接近 0 的分數是正常的，越接近 1.0 的分數是異常的。
- 參數：
  - columns: 要傳遞至離群值偵測演算法的直欄/屬性清單。
  - method: 異常值偵測演算法的名稱; 其中一個 "auto" (預設值; 自動決定適當的方法)、"zscore" 或 "isolationforest"。 zscore 是單變量方法-它只能使用單一數值屬性作為輸入。
  - k: 標準差的整數乘數 (僅在方法為 "zscore" 時使用)。預設值為 3。"
  - contamination: 資料集中偏離值的比例 (僅在方法為 "isolationforest" 時使用)。預設值為 'auto'。"
- 輸入:
  類型: 任何