Wat is een nuttig basisrijtje threat-hunting-queries?

Threat hunting is niet starten bij een alert, het is gericht zoeken naar gedrag dat alerts missen. Voor MKB volstaan vier of vijf queries per maand op Defender Advanced Hunting of Sentinel om dingen te vinden die niemand had gemeld.

Probeer dit eerst zelf

1. 1Inbox-rules naar verdachte mappen: EmailEvents | join EmailUrlInfo of via OfficeActivity waar Operation == 'New-InboxRule' en Parameters bevat 'Move' naar Deleted Items, Junk Email, RSS Feeds, of een enkel-letter-naam.
2. 2Massa-download uit SharePoint of OneDrive: CloudAppEvents waar ActionType == 'FileDownloaded' en aantal events per gebruiker per uur boven baseline (begin met 100).
3. 3Sign-ins uit landen waar jullie niet werken: SigninLogs waar Location niet in jullie verwachte set zit, en ResultType == 0 (success). Filter break-glass-accounts uit.
4. 4Nieuwe OAuth-app-toestemmingen: AuditLogs waar OperationName == 'Consent to application'. Een gebruiker die een onbekende app toestaat is een vroeg signaal voor token-stealing.
5. 5Onverwachte PowerShell-uitvoer op endpoints: DeviceProcessEvents waar FileName == 'powershell.exe' en CommandLine bevat IEX, DownloadString, of -enc. Veel false positives, maar leert je het normale patroon kennen.

Past het bovenstaande niet?

Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.