Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)

[WD ATP] Exemples de requêtes pour le Threat Hunting

Windows Defender Advanced Threat Protection est un service initialement inclus dans Windows 10 proposant une solution d’analyse, d’investigation et de réponse (forensic) permettant d’améliorer la détection et l’alerting. Il offre des actions de réponse et une vision courante des attaques possibles. Il permet de répondre à des attaques comme celles de ransomwares, malwares, etc.

Une des nouvelles fonctionnalités permet de chercher des traces de menaces sur l’ensemble des machines. Threat Hunting permet de lancer des actions sur tous les éléments constitutifs d’une machine (fichiers, dossiers, registre, communications, etc.)

Microsoft a mis à disposition des exemples de requêtes permettant d’utiliser cette fonctionnalité : https://github.com/Microsoft/WindowsDefenderATP-Hunting-Queries

Par exemple pour trouver les machines où la trace (hash) d’un fichier a été détecté, vous pouvez utiliser la requête :

// Find the machines on which this file was seen
// TODO - set file hash to be a SHA1 hash of your choice...
let fileHash = "e152f7ce2d3a4349ac583580c2caf8f72fac16ba";
find in (FileCreationEvents, ProcessCreationEvents, MiscEvents, RegistryEvents, NetworkCommunicationEvents, ImageLoadEvents)
where SHA1 == fileHash or InitiatingProcessSHA1 == fileHash
project ComputerName, ActionType, FileName, InitiatingProcessFileName, EventTime, SHA1, InitiatingProcessSHA1
| project ComputerName, ActionType, EventTime,
          FileName = iff(SHA1 == fileHash, FileName, InitiatingProcessFileName),
          MatchedSide=iff(SHA1 == fileHash, iff(InitiatingProcessSHA1 == fileHash, "Both", "Child"), "Parent")
| summarize makeset(ActionType), FirstEventTime=min(EventTime), (LastEventTime, LastActionType)=arg_max(EventTime, ActionType) by FileName, MatchedSide, ComputerName
| top 1000 by LastEventTime desc
| sort by ComputerName, LastEventTime desc

Facebook Like
Anonymous