Integrovaná detekce hrozeb

  • Článek

Po nastavení služby Microsoft Sentinel pro shromažďování dat z celé organizace budete muset projít všechna tato data, abyste mohli detekovat bezpečnostní hrozby pro vaše prostředí. Ale nemějte obavy – Microsoft Sentinel nabízí integrované šablony, které vám pomůžou vytvářet pravidla detekce hrozeb, která vám umožní provádět veškerou práci za vás. Tato pravidla se označují jako analytická pravidla.

Tým odborníků a analytiků Microsoftu na zabezpečení navrhl tyto šablony analytických pravidel na základě známých hrozeb, běžných vektorů útoků a řetězů eskalace podezřelých aktivit. Pravidla vytvořená z těchto šablon automaticky vyhledávají ve vašem prostředí všechny aktivity, které vypadají podezřele. Mnoho šablon je možné přizpůsobit tak, aby hledaly aktivity nebo je vyfiltrovaly podle vašich potřeb. Výstrahy generované těmito pravidly vytvářejí incidenty, které můžete přiřadit a prozkoumat ve svém prostředí.

Tento článek vám pomůže pochopit, jak detekovat hrozby pomocí služby Microsoft Sentinel:

  • Použití předefinovaných detekcí hrozeb
  • Automatizace reakcí na hrozby

Zobrazení integrovaných detekcí

Pokud chcete zobrazit všechna analytická pravidla a detekce ve službě Microsoft Sentinel, přejděte našablony analytických> pravidel. Tato karta obsahuje všechna předdefinovaná pravidla služby Microsoft Sentinel podle typů zobrazených v následující tabulce.

Snímek obrazovky znázorňující integrovaná pravidla detekce pro hledání hrozeb pomocí služby Microsoft Sentinel

Mezi předdefinované detekce patří:

Typ pravidla Popis
Zabezpečení Microsoftu Šablony zabezpečení Microsoftu v reálném čase automaticky vytvářejí incidenty služby Microsoft Sentinel z výstrah vygenerovaných v jiných řešeních zabezpečení microsoftu. Pravidla zabezpečení Microsoftu můžete použít jako šablonu k vytvoření nových pravidel s podobnou logikou.

Další informace o pravidlech zabezpečení najdete v tématu Automatické vytváření incidentů z výstrah zabezpečení Microsoftu.
Fusion
(některé detekce ve verzi Preview)		 Microsoft Sentinel používá modul fusion korelace se škálovatelnými algoritmy strojového učení k detekci pokročilých vícestupňových útoků tím, že propojí mnoho upozornění a událostí s nízkou věrností v různých produktech do vysoce věrných a použitelných incidentů. Fúze je ve výchozím nastavení povolená. Vzhledem k tomu, že logika je skrytá, a proto není možné přizpůsobit, můžete pomocí této šablony vytvořit pouze jedno pravidlo.

Modul Fusion může také korelovat výstrahy vytvořené pravidly plánované analýzy s výstrahami z jiných systémů, což vede k vysoce věrným incidentům.
Analýza chování strojového učení (ML) Šablony analýzy chování ML jsou založené na proprietárních algoritmech strojového učení Microsoftu, takže nevidíte interní logiku toho, jak fungují a kdy běží.

Vzhledem k tomu, že logika je skrytá, a proto není možné přizpůsobit, můžete vytvořit pouze jedno pravidlo s každou šablonou tohoto typu.
Analýza hrozeb Využijte analýzu hrozeb od Microsoftu ke generování vysoce věrných upozornění a incidentů pomocí pravidla Microsoft Threat Intelligence Analytics . Toto jedinečné pravidlo není přizpůsobitelné, ale pokud je povolené, automaticky odpovídá protokolům CEF (Common Event Format), datům Syslogu nebo událostem DNS systému Windows s indikátory hrozeb domény, IP adresy a adresy URL z Microsoft Threat Intelligence. Některé ukazatele obsahují další kontextové informace prostřednictvím MDTI (Analýza hrozeb v programu Microsoft Defender).

Další informace o tom, jak toto pravidlo povolit, najdete v tématu Použití odpovídajících analýz k detekci hrozeb.
Další podrobnosti o MDTI najdete v tématu Co je Analýza hrozeb v programu Microsoft Defender
Anomálie Šablony pravidel anomálií používají strojové učení k detekci konkrétních typů neobvyklého chování. Každé pravidlo má své vlastní jedinečné parametry a prahové hodnoty, které odpovídají analyzovanému chování.

I když konfiguraci předefinovaných pravidel nejde změnit ani doladit, můžete pravidlo duplikovat a potom duplikovat a doladit. V takových případech spusťte duplikát v režimu flightingu a původní současně v produkčním režimu. Potom porovnejte výsledky a přepněte duplikát do produkčního prostředí, pokud a kdy je jeho jemné ladění podle vašich představ.

Další informace najdete v tématech Použití přizpůsobitelných anomálií k detekci hrozeb ve službě Microsoft Sentinel a Práce s analytickými pravidly detekce anomálií ve službě Microsoft Sentinel.
Naplánované Pravidla plánované analýzy jsou založená na předdefinovaných dotazech, které napsali odborníci Microsoftu na zabezpečení. Můžete zobrazit logiku dotazu a provést v ní změny. Můžete použít šablonu naplánovaných pravidel a přizpůsobit logiku dotazu a nastavení plánování a vytvořit nová pravidla.

Několik nových šablon pravidel naplánované analýzy vytváří výstrahy, které modul Fusion koreluje s výstrahami z jiných systémů, aby se vytvořily vysoce věrné incidenty. Další informace najdete v tématu Pokročilá detekce vícestupňových útoků.

Tip: Mezi možnosti plánování pravidel patří konfigurace pravidla tak, aby se spouštělo po každém zadaném počtu minut, hodin nebo dnů, přičemž při povolení pravidla začínají hodiny.

Doporučujeme, abyste měli na paměti, když povolíte nové nebo upravené analytické pravidlo, aby se zajistilo, že pravidla dostanou nový zásobník incidentů včas. Můžete například chtít spustit pravidlo v synchronizaci s, když analytici SOC zahájí pracovní den, a pak pravidla povolit.
Téměř v reálném čase (NRT)
(Preview)		 Pravidla NRT jsou omezená sada plánovaných pravidel, která jsou navržená tak, aby se spouštěla jednou za minutu, aby vám mohla poskytovat informace co možná nejdříve.

Fungují většinou jako naplánovaná pravidla a jsou nakonfigurované podobně s určitými omezeními. Další informace najdete v tématu Rychlé zjišťování hrozeb pomocí analytických pravidel téměř v reálném čase (NRT) ve službě Microsoft Sentinel.

Důležité

Výše uvedené šablony pravidel jsou v současné době ve verzi PREVIEW, stejně jako některé ze šablon detekce fúze (informace o tom, které z nich najdete v tématu Pokročilá detekce útoků s více fázemi ve službě Microsoft Sentinel ). Další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, preview nebo jinak ještě nejsou obecně dostupné, najdete v doplňkových podmínkách použití pro verze Microsoft Azure Preview .

Použití předdefinovaných analytických pravidel

Tento postup popisuje, jak používat předdefinované šablony analytických pravidel.

Použití předdefinovaných analytických pravidel:

  1. Na stránceŠablony analytických> pravidel služby Microsoft Sentinel > vyberte název šablony a pak výběrem tlačítka Vytvořit pravidlo v podokně podrobností vytvořte nové aktivní pravidlo založené na této šabloně.

    Každá šablona obsahuje seznam požadovaných zdrojů dat. Při otevření šablony se u zdrojů dat automaticky zkontroluje dostupnost. Pokud dojde k problému s dostupností, může být tlačítko Vytvořit pravidlo zakázané nebo se může zobrazit upozornění.

    Panel náhledu pravidla detekce

  2. Výběrem možnosti Vytvořit pravidlo se otevře průvodce vytvořením pravidla na základě vybrané šablony. Všechny podrobnosti se automaticky vyplňují a pomocí šablon zabezpečení Scheduled nebo Microsoft můžete přizpůsobit logiku a další nastavení pravidel tak, aby lépe vyhovovaly vašim konkrétním potřebám. Tento postup můžete zopakovat a vytvořit další pravidla na základě předdefinované šablony. Po provedení kroků v průvodci vytvořením pravidla až do konce dokončíte vytváření pravidla založeného na šabloně. Nová pravidla se zobrazí na kartě Aktivní pravidla .

    Další podrobnosti o tom, jak přizpůsobit pravidla v průvodci vytvořením pravidla, najdete v tématu Vytvoření vlastních analytických pravidel pro detekci hrozeb.

Tip

  • Ujistěte se, že jste povolili všechna pravidla přidružená k připojeným zdrojům dat , abyste zajistili úplné zabezpečení vašeho prostředí. Nejefektivnější způsob, jak povolit analytická pravidla, je přímo na stránce datového konektoru, na které jsou uvedena všechna související pravidla. Další informace najdete v tématu Připojení zdrojů dat.

  • Pravidla můžete do služby Microsoft Sentinel nasdílit také prostřednictvím rozhraní API a PowerShellu, i když to vyžaduje další úsilí.

    Při použití rozhraní API nebo PowerShellu musíte před povolením pravidel nejprve exportovat pravidla do formátu JSON. Rozhraní API nebo PowerShell může být užitečné při povolování pravidel ve více instancích služby Microsoft Sentinel se stejným nastavením v každé instanci.

Přístupová oprávnění k analytickým pravidlům

Při vytváření analytického pravidla se na pravidlo použije token přístupových oprávnění a uloží se spolu s ním. Tento token zajišťuje, že pravidlo bude mít přístup k pracovnímu prostoru, který obsahuje data dotazovaná pravidlem, a že tento přístup bude zachován i v případě, že tvůrce pravidla ztratí přístup k tomuto pracovnímu prostoru.

Existuje však jedna výjimka: Když se vytvoří pravidlo pro přístup k pracovním prostorům v jiných předplatných nebo tenantech, například co se stane v případě poskytovatele služeb zabezpečení, microsoft Sentinel přijme další bezpečnostní opatření, aby zabránila neoprávněnému přístupu k zákaznickým datům. U těchto typů pravidel se přihlašovací údaje uživatele, který pravidlo vytvořil, použijí na pravidlo místo nezávislého přístupového tokenu, takže když uživatel už nebude mít přístup k jinému předplatnému nebo tenantovi, pravidlo přestane fungovat.

Pokud službu Microsoft Sentinel provozujete ve scénáři mezi předplatnými nebo mezi tenanty, mějte na paměti, že pokud některý z vašich analytiků nebo techniků ztratí přístup ke konkrétnímu pracovnímu prostoru, přestanou fungovat všechna pravidla vytvořená tímto uživatelem. Zobrazí se zpráva monitorování stavu týkající se nedostatečného přístupu k prostředku a pravidlo se po určitém počtu selhání automaticky zakáže .

Export pravidel do šablony ARM

Pokud chcete pravidla spravovat a nasazovat jako kód, můžete pravidlo snadno exportovat do šablony Azure Resource Manager (ARM). Můžete také importovat pravidla ze souborů šablon, abyste je mohli zobrazit a upravit v uživatelském rozhraní.

Další kroky