Vytvoření vlastního analytického pravidla od začátku

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Nastavili jste konektory a další prostředky shromažďování dat aktivit napříč vašimi digitálními aktivy. Teď potřebujete projít všechna tato data, abyste zjistili vzory aktivit a zjistili aktivity, které neodpovídají těmto vzorům a které by mohly představovat bezpečnostní hrozbu.

Microsoft Sentinel a její mnoho řešení poskytovaných v centru obsahu nabízejí šablony pro nejčastěji používané typy analytických pravidel a důrazně doporučujeme tyto šablony využít a přizpůsobit je tak, aby vyhovovaly vašim konkrétním scénářům. Je ale možné, že budete potřebovat něco úplně jiného, takže v takovém případě můžete vytvořit pravidlo úplně od začátku pomocí průvodce analytickým pravidlem.

Tento článek vás provede průvodcem analytickým pravidlem a vysvětluje všechny dostupné možnosti. K průvodci se připojí snímky obrazovky a pokyny pro přístup k průvodci na webu Azure Portal, pro uživatele Microsoft Sentinelu, kteří nejsou také předplatiteli programu Microsoft Defender, a portál Defenderu pro uživatele sjednocené platformy Microsoft Defender pro operace zabezpečení.

Důležité

Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Požadavky

  • Musíte mít roli Přispěvatel Služby Microsoft Sentinel nebo jakoukoli jinou roli nebo sadu oprávnění, která zahrnují oprávnění k zápisu do pracovního prostoru služby Log Analytics a její skupiny prostředků.

Návrh a sestavení dotazu

Než začnete dělat něco jiného, měli byste navrhnout a sestavit dotaz v dotazovací jazyk Kusto (KQL), který pravidlo použije k dotazování jedné nebo více tabulek v pracovním prostoru služby Log Analytics.

  1. Určete zdroj dat, který chcete vyhledat, abyste zjistili neobvyklou nebo podezřelou aktivitu. Vyhledejte název tabulky Log Analytics, do které se ingestují data z tohoto zdroje. Název tabulky najdete na stránce datového konektoru pro daný zdroj. Jako základ pro váš dotaz použijte tento název tabulky (nebo funkci založenou na ní).

  2. Rozhodněte, jaký druh analýzy má tento dotaz s tabulkou provádět. Toto rozhodnutí určí, které příkazy a funkce byste měli použít v dotazu.

  3. Rozhodněte, které datové prvky (pole, sloupce) chcete z výsledků dotazu použít. Toto rozhodnutí určí, jak strukturujete výstup dotazu.

Osvědčené postupy pro dotazy analytických pravidel

  • Jako zdroj dotazu se doporučuje použít analyzátor ADVANCED Security Information Model (ASIM) místo nativní tabulky. Tím zajistíte, aby dotaz podporoval jakýkoli aktuální nebo budoucí relevantní zdroj dat nebo řadu zdrojů dat, a nespoléhat se na jeden zdroj dat.

  • Délka dotazu by měla být 1 až 10 000 znaků a nesmí obsahovat "search *" nebo "union *". Pomocí uživatelem definovaných funkcí můžete překonat omezení délky dotazu.

  • Použití funkcí ADX k vytváření dotazů Azure Data Exploreru v okně dotazu Log Analytics se nepodporuje.

  • Při použití bag_unpack funkce v dotazu, pokud promítnete sloupce jako pole pomocí "project field1" a sloupec neexistuje, dotaz selže. Pokud chcete před tímto děním zabránit, musíte sloupec promítat následujícím způsobem:

    project field1 = column_ifexists("field1","")

Další pomoc s vytvářením dotazů Kusto najdete v tématu dotazovací jazyk Kusto v Microsoft Sentinelu a osvědčených postupech pro dotazy dotazovací jazyk Kusto.

Sestavte a otestujte své dotazy na obrazovce Protokoly . Až budete spokojeni, uložte dotaz pro použití ve vašem pravidlu.

Vytvoření analytického pravidla

Tato část popisuje, jak vytvořit pravidlo pomocí portálů Azure nebo Defender.

Spuštění průvodce analytickým pravidlem

  1. V části Konfigurace navigační nabídky Microsoft Sentinelu vyberte Analýza.

  2. Na panelu akcí v horní části vyberte +Vytvořit a vyberte Pravidlo naplánovaného dotazu. Tím se otevře průvodce analytickým pravidlem.

    Snímek obrazovky Analýza na webu Azure Portal

Pojmenujte pravidlo a definujte obecné informace.

Na webu Azure Portal jsou fáze vizuálně reprezentovány jako karty. Na portálu Defender jsou vizuálně reprezentované jako milníky na časové ose. Příklady najdete na následujících snímcích obrazovky.

  1. Zadejte jedinečný název a popis.

  2. Nastavte závažnost výstrahy podle potřeby tak, aby odpovídala dopadu na aktivitu, která aktivuje pravidlo v cílovém prostředí, pokud by pravidlo mělo pravdivě pozitivní výsledek.

    Závažnost Popis
    Informační Žádný dopad na váš systém, ale informace můžou značit budoucí kroky plánované aktérem hrozeb.
    Nízké Okamžitý dopad by byl minimální. Objekt actor hrozby bude pravděpodobně muset před dosažením dopadu na prostředí provést několik kroků.
    Medium Objekt actor hrozby může mít nějaký vliv na prostředí s touto aktivitou, ale v rozsahu by byl omezený nebo vyžadoval další aktivitu.
    Vysoké Identifikovaná aktivita poskytuje aktér hrozby s širokým rozsahem přístupu k provádění akcí v prostředí nebo se aktivuje dopadem na prostředí.

    Výchozí hodnoty úrovně závažnosti nejsou zárukou aktuální nebo environmentální úrovně dopadu. Přizpůsobte podrobnosti výstrahy , abyste přizpůsobili závažnost, taktiku a další vlastnosti dané instance výstrahy s hodnotami všech relevantních polí z výstupu dotazu.

    Definice závažnosti pro šablony analytických pravidel služby Microsoft Sentinel jsou relevantní pouze pro výstrahy vytvořené analytickými pravidly. U výstrah přijatých z jiných služeb je závažnost definována zdrojovou službou zabezpečení.

  3. V poli Taktika a techniky si můžete vybrat z kategorií aktivit hrozeb, podle kterých chcete pravidlo klasifikovat. Jsou založeny na taktikách a technikách architektury MITRE ATT&CK .

    Incidenty vytvořené z výstrah zjištěných pravidly mapovanými na taktiku a techniky MITRE ATT&CK automaticky dědí mapování pravidla.

    Další informace o maximalizaci pokrytí hrozby MITRE ATT&CK najdete v tématu Vysvětlení pokrytí zabezpečení architekturou MITRE ATT&CK®.

  4. Při vytváření pravidla je jeho stav ve výchozím nastavení povolený, což znamená, že se spustí okamžitě po jeho vytvoření. Pokud nechcete, aby se spouštěla okamžitě, vyberte Zakázáno a pravidlo se přidá na kartu Aktivní pravidla a v případě potřeby ho tam můžete povolit.

    Poznámka:

    Existuje jiný způsob, jak ve verzi Preview vytvořit pravidlo bez okamžitého spuštění. Pravidlo můžete naplánovat tak, aby se nejprve spustilo v určitém datu a čase. Viz Plán a obor dotazu níže.

  5. Vyberte Další: Nastavení logiky pravidla.

Definování logiky pravidla

  1. Zadejte dotaz pro vaše pravidlo.

    Vložte dotaz, který jste navrhli, vytvořili a otestovali do okna dotazu pravidla . Každá změna, kterou v tomto okně uděláte, se okamžitě ověří, takže pokud dojde k nějakým chybám, zobrazí se pod oknem indikace.

  2. Mapovat entity

    Entity jsou nezbytné pro detekci a prošetřování hrozeb. Namapujte typy entit rozpoznané službou Microsoft Sentinel na pole ve výsledcích dotazu. Toto mapování integruje zjištěné entity do pole Entity ve schématu upozornění.

    Úplné pokyny k mapování entit najdete v tématu Mapování datových polí na entity v Microsoft Sentinelu.

  3. V upozorněních můžete zobrazit vlastní podrobnosti.

    Ve výchozím nastavení se v incidentech zobrazují jenom entity a metadata upozornění, aniž by se ve výsledcích dotazu zobrazovaly nezpracované události. Tento krok provede další pole ve výsledcích dotazu a integruje je do pole ExtendedProperties ve vašich upozorněních, což způsobí, že se budou zobrazovat před vašimi výstrahami a v jakýchkoli incidentech vytvořených z těchto výstrah.

    Úplné pokyny k zpřístupnění vlastních podrobností najdete v tématu Podrobnosti o vlastních událostech surface v upozorněních v Microsoft Sentinelu.

  4. Přizpůsobení podrobností výstrahy

    Toto nastavení umožňuje přizpůsobit vlastnosti jinak standardní výstrahy podle obsahu různých polí v jednotlivých výstrahách. Tato přizpůsobení jsou integrovaná do pole ExtendedProperties ve vašich upozorněních. Můžete například přizpůsobit název nebo popis upozornění tak, aby obsahoval uživatelské jméno nebo IP adresu, které jsou v upozornění doporučené.

    Úplné pokyny k přizpůsobení podrobností výstrah najdete v tématu Přizpůsobení podrobností výstrahy v Microsoft Sentinelu.

  5. Naplánujte a využte rozsah dotazu.

    1. V části Plánování dotazů nastavte následující parametry:

      Nastavení Chování
      Spuštění dotazu vždy Řídí interval dotazu: jak často se dotaz spouští.
      Vyhledávací data z posledního Určuje období zpětného vyhledávání: časové období pokryté dotazem.

      • Povolený rozsah obou těchto parametrů je od 5 minut do 14 dnů.

      • Interval dotazu musí být kratší nebo roven období zpětného vyhledávání. Pokud je kratší, období dotazu se překrývají a to může způsobit duplikaci výsledků. Ověření pravidla neumožňuje nastavit interval delší než období zpětného vyhledávání, protože by to vedlo k mezerám ve vašem pokrytí.

    2. Nastavit spuštění:

      Nastavení Chování
      Automaticky Pravidlo se spustí poprvé po vytvoření a potom v intervalu nastaveném v dotazu Spustit každé nastavení.
      V konkrétním čase (Preview) Nastavte datum a čas pro první spuštění pravidla, po kterém se spustí v intervalu nastaveném v dotazu Spustit každé nastavení.

      • Čas spuštění musí být mezi 10 minut a 30 dny po vytvoření pravidla (nebo povolení).

      • Řádek textu pod nastavením Spustit ( s ikonou informací na levé straně) shrnuje aktuální nastavení plánování a zpětného vyhledávání dotazů.

        Snímek obrazovky s přepínačem a nastavením rozšířeného plánování

    Poznámka:

    Zpoždění příjmu dat

    Aby bylo možné počítat s latencí , ke které může dojít mezi generováním události ve zdroji a příjmem dat do Microsoft Sentinelu, a aby se zajistilo úplné pokrytí bez duplikace dat, spustí Microsoft Sentinel naplánovaná analytická pravidla na pětiminutové prodlevě od naplánovaného času.

    Další informace najdete v tématu Zpracování zpoždění příjmu dat v naplánovaných analytických pravidlech.

  6. Nastavte prahovou hodnotu pro vytváření upozornění.

    Pomocí oddílu Prahová hodnota výstrahy definujte úroveň citlivosti pravidla.

    • Nastavte vygenerovat upozornění, pokud je počet výsledkůdotazu větší než, a zadejte minimální počet událostí, které je potřeba najít v časovém období dotazu, aby pravidlo vygenerovalo výstrahu.
    • Toto je povinné pole, takže pokud nechcete nastavit prahovou hodnotu – to znamená, že pokud chcete aktivovat výstrahu i pro jednu událost v daném časovém období – zadejte 0 do číselného pole.

  7. Nastavení seskupení událostí

    V části Seskupení událostí zvolte jeden ze dvou způsobů, jak seskupit události do výstrah:

    Nastavení Chování
    Seskupení všech událostí do jednoho upozornění
    (výchozí)    		 Pravidlo vygeneruje při každém spuštění jednu výstrahu, pokud dotaz vrátí více výsledků než zadaná prahová hodnota upozornění výše. Tato jediná výstraha shrnuje všechny události vrácené ve výsledcích dotazu.
    Aktivace upozornění pro každou událost Pravidlo vygeneruje jedinečnou výstrahu pro každou událost vrácenou dotazem. To je užitečné, pokud chcete, aby se události zobrazovaly jednotlivě, nebo pokud je chcete seskupit podle určitých parametrů – podle uživatele, názvu hostitele nebo něčeho jiného. Tyto parametry můžete definovat v dotazu.

    Analytická pravidla můžou generovat až 150 upozornění. Pokud je seskupení událostí nastavené tak, aby aktivovalo upozornění pro každou událost a dotaz pravidla vrátí více než 150 událostí, prvních 149 událostí vygeneruje jedinečnou výstrahu (pro 149 upozornění) a 150. výstraha shrne celou sadu vrácených událostí. Jinými slovy, 150. upozornění je to, co by se vygenerovalo, pokud bylo seskupení událostí nastaveno tak, aby seskupilo všechny události do jediné výstrahy.

  8. Po vygenerování výstrahy dočasně potlačí pravidlo.

    V části Potlačení můžete po vygenerování výstrahy vypnout spuštěný dotaz po vygenerování nastavení Zapnuto, pokud po získání výstrahy chcete pozastavit operaci tohoto pravidla po dobu, po kterou překročí interval dotazu. Pokud tuto možnost zapnete, musíte nastavit možnost Zastavit spouštění dotazu na dobu, po kterou by měl dotaz přestat běžet, až 24 hodin.

  9. Simulujte výsledky nastavení dotazu a logiky.

    V oblasti simulace výsledků vyberte Test s aktuálními daty a Microsoft Sentinel zobrazí graf výsledků (událostí protokolu), které dotaz vygeneroval za posledních 50krát, než by se spustil podle aktuálně definovaného plánu. Pokud dotaz upravíte, znovu vyberte Testovat s aktuálními daty a aktualizujte graf. Graf zobrazuje počet výsledků v definovaném časovém období, které je určeno nastavením v části Plánování dotazů.

    Tady je postup, jak může simulace výsledků vypadat pro dotaz na snímku obrazovky výše. Levá strana je výchozí zobrazení a pravá strana je to, co vidíte, když v grafu najedete myší na bod v čase.

    Snímky obrazovky simulace výsledků

    Pokud uvidíte, že dotaz aktivuje příliš mnoho nebo příliš časté výstrahy, můžete experimentovat s nastavením v částech Plánování dotazů a Prahová hodnota upozornění a znovu vybrat Test s aktuálními daty.

  10. Vyberte Další: Nastavení incidentu.

Konfigurace nastavení vytvoření incidentu

Na kartě Nastavení incidentu zvolte, jestli Microsoft Sentinel změní výstrahy na incidenty s možností reakce a jestli a jak se výstrahy seskupují v incidentech.

  1. Povolte vytvoření incidentu.

    V části Nastavení incidentu se vytvoří incidenty z výstrah aktivovaných tímto analytickým pravidlem ve výchozím nastavení na Povoleno. To znamená, že Microsoft Sentinel vytvoří jeden samostatný incident od každého a každé výstrahy aktivované pravidlem.

    • Pokud nechcete, aby toto pravidlo vedlo k vytvoření incidentů (například pokud toto pravidlo pouze shromažďuje informace pro následné analýzy), nastavte toto pravidlo na Zakázáno.

      Důležité

      Pokud jste na portálu Microsoft Defender nasadili Microsoft Sentinel na sjednocenou platformu operací zabezpečení a toto pravidlo se dotazuje a vytváří výstrahy ze zdrojů Microsoftu 365 nebo Microsoft Defenderu, musíte toto nastavení nastavit na Zakázáno.

    • Pokud chcete vytvořit jeden incident ze skupiny výstrah, místo jednoho pro každou jednotlivou výstrahu se podívejte na další část.

  2. Nastavte nastavení seskupení výstrah.

    Pokud chcete, aby se jeden incident vygeneroval ze skupiny s až 150 podobnými nebo opakovanými výstrahami (viz poznámka), nastavte výstrahy související se skupinou, aktivované tímto analytickým pravidlem, do incidentů na Povoleno a nastavte následující parametry.

    1. Omezit skupinu na výstrahy vytvořené v rámci vybraného časového rámce: Určete časový rámec, ve kterém budou podobná nebo opakovaná upozornění seskupována dohromady. Všechny odpovídající výstrahy v tomto časovém rámci společně vygenerují incident nebo sadu incidentů (v závislosti na níže uvedeném nastavení seskupení). Výstrahy mimo tento časový rámec vygenerují samostatný incident nebo sadu incidentů.

    2. Seskupit výstrahy aktivované tímto analytickým pravidlem do jednoho incidentu: Zvolte základ, podle kterého se budou výstrahy seskupit:

      Možnost Popis
      Seskupení výstrah do jednoho incidentu, pokud se shodují všechny entity Výstrahy jsou seskupené, pokud sdílejí stejné hodnoty pro každou mapovanou entitu (definovanou na kartě Nastavit logiku pravidla výše). Toto je doporučené nastavení.
      Seskupte všechna upozornění aktivovaná tímto pravidlem do jednoho incidentu. Všechna upozornění vygenerovaná tímto pravidlem jsou seskupené dohromady, i když sdílejí žádné identické hodnoty.
      Seskupení výstrah do jednoho incidentu, pokud se shodují vybrané entity a podrobnosti Výstrahy jsou seskupené, pokud sdílejí stejné hodnoty pro všechny mapované entity, podrobnosti výstrahy a vlastní podrobnosti vybrané z příslušných rozevíracích seznamů.

      Toto nastavení můžete chtít použít, pokud například chcete vytvořit samostatné incidenty na základě zdrojové nebo cílové IP adresy nebo pokud chcete seskupit výstrahy, které odpovídají konkrétní entitě a závažnosti.

      Poznámka: Když vyberete tuto možnost, musíte mít pro pravidlo vybraný alespoň jeden typ entity nebo pole. Jinak ověření pravidla selže a pravidlo se nevytvořilo.

    3. Opětovné otevření uzavřených odpovídajících incidentů: Pokud se incident vyřešil a zavřel, a později se vygeneruje další výstraha, která by měla patřit do tohoto incidentu, nastavte toto nastavení na Povoleno, pokud chcete, aby se zavřený incident znovu otevřel, a pokud chcete, aby výstraha vytvořila nový incident, ponechte upozornění zakázané.

    Poznámka:

    Do jednoho incidentu je možné seskupit až 150 výstrah .

    • Incident se vytvoří až po vygenerování všech výstrah. Všechna upozornění se do incidentu přidají okamžitě po jeho vytvoření.

    • Pokud se vygeneruje více než 150 výstrah, které je seskupí do jednoho incidentu, vygeneruje se nový incident se stejnými podrobnostmi incidentu jako původní a nadbytečná upozornění se seskupí do nového incidentu.

  3. Vyberte Další: Automatizovaná odpověď.

Nastavení automatizovaných odpovědí a vytvoření pravidla

Na kartě Automatizované odpovědi můžete pomocí pravidel automatizace nastavit automatické odpovědi, které se mají vyskytnout v některém ze tří typů případů:

  • Když toto analytické pravidlo vygeneruje upozornění.
  • Když se incident vytvoří z výstrah vygenerovaných tímto analytickým pravidlem.
  • Když se incident aktualizuje s upozorněními vygenerovanými tímto analytickým pravidlem.

Mřížka zobrazená v rámci pravidel automatizace zobrazuje pravidla automatizace, která se na toto analytické pravidlo už vztahují (na základě toho splňují podmínky definované v těchto pravidlech). Kteroukoli z těchto možností můžete upravit tak, že vyberete název pravidla nebo tři tečky na konci každého řádku. Nebo můžete vybrat Přidat novéa vytvořit nové pravidlo automatizace.

Pomocí pravidel automatizace můžete provádět základní třídění, přiřazení, pracovní postup a uzavření incidentů.

Automatizace složitějších úloh a vyvolání odpovědí ze vzdálených systémů za účelem nápravy hrozeb voláním playbooků z těchto pravidel automatizace. Playbooky můžete vyvolat pro incidenty i pro jednotlivé výstrahy.

  • V části Automatizace upozornění (Classic) v dolní části obrazovky uvidíte všechny playbooky, které jste nakonfigurovali tak, aby se spouštěly automaticky, když se výstraha vygeneruje pomocí staré metody.

    • Od června 2023 už nemůžete do tohoto seznamu přidávat playbooky. Playbooky, které jsou zde uvedeny, budou nadále spuštěny, dokud nebude tato metoda zastaralá, a to od března 2026.

    • Pokud tu stále máte nějaké playbooky, měli byste místo toho vytvořit pravidlo automatizace na základě triggeru vytvořeného upozornění a vyvolat playbook z pravidla automatizace. Až to uděláte, vyberte tři tečky na konci řádku playbooku uvedeného tady a vyberte Odebrat. Úplné pokyny najdete v tématu Migrace playbooků aktivující výstrahy Microsoft Sentinelu do pravidel automatizace.

Vyberte Další: Zkontrolujte a vytvořte , abyste zkontrolovali všechna nastavení nového analytického pravidla. Jakmile se zobrazí zpráva Ověření proběhlo úspěšně, vyberte Vytvořit.

Zobrazení pravidla a jeho výstupu

Zobrazení definice pravidla:

  • Nově vytvořené vlastní pravidlo (typu Naplánovano) najdete v tabulce na kartě Aktivní pravidla na hlavní obrazovce Analýza . V tomto seznamu můžete každé pravidlo povolit, zakázat nebo odstranit.

Prohlédněte si výsledky pravidla:

  • Pokud chcete zobrazit výsledky analytických pravidel, která vytvoříte na webu Azure Portal, přejděte na stránku Incidenty , kde můžete určit prioritu incidentů, prozkoumat je a napravit hrozby.

Vylaďte pravidlo:

Poznámka:

Výstrahy vygenerované v Microsoft Sentinelu jsou dostupné prostřednictvím Microsoft Graph Security. Další informace najdete v dokumentaci k upozorněním microsoft Graph Security.

Export pravidla do šablony ARM

Pokud chcete pravidlo zabalit pro správu a nasazení jako kód, můžete pravidlo snadno exportovat do šablony Azure Resource Manageru (ARM). Můžete také importovat pravidla ze souborů šablon, abyste je mohli zobrazit a upravit v uživatelském rozhraní.

Další kroky

Pokud k detekci hrozeb z Microsoft Sentinelu používáte analytická pravidla, ujistěte se, že povolíte všechna pravidla přidružená k připojeným zdrojům dat, abyste zajistili úplné pokrytí zabezpečení pro vaše prostředí.

Pokud chcete automatizovat povolení pravidel, nasdílení pravidel do Microsoft Sentinelu prostřednictvím rozhraní API a PowerShellu, i když to vyžaduje další úsilí. Při použití rozhraní API nebo PowerShellu musíte před povolením pravidel nejprve exportovat pravidla do formátu JSON. Rozhraní API nebo PowerShell může být užitečné při povolování pravidel v několika instancích Služby Microsoft Sentinel se stejnými nastaveními v každé instanci.

Další informace naleznete v tématu:

Také se naučíte z příkladu použití vlastních analytických pravidel při monitorování zoomu pomocí vlastního konektoru.