Použití odpovídající analýzy k detekci hrozeb

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Využijte výhod analýzy hrozeb vytvořené Microsoftem k vygenerování vysoce věrných výstrah a incidentů pomocí pravidla Analýza hrozeb v programu Microsoft Defender Analytics. Toto integrované pravidlo v Microsoft Sentinelu odpovídá indikátorům s protokoly CEF (Common Event Format), událostmi DNS systému Windows s indikátory hrozeb domén a protokolu IPv4, daty syslogu a dalšími.

Důležité

Odpovídající analýzy jsou aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Požadavky

Aby bylo možné vytvářet vysoce věrná upozornění a incidenty, musí být nainstalován jeden nebo více podporovaných datových konektorů, ale licence MDTI úrovně Premium se nevyžaduje. Nainstalujte příslušná řešení z centra obsahu pro připojení těchto zdrojů dat.

• Common Event Format (CEF)
• DNS (Preview)
• Syslog
• Protokoly aktivit Office
• Protokoly aktivit Azure

V závislosti na zdroji dat můžete například použít následující řešení a datové konektory.

Řešení	Datový konektor
Běžné řešení formátu událostí pro Sentinel	Konektor CEF (Common Event Format) pro Microsoft Sentinel
Windows Server DNS	Konektor DNS pro Microsoft Sentinel
Řešení Syslog pro Sentinel	Konektor Syslog pro Microsoft Sentinel
Řešení Microsoft 365 pro Sentinel	Konektor Office 365 pro Microsoft Sentinel
Řešení aktivit Azure pro Sentinel	Konektor aktivit Azure pro Microsoft Sentinel

Konfigurace odpovídajícího analytického pravidla

Při povolení pravidla Analýza hrozeb v programu Microsoft Defender Analytics se konfiguruje odpovídající analýza.

1. V části Konfigurace klikněte na nabídku Analýza.

2. Vyberte kartu nabídky Šablony pravidel.

3. Do vyhledávacího okna zadejte analýzu hrozeb.

4. Vyberte šablonu pravidla Analýza hrozeb v programu Microsoft Defender Analytics.

5. Klikněte na Vytvořit pravidlo. Podrobnosti pravidla jsou jen pro čtení a výchozí stav pravidla je povolený.

6. Klikněte na Zkontrolovat>vytvoření.

Zdroje dat a indikátory

analýza Analýza hrozeb v programu Microsoft Defender (MDTI) odpovídá vašim protokolům s indikátory domény, IP adresy a adresy URL následujícím způsobem:

• Protokoly CEF ingestované do tabulky Log Analytics CommonSecurityLog odpovídají adrese URL a indikátory domény, pokud jsou v poli vyplněné RequestURL , a indikátory IPv4 v DestinationIP poli.

• Protokoly DNS systému Windows, ve kterých se události SubType == "LookupQuery" ingestované do tabulky DnsEvents shodují s indikátory domény vyplněnými v Name poli, a indikátory IPv4 v IPAddresses poli.

• Události Syslogu , které Facility == "cron" se ingestují do tabulky Syslog , odpovídají doméně a indikátory IPv4 přímo z SyslogMessage pole.

• Protokoly aktivit Office ingestované do tabulky OfficeActivity odpovídají indikátory IPv4 přímo z ClientIP pole.

• Protokoly aktivit Azure ingestované do tabulky AzureActivity odpovídají indikátory IPv4 přímo z CallerIpAddress pole.

Určení priorit incidentu vygenerovaného odpovídajícími analýzami

Pokud analýza Microsoftu najde shodu, všechny vygenerované výstrahy se seskupí do incidentů.

Ke třídění incidentů generovaných pravidlem analýzy Analýza hrozeb v programu Microsoft Defender použijte následující postup:

1. V pracovním prostoru Služby Microsoft Sentinel, kde jste povolili pravidlo Analýza hrozeb v programu Microsoft Defender Analytics, vyberte Incidenty a vyhledejte Analýza hrozeb v programu Microsoft Defender Analytics.

   Všechny nalezené incidenty se zobrazí v mřížce.

2. Pokud chcete zobrazit entity a další podrobnosti o incidentu, například konkrétní výstrahy, vyberte Zobrazit úplné podrobnosti .

   Příklad:

   

3. Sledujte závažnost přiřazenou výstrahě a incidentu. V závislosti na tom, jak se ukazatel shoduje, je k upozornění přiřazena příslušná závažnost.InformationalHigh Pokud se například indikátor shoduje s protokoly brány firewall, které provoz povolily, vygeneruje se výstraha s vysokou závažností. Pokud byl stejný indikátor spárován s protokoly brány firewall, které blokovaly provoz, vygenerovaná výstraha by byla nízká nebo střední.

   Výstrahy se pak seskupí podle pozorovatelného ukazatele. Například všechny výstrahy vygenerované v 24hodinovém časovém období, které odpovídají contoso.com doméně, jsou seskupené do jednoho incidentu se závažností přiřazenou na základě nejvyšší závažnosti výstrahy.

4. Prohlédněte si podrobnosti o indikátoru. Když se najde shoda, indikátor se publikuje do tabulky Log Analytics ThreatIntelligenceIndicators a zobrazí se na stránce Analýza hrozeb. Pro všechny indikátory publikované z tohoto pravidla se zdroj definuje jako Analýza hrozeb v programu Microsoft Defender Analytics.

Například v tabulce ThreatIntelligenceIndicators :

Na stránce Analýza hrozeb:

Získání dalšího kontextu z Analýza hrozeb v programu Microsoft Defender

Spolu s upozorněními a incidenty s vysokou věrností obsahují některé indikátory MDTI odkaz na referenční článek na portálu komunity MDTI.

Další informace najdete na portálu MDTI a co je Analýza hrozeb v programu Microsoft Defender?

Související obsah

V tomto článku jste zjistili, jak propojit analýzu hrozeb vytvořenou Microsoftem za účelem generování výstrah a incidentů. Další informace o analýze hrozeb v Microsoft Sentinelu najdete v následujících článcích:

• Práce s indikátory hrozeb v Microsoft Sentinelu
• Připojení Microsoft Sentinelu Informační kanály ANALÝZY hrozeb STIX/TAXII.
• Připojení platformy analýzy hrozeb pro Microsoft Sentinel.
• Podívejte se, které platformy TIP, informační kanály TAXII a rozšiřování je možné snadno integrovat s Microsoft Sentinelem.