Sdílet prostřednictvím

Použití odpovídající analýzy k detekci hrozeb

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Využijte výhod analýzy hrozeb vytvořené Microsoftem k vygenerování vysoce věrných výstrah a incidentů pomocí pravidla Analýza hrozeb v programu Microsoft Defender Analytics. Toto integrované pravidlo v Microsoft Sentinelu odpovídá indikátorům s protokoly CEF (Common Event Format), událostmi DNS systému Windows s indikátory hrozeb domén a protokolu IPv4, daty syslogu a dalšími.

Důležité

Odpovídající analýzy jsou aktuálně ve verzi Preview. Další právní podmínky, které se vztahují na funkce Azure v beta verzi, preview nebo které ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Požadavky

Abyste mohli vytvářet vysoce věrná upozornění a incidenty, musíte nainstalovat jeden nebo více podporovaných datových konektorů. Licence premium Analýza hrozeb v programu Microsoft Defender se nevyžaduje. Nainstalujte příslušná řešení z centra obsahu pro připojení těchto zdrojů dat:

  • CEF (Common Event Format)
  • DNS (Preview)
  • Syslog
  • Protokoly aktivit Office
  • Protokoly aktivit Azure
  • Protokoly DNS ASIM
  • Relace sítě ASIM

Snímek obrazovky znázorňující připojení ke zdroji dat Analýza hrozeb v programu Microsoft Defender Analytics

V závislosti na zdroji dat můžete například použít následující řešení a datové konektory:

Řešení Datový konektor
Běžné řešení formátu událostí pro Sentinel Konektor Common Event Format pro Microsoft Sentinel
Windows Server DNS Konektor DNS pro Microsoft Sentinel
Řešení Syslog pro Sentinel Konektor Syslog pro Microsoft Sentinel
Řešení Microsoft 365 pro Sentinel Konektor Office 365 pro Microsoft Sentinel
Řešení aktivit Azure pro Sentinel Konektor aktivit Azure pro Microsoft Sentinel

Konfigurace odpovídajícího analytického pravidla

Při povolení pravidla Analýza hrozeb v programu Microsoft Defender Analytics se konfiguruje odpovídající analýza.

  1. V části Konfigurace vyberte nabídku Analýza.

  2. Vyberte kartu Šablony pravidel.

  3. Do vyhledávacího okna zadejte analýzu hrozeb.

  4. Vyberte šablonu pravidla Analýza hrozeb v programu Microsoft Defender Analytics.

  5. Vyberte Vytvořit pravidlo. Podrobnosti pravidla jsou jen pro čtení a výchozí stav pravidla je povolený.

  6. Vyberte Zkontrolovat>vytvoření.

Snímek obrazovky znázorňující pravidlo Analýza hrozeb v programu Microsoft Defender Analytics povolené na kartě Aktivní pravidla

Zdroje dat a indikátory

Analýza hrozeb v programu Microsoft Defender Analytics odpovídá vašim protokolům s indikátory domény, IP adresy a adresy URL následujícími způsoby:

  • Protokoly CEF ingestované do tabulky Log Analytics CommonSecurityLog se shodují s adresou URL a indikátory domény, pokud jsou v RequestURL poli vyplněné, a indikátory protokolu IPv4 v DestinationIP poli.
  • Protokoly DNS systému Windows, kde SubType == "LookupQuery" ingestované do DnsEvents tabulky odpovídají indikátory domény vyplněné v Name poli a indikátory IPv4 v IPAddresses poli.
  • Události Syslogu, ve kterých Facility == "cron" se ingestované do Syslog tabulky shoduje s indikátory domény a IPv4 přímo z SyslogMessage pole.
  • Protokoly aktivit Office ingestované do OfficeActivity tabulky odpovídají indikátory IPv4 přímo z ClientIP pole.
  • Protokoly aktivit Azure ingestované do AzureActivity tabulky odpovídají indikátory IPv4 přímo z CallerIpAddress pole.
  • Protokoly DNS ASIM ingestované do ASimDnsActivityLogs tabulky odpovídají indikátory domény, pokud jsou v poli vyplněné DnsQuery , a indikátory IPv4 v DnsResponseName poli.
  • Relace sítě ASIM přijaté do ASimNetworkSessionLogs tabulky odpovídají indikátory protokolu IPv4, pokud jsou vyplněny v jednom nebo několika následujících polích: DstIpAddr, , DstNatIpAddrSrcNatIpAddr, SrcIpAddr, DvcIpAddr.

Určení priorit incidentu vygenerovaného odpovídajícími analýzami

Pokud analýza Microsoftu najde shodu, všechny vygenerované výstrahy se seskupí do incidentů.

Ke třídění incidentů generovaných pravidlem analýzy Analýza hrozeb v programu Microsoft Defender použijte následující postup:

  1. V pracovním prostoru Služby Microsoft Sentinel, kde jste povolili pravidlo Analýza hrozeb v programu Microsoft Defender Analytics, vyberte Incidenty a vyhledejte Analýza hrozeb v programu Microsoft Defender Analytics.

    Všechny nalezené incidenty se zobrazí v mřížce.

  2. Pokud chcete zobrazit entity a další podrobnosti o incidentu, například konkrétní výstrahy, vyberte Zobrazit úplné podrobnosti .

    Následuje příklad.

    Snímek obrazovky incidentu vygenerovaného odpovídající analýzou s podoknem podrobností

  3. Sledujte závažnost přiřazenou výstrahě a incidentu. V závislosti na tom, jak se ukazatel shoduje, je k upozornění přiřazena příslušná závažnost.Informational High Pokud se například indikátor shoduje s protokoly brány firewall, které provoz povolily, vygeneruje se výstraha s vysokou závažností. Pokud se stejný indikátor shodoval s protokoly brány firewall, které blokovaly provoz, je vygenerovaná výstraha nízká nebo střední.

    Výstrahy se pak seskupí podle pozorovatelného ukazatele. Například všechny výstrahy vygenerované v 24hodinovém časovém období, které odpovídají contoso.com doméně, jsou seskupené do jednoho incidentu se závažností přiřazenou na základě nejvyšší závažnosti výstrahy.

  4. Sledujte informace o indikátoru. Když se najde shoda, indikátor se publikuje do tabulky Log Analytics ThreatIntelligenceIndicators a zobrazí se na stránce Analýza hrozeb. Pro všechny indikátory publikované z tohoto pravidla se zdroj definuje jako Analýza hrozeb v programu Microsoft Defender Analytics.

Tady je příklad ThreatIntelligenceIndicators tabulky.

Snímek obrazovky znázorňující tabulku ThreatIntelligenceIndicator zobrazující indikátor se zdrojem Microsoft Threat Intelligence Analytics

Tady je příklad stránky Analýza hrozeb.

Snímek obrazovky znázorňující přehled analýzy hrozeb s vybraným indikátorem, který zobrazuje zdroj jako Microsoft Threat Intelligence Analytics

Získání dalšího kontextu z Analýza hrozeb v programu Microsoft Defender

Některé indikátory Analýza hrozeb v programu Microsoft Defender obsahují odkaz na referenční článek na portálu komunity Analýza hrozeb v programu Microsoft Defender spolu s vysoce věrnými výstrahami a incidenty.

Snímek obrazovky znázorňující incident s odkazem na referenční článek Analýza hrozeb v programu Microsoft Defender

Další informace najdete v tématu Co je Analýza hrozeb v programu Microsoft Defender?.

Související obsah

V tomto článku jste zjistili, jak propojit analýzu hrozeb vytvořenou Microsoftem za účelem generování výstrah a incidentů. Další informace o analýze hrozeb v Microsoft Sentinelu najdete v následujících článcích: