Použití odpovídající analýzy k detekci hrozeb
Využijte výhod analýzy hrozeb vytvořené Microsoftem k vygenerování vysoce věrných výstrah a incidentů pomocí pravidla Analýza hrozeb v programu Microsoft Defender Analytics. Toto integrované pravidlo v Microsoft Sentinelu odpovídá indikátorům s protokoly CEF (Common Event Format), událostmi DNS systému Windows s indikátory hrozeb domén a protokolu IPv4, daty syslogu a dalšími.
Důležité
Odpovídající analýzy jsou aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.
Požadavky
Aby bylo možné vytvářet vysoce věrná upozornění a incidenty, musí být nainstalován jeden nebo více podporovaných datových konektorů, ale licence MDTI úrovně Premium se nevyžaduje. Nainstalujte příslušná řešení z centra obsahu pro připojení těchto zdrojů dat.
- Common Event Format (CEF)
- DNS (Preview)
- Syslog
- Protokoly aktivit Office
- Protokoly aktivit Azure
V závislosti na zdroji dat můžete například použít následující řešení a datové konektory.
Konfigurace odpovídajícího analytického pravidla
Při povolení pravidla Analýza hrozeb v programu Microsoft Defender Analytics se konfiguruje odpovídající analýza.
V části Konfigurace klikněte na nabídku Analýza.
Vyberte kartu nabídky Šablony pravidel.
Do vyhledávacího okna zadejte analýzu hrozeb.
Vyberte šablonu pravidla Analýza hrozeb v programu Microsoft Defender Analytics.
Klikněte na Vytvořit pravidlo. Podrobnosti pravidla jsou jen pro čtení a výchozí stav pravidla je povolený.
Klikněte na Zkontrolovat>vytvoření.
Zdroje dat a indikátory
analýza Analýza hrozeb v programu Microsoft Defender (MDTI) odpovídá vašim protokolům s indikátory domény, IP adresy a adresy URL následujícím způsobem:
Protokoly CEF ingestované do tabulky Log Analytics CommonSecurityLog odpovídají adrese URL a indikátory domény, pokud jsou v poli vyplněné
RequestURL
, a indikátory IPv4 vDestinationIP
poli.Protokoly DNS systému Windows, ve kterých se události
SubType == "LookupQuery"
ingestované do tabulky DnsEvents shodují s indikátory domény vyplněnými vName
poli, a indikátory IPv4 vIPAddresses
poli.Události Syslogu , které
Facility == "cron"
se ingestují do tabulky Syslog , odpovídají doméně a indikátory IPv4 přímo zSyslogMessage
pole.Protokoly aktivit Office ingestované do tabulky OfficeActivity odpovídají indikátory IPv4 přímo z
ClientIP
pole.Protokoly aktivit Azure ingestované do tabulky AzureActivity odpovídají indikátory IPv4 přímo z
CallerIpAddress
pole.
Určení priorit incidentu vygenerovaného odpovídajícími analýzami
Pokud analýza Microsoftu najde shodu, všechny vygenerované výstrahy se seskupí do incidentů.
Ke třídění incidentů generovaných pravidlem analýzy Analýza hrozeb v programu Microsoft Defender použijte následující postup:
V pracovním prostoru Služby Microsoft Sentinel, kde jste povolili pravidlo Analýza hrozeb v programu Microsoft Defender Analytics, vyberte Incidenty a vyhledejte Analýza hrozeb v programu Microsoft Defender Analytics.
Všechny nalezené incidenty se zobrazí v mřížce.
Pokud chcete zobrazit entity a další podrobnosti o incidentu, například konkrétní výstrahy, vyberte Zobrazit úplné podrobnosti .
Příklad:
Sledujte závažnost přiřazenou výstrahě a incidentu. V závislosti na tom, jak se ukazatel shoduje, je k upozornění přiřazena příslušná závažnost.
Informational
High
Pokud se například indikátor shoduje s protokoly brány firewall, které provoz povolily, vygeneruje se výstraha s vysokou závažností. Pokud byl stejný indikátor spárován s protokoly brány firewall, které blokovaly provoz, vygenerovaná výstraha by byla nízká nebo střední.Výstrahy se pak seskupí podle pozorovatelného ukazatele. Například všechny výstrahy vygenerované v 24hodinovém časovém období, které odpovídají
contoso.com
doméně, jsou seskupené do jednoho incidentu se závažností přiřazenou na základě nejvyšší závažnosti výstrahy.Prohlédněte si podrobnosti o indikátoru. Když se najde shoda, indikátor se publikuje do tabulky Log Analytics ThreatIntelligenceIndicators a zobrazí se na stránce Analýza hrozeb. Pro všechny indikátory publikované z tohoto pravidla se zdroj definuje jako Analýza hrozeb v programu Microsoft Defender Analytics.
Například v tabulce ThreatIntelligenceIndicators :
Na stránce Analýza hrozeb:
Získání dalšího kontextu z Analýza hrozeb v programu Microsoft Defender
Spolu s upozorněními a incidenty s vysokou věrností obsahují některé indikátory MDTI odkaz na referenční článek na portálu komunity MDTI.
Další informace najdete na portálu MDTI a co je Analýza hrozeb v programu Microsoft Defender?
Související obsah
V tomto článku jste zjistili, jak propojit analýzu hrozeb vytvořenou Microsoftem za účelem generování výstrah a incidentů. Další informace o analýze hrozeb v Microsoft Sentinelu najdete v následujících článcích:
- Práce s indikátory hrozeb v Microsoft Sentinelu
- Připojení Microsoft Sentinelu Informační kanály ANALÝZY hrozeb STIX/TAXII.
- Připojení platformy analýzy hrozeb pro Microsoft Sentinel.
- Podívejte se, které platformy TIP, informační kanály TAXII a rozšiřování je možné snadno integrovat s Microsoft Sentinelem.