Použití indikátorů hrozeb v analytických pravidlech

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Power your analytics rules with your threat indicators to automatically generate alerts based on the threat intelligence you'integrated.

Požadavky

• Indikátory hrozeb. Můžou to být informační kanály analýzy hrozeb, platformy analýzy hrozeb, hromadný import z plochého souboru nebo ruční vstup.

• Zdroje dat. Události z datových konektorů musí probíhat do pracovního prostoru služby Sentinel.

• Analytické pravidlo formátu "TI map..." které můžou mapovat indikátory hrozeb, které máte, s událostmi, které jste ingestovali.

Konfigurace pravidla pro generování výstrah zabezpečení

Níže je příklad povolení a konfigurace pravidla pro generování výstrah zabezpečení pomocí indikátorů hrozeb, které jste naimportovali do Služby Microsoft Sentinel. V tomto příkladu použijte šablonu pravidla s názvem ENTITA TI map IP na AzureActivity. Toto pravidlo bude odpovídat jakémukoli indikátoru hrozby typu IP adresy se všemi událostmi vaší aktivity Azure. Když se najde shoda, vygeneruje se výstraha spolu s odpovídajícím incidentem pro šetření týmem operací zabezpečení. Toto konkrétní analytické pravidlo vyžaduje konektor dat aktivit Azure (k importu událostí na úrovni předplatného Azure) a jeden nebo oba datové konektory analýzy hrozeb (k importu indikátorů hrozeb). Toto pravidlo se aktivuje také z importovaných indikátorů nebo ručně vytvořených indikátorů.

1. Na webu Azure Portal přejděte do služby Microsoft Sentinel .

2. Zvolte pracovní prostor, do kterého jste importovali indikátory hrozeb pomocí datových konektorů analýzy hrozeb a dat aktivit Azure pomocí datového konektoru aktivit Azure.

3. V části Konfigurace nabídky Microsoft Sentinel vyberte Analýza.

4. Výběrem karty Šablony pravidel zobrazíte seznam dostupných šablon analytických pravidel.

5. Najděte entitu IP s názvem TI mapovanou na AzureActivity a ujistěte se, že jste připojili všechny požadované zdroje dat, jak je znázorněno níže.

   

6. Vyberte entitu IP mapování TI na pravidlo AzureActivity a pak výběrem možnosti Vytvořit pravidlo otevřete průvodce konfigurací pravidla. Nakonfigurujte nastavení v průvodci a pak vyberte Další: Nastavit logiku >pravidla .

   

7. Část průvodce logiky pravidla byla předem vyplněna následujícími položkami:

   • Dotaz, který se použije v pravidle.

   • Mapování entit, které microsoft Sentinelu říkají, jak rozpoznávat entity, jako jsou účty, IP adresy a adresy URL, aby incidenty a šetření pochopili, jak pracovat s daty v jakýchkoli výstrahách zabezpečení generovaných tímto pravidlem.

   • Plán spuštění tohoto pravidla.

   • Počet výsledků dotazu potřebných před vygenerování výstrahy zabezpečení

   Výchozí nastavení v šabloně jsou:

   • Spusťte jednou za hodinu.

   • Porovná všechny indikátory hrozeb IP adres z tabulky ThreatIntelligenceIndicator s libovolnou IP adresou nalezenou v poslední hodině událostí z tabulky AzureActivity .

   • Pokud jsou výsledky dotazu větší než nula, vygenerujte výstrahu zabezpečení, což znamená, že jsou nalezeny nějaké shody.

   • Pravidlo je povolené.

   Můžete ponechat výchozí nastavení nebo je změnit tak, aby splňovaly vaše požadavky, a nastavení generování incidentů můžete definovat na kartě Nastavení incidentu. Další informace najdete v tématu Vytvoření vlastních analytických pravidel pro detekci hrozeb. Až budete hotovi, vyberte kartu Automatizovaná odpověď .

8. Nakonfigurujte jakoukoli automatizaci, kterou chcete aktivovat, když se z tohoto analytického pravidla vygeneruje výstraha zabezpečení. Automatizace v Microsoft Sentinelu se provádí pomocí kombinací pravidel automatizace a playbooků využívajících Azure Logic Apps. Další informace najdete v tomto kurzu: Použití playbooků s pravidly automatizace v Microsoft Sentinelu. Až budete hotovi, pokračujte výběrem tlačítka Další: Zkontrolovat > .

9. Když se zobrazí zpráva, že ověření pravidla proběhlo úspěšně, vyberte tlačítko Vytvořit a jste hotovi.

Kontrola pravidel

Najděte povolená pravidla na kartě Aktivní pravidla v části Analýza služby Microsoft Sentinel. Upravte, povolte, zakažte, duplikujte nebo odstraňte aktivní pravidlo. Nové pravidlo se spustí okamžitě po aktivaci a pak se spustí podle definovaného plánu.

Podle výchozích nastavení se při každém spuštění pravidla podle plánu vygenerují všechny nalezené výsledky výstrahy zabezpečení. Výstrahy zabezpečení ve službě Microsoft Sentinel lze zobrazit v části Protokoly služby Microsoft Sentinel v tabulce SecurityAlert ve skupině Microsoft Sentinel.

Výstrahy vygenerované z analytických pravidel v Microsoft Sentinelu generují také incidenty zabezpečení, které najdete v incidentech pod správou hrozeb v nabídce Microsoft Sentinel. Incidenty jsou to, co týmy pro provoz zabezpečení určí a prošetří, aby určily příslušné akce reakce. Podrobné informace najdete v tomto kurzu: Zkoumání incidentů pomocí služby Microsoft Sentinel.

Poznámka:

Vzhledem k tomu, že analytické pravidla omezují vyhledávání nad rámec 14 dnů, Microsoft Sentinel aktualizuje indikátory každých 12 dnů, aby bylo zajištěno, že jsou dostupné pro odpovídající účely prostřednictvím analytických pravidel.

Související obsah

V tomto článku jste zjistili, jak pomocí indikátorů analýzy hrozeb detekovat hrozby. Další informace o analýze hrozeb v Microsoft Sentinelu najdete v následujících článcích:

• Práce s indikátory hrozeb v Microsoft Sentinelu
• Připojení Microsoft Sentinelu Informační kanály ANALÝZY hrozeb STIX/TAXII.
• Připojení platformy analýzy hrozeb pro Microsoft Sentinel.
• Podívejte se, které platformy TIP, informační kanály TAXII a rozšiřování je možné snadno integrovat s Microsoft Sentinelem.