Vytvoření vlastních pravidel detekce

Důležité

Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.

Vlastní pravidla detekce jsou pravidla, která navrhujete a vylepšujete pomocí pokročilých dotazů proaktivního vyhledávání . Tato pravidla umožňují proaktivně monitorovat různé události a stavy systému, včetně podezřelých aktivit porušení zabezpečení a chybně nakonfigurovaných koncových bodů. Můžete je nastavit tak, aby se spouštěly v pravidelných intervalech a generovaly výstrahy a při každém shodách se chovaly akce odpovědi.

Požadovaná oprávnění pro správu vlastních detekcí

Důležité

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Ke správě vlastních detekcí potřebujete role, které vám umožní spravovat data, na která tato detekce cílí. Pokud například chcete spravovat vlastní detekce u více zdrojů dat (Microsoft Defender XDR a Microsoft Sentinel nebo více úloh Defenderu), potřebujete všechny příslušné role Defender XDR a Sentinel. Další informace najdete v následujících částech.

Microsoft Defender XDR

Pokud chcete spravovat vlastní detekce Microsoft Defender XDR dat, musíte mít přiřazenou jednu z těchto rolí:

• Nastavení zabezpečení (správa) – Uživatelé s tímto oprávněním Microsoft Defender XDR můžou spravovat nastavení zabezpečení na portálu Microsoft Defender.

• Správce zabezpečení – Uživatelé s touto rolí Microsoft Entra můžou spravovat nastavení zabezpečení na portálu Microsoft Defender a dalších portálech a službách.

• Operátor zabezpečení – uživatelé s touto rolí Microsoft Entra můžou spravovat výstrahy a mít globální přístup jen pro čtení k funkcím souvisejícím se zabezpečením, včetně všech informací na portálu Microsoft Defender. Tato role je dostatečná pro správu vlastních detekcí pouze v případě, že je v Microsoft Defender for Endpoint vypnuté řízení přístupu na základě role (RBAC). Pokud máte nakonfigurovaný RBAC, potřebujete také oprávnění Spravovat nastavení zabezpečení pro Defender for Endpoint.

Pokud pro ně máte správná oprávnění, můžete spravovat vlastní zjišťování, která se vztahují na data z konkrétních Defender XDR řešení. Pokud máte například oprávnění ke správě jenom pro Microsoft Defender pro Office 365, můžete vytvářet vlastní detekce pomocí Email* tabulek, ale ne Identity* tabulek.

Stejně tak vzhledem k tomu, že IdentityLogonEvents tabulka obsahuje informace o ověřovací aktivitě z Microsoft Defender for Cloud Apps i defenderu pro identitu, musíte mít oprávnění ke správě obou služeb, abyste mohli spravovat vlastní detekce dotazující se na danou tabulku.

Poznámka

Pokud chcete spravovat vlastní detekce, musí mít operátoři zabezpečení oprávnění Spravovat nastavení zabezpečení v Microsoft Defender for Endpoint, pokud je zapnutý RBAC.

Microsoft Sentinel

Pokud chcete spravovat vlastní detekce Microsoft Sentinel dat, musíte mít přiřazenou roli přispěvatele Microsoft Sentinel. Uživatelé s touto rolí Azure můžou spravovat data pracovního prostoru Microsoft Sentinel SIEM, včetně výstrah a detekcí. Tuto roli můžete přiřadit konkrétnímu primárnímu pracovnímu prostoru, Azure skupině prostředků nebo celému předplatnému.

Správa požadovaných oprávnění

Pokud chcete spravovat požadovaná oprávnění, může globální správce:

• V části Role>Správce zabezpečení přiřaďte roli Správce zabezpečení nebo Operátor zabezpečení v Centrum pro správu Microsoftu 365.

• Zkontrolujte nastavení RBAC pro Microsoft Defender for Endpoint v Microsoft Defender XDR v části Nastavení>Role oprávnění>. Vyberte odpovídající roli a přiřaďte oprávnění ke správě nastavení zabezpečení .

Poznámka

Aby uživatel mohl pokračovat, musí mít také příslušná oprávnění pro zařízení v oboru zařízení vlastního pravidla detekce, které vytváří nebo upravuje. Pokud stejný uživatel nemá oprávnění pro všechna zařízení, nemůže upravit vlastní pravidlo detekce, které má obor spouštění na všech zařízeních.

Vytvoření vlastního pravidla detekce

1. Příprava dotazu

Na portálu Microsoft Defender přejděte do části Rozšířené proaktivní vyhledávání a vyberte existující dotaz nebo vytvořte nový dotaz. Když použijete nový dotaz, spusťte ho, abyste identifikovali chyby a porozuměli možným výsledkům.

Důležité

Aby služba nevrácela příliš mnoho výstrah, může každé pravidlo při každém spuštění vygenerovat jenom 150 výstrah. Před vytvořením pravidla upravte dotaz, abyste se vyhnuli upozorňování na běžnou každodenní aktivitu.

Požadované sloupce ve výsledcích dotazu

Pokud chcete vytvořit vlastní pravidlo detekce pomocí Defender XDR dat, musí dotaz vrátit následující sloupce:

1. Timestamp nebo TimeGenerated – Tento sloupec nastaví časové razítko vygenerovaných výstrah. Dotaz by neměl manipulovat s tímto sloupcem a měl by ho vrátit přesně tak, jak se zobrazuje v nezpracované události.

2. Pro detekce založené na tabulkách XDR sloupec nebo kombinace sloupců, které jedinečně identifikují událost v těchto tabulkách:

   • U Microsoft Defender for Endpoint tabulek se Timestampsloupce , DeviceIda ReportId musí zobrazit ve stejné události.
   • V tabulkách Timestamp Výstraha* se musí zobrazit v události.
   • U tabulek TimestampPozorování* se ObservationId musí objevit ve stejné události.
   • Pro všechny ostatní Timestamp a ReportId musí být zobrazeny ve stejné události

3. Sloupec, který obsahuje silný identifikátor ovlivněného prostředku. Pokud chcete v průvodci automaticky namapovat ovlivněný prostředek, promítejte jeden z následujících sloupců, které obsahují silný identifikátor ovlivněného prostředku:

   • DeviceId
   • DeviceName
   • RemoteDeviceName
   • RecipientEmailAddress
   • SenderFromAddress (odesílatel obálky nebo Return-Path adresa)
   • SenderMailFromAddress (adresa odesílatele zobrazená e-mailovým klientem)
   • SenderObjectId
   • RecipientObjectId
   • AccountObjectId
   • AccountSid
   • AccountUpn
   • InitiatingProcessAccountSid
   • InitiatingProcessAccountUpn
   • InitiatingProcessAccountObjectId

Poznámka

Při přidávání nových tabulek do schématu rozšířeného proaktivního vyhledávání bude přidána podpora pro další entity.

Jednoduché dotazy, například ty, které nepoužívají project operátor nebo summarize k přizpůsobení nebo agregaci výsledků, obvykle vrátí tyto běžné sloupce.

Existují různé způsoby, jak zajistit, aby složitější dotazy vrátily tyto sloupce. Pokud například dáváte přednost agregaci a počítání podle entity ve sloupci, jako DeviceIdje , můžete se vrátit Timestamp a ReportId získat je z nejnovější události zahrnující každou jedinečnou DeviceId.

Důležité

Vyhněte se filtrování vlastních detekcí pomocí Timestamp sloupce. Data použitá pro vlastní detekce jsou předem filtrována na základě frekvence detekce.

Následující ukázkový dotaz spočítá počet jedinečných zařízení (DeviceId) s antivirovými detekcemi a použije ho k vyhledání pouze zařízení s více než pěti detekcemi. Pokud chcete vrátit nejnovější Timestamp a odpovídající ReportId, použije summarize operátor s arg_max funkcí .

DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

Tip

Pro lepší výkon dotazů nastavte časový filtr, který odpovídá zamýšlené frekvenci spuštění pravidla. Vzhledem k tomu, že nejméně časté spouštění je každých 24 hodin, filtrování za poslední den pokrývá všechna nová data.

2. Vytvořte nové pravidlo a uveďte podrobnosti o upozorněních.

Pomocí dotazu v editoru dotazů vyberte Vytvořit pravidlo detekce a zadejte následující podrobnosti upozornění:

• Název detekce – název pravidla detekce; by měla být jedinečná.
• Frekvence – interval pro spuštění dotazu a provedení akce. Další pokyny najdete v části Četnost pravidel.
• Název upozornění – název zobrazený s upozorněními aktivovanými pravidlem. by měl být jedinečný a měl by být ve formátu prostého textu. Řetězce jsou z bezpečnostních důvodů sanitizované, takže nefunguje HTML, Markdown a další kód. Všechny adresy URL zahrnuté v názvu by měly mít formát kódování procent , aby se správně zobrazily.
• Závažnost – potenciální riziko komponenty nebo aktivity identifikované pravidlem.
• Kategorie – součást hrozby nebo aktivita identifikovaná pravidlem.
• MITRE ATT&techniky CK – jedna nebo více technik útoku identifikovaných pravidlem, jak je popsáno v architektuře MITRE ATT&CK. Tato část je pro určité kategorie výstrah, včetně malwaru, ransomwaru, podezřelých aktivit a nežádoucího softwaru, skrytý.
• Sestava analýzy hrozeb – Propojte vygenerovanou výstrahu s existující sestavou analýzy hrozeb, aby se zobrazila na kartě Související incidenty v analýze hrozeb.
• Popis – další informace o komponentě nebo aktivitě identifikované pravidlem. Řetězce jsou z bezpečnostních důvodů sanitizované, takže nefunguje HTML, Markdown a další kód. Všechny adresy URL zahrnuté v popisu by měly odpovídat formátu kódování procent, aby se správně zobrazily.
• Doporučené akce – další akce, které můžou respondující provést v reakci na výstrahu.

Frekvence pravidel

Když uložíte nové pravidlo, spustí se a zkontroluje shody dat za posledních 30 dnů. Pravidlo se pak spustí znovu v pevných intervalech a použije období zpětného vyhledávání na základě zvolené frekvence:

• Každých 24 hodin – spouští se každých 24 hodin a kontroluje data za posledních 30 dnů.
• Každých 12 hodin – spouští se každých 12 hodin a kontroluje data za posledních 48 hodin.
• Každé 3 hodiny – spouští se každé 3 hodiny a kontroluje data za posledních 12 hodin.
• Každou hodinu – běží každou hodinu a kontroluje data za poslední 4 hodiny.
• Nepřetržitý (NRT) – běží nepřetržitě a kontroluje data z událostí, která se shromažďují a zpracovávají téměř v reálném čase (NRT). Viz Frekvence průběžného (NRT).
• Vlastní – spouští se podle vybrané frekvence. Tato možnost je dostupná, pokud je pravidlo založené pouze na datech, která jsou ingestovaná do Microsoft Sentinel, přečtěte si téma Vlastní frekvence pro Microsoft Sentinel data (Preview).

Tip

Porovná filtry času v dotazu s obdobím zpětného vyhledávání. Výsledky mimo období zpětného vyhledávání se ignorují.

Při úpravě pravidla se změny použijí v dalším čase spuštění naplánovaném podle nastavené frekvence. Frekvence pravidel je založená na časovém razítku události, nikoli na čase příjmu dat. Při určitých spuštěních může docházet také k malým zpožděním, kdy nakonfigurovaná frekvence není 100% přesná.

Průběžná frekvence (NRT)

Když nastavíte vlastní detekci tak, aby se spouštěla frekvence průběžného (NRT), zvýší se schopnost vaší organizace rychleji identifikovat hrozby. Použití frekvence průběžného (NRT) má minimální až žádný vliv na využití prostředků, a proto by se mělo vzít v úvahu u všech kvalifikovaných vlastních pravidel detekce ve vaší organizaci.

Na stránce vlastních pravidel detekce můžete migrovat vlastní pravidla detekce, která odpovídají frekvenci průběžného (NRT), pomocí jediného tlačítka Migrovat:

Výběrem možnosti Migrovat teď získáte seznam všech kompatibilních pravidel podle jejich dotazu KQL. Můžete migrovat všechna nebo vybraná pravidla jenom podle svých preferencí:

Jakmile vyberete Uložit, frekvence vybraných pravidel se aktualizuje na průběžnou (NRT) frekvenci.

Dotazy, které můžete spouštět nepřetržitě

Dotaz můžete spouštět nepřetržitě za předpokladu, že:

• Dotaz odkazuje pouze na jednu tabulku.
• Dotaz používá operátor ze seznamu podporovaných funkcí KQL. (V případě matches regexmusí být regulární výrazy kódovány jako řetězcové literály a dodržovat pravidla řetězcových uvozování. Regulární výraz \A je například v KQL reprezentován jako "\\A". Dodatečné zpětné lomítko označuje, že druhé zpětné lomítko je součástí regulárního výrazu \A.)
• Dotaz nepoužívá spojení, sjednocení ani externaldata operátor.
• Dotaz neobsahuje žádné řádky nebo informace o komentářích.

Tabulky, které podporují frekvenci průběžného (NRT)

Detekce téměř v reálném čase jsou podporovány pro následující tabulky:

• AlertEvidence
• CloudAppEvents
• DeviceEvents
• DeviceFileCertificateInfo
• DeviceFileEvents
• DeviceImageLoadEvents
• DeviceLogonEvents
• DeviceNetworkEvents
• DeviceNetworkInfo
• DeviceInfo
• DeviceProcessEvents
• DeviceRegistryEvents
• EmailAttachmentInfo
• EmailEvents (kromě LatestDeliveryLocation sloupců a LatestDeliveryAction )
• EmailPostDeliveryEvents
• EmailUrlInfo
• IdentityDirectoryEvents
• IdentityLogonEvents
• IdentityQueryEvents
• UrlClickEvents

Poznámka

Pouze obecně dostupné sloupce podporují frekvenci průběžného (NRT).

Vlastní frekvence Microsoft Sentinel dat (Preview)

Microsoft Sentinel zákazníci, kteří jsou nasazeni do Microsoft Defender, můžou vybrat Vlastní četnost, pokud je pravidlo založené pouze na datech, která jsou ingestována do Microsoft Sentinel.

Když vyberete tuto možnost četnosti, zobrazí se dotaz Spustit každou vstupní komponentu. Zadejte požadovanou frekvenci pravidla a pomocí rozevíracího seznamu vyberte jednotky: minuty, hodiny nebo dny. Podporovaný rozsah je libovolná hodnota od 5 minut do 14 dnů. Když vyberete frekvenci, období zpětného vyhledávání se určí automaticky pomocí následující logiky:

1. Aby se detekce spouštěly častěji než jednou denně, má zpětné vyhledávání čtyřnásobnou frekvenci. Pokud je například frekvence 20 minut, zpětné vyhledávání je 80 minut.
2. Pro zjišťování nastavená tak, aby se spouštěla jednou denně nebo méně často, je zpětná vazba 30 dnů. Pokud je například nastaveno spouštění každé tři dny, bude zpětné hledání 30 dnů.

Důležité

Když vyberete vlastní frekvenci, načteme vaše data z Microsoft Sentinel. To znamená, že:

1. V Microsoft Sentinel musíte mít k dispozici data.
2. Defender XDR data nepodporují vymezení rozsahu, protože Microsoft Sentinel nepodporuje vymezení rozsahu.

3. Definování podrobností o rozšíření výstrah

Výstrahy můžete rozšířit tím, že poskytnete a definujete další podrobnosti, což vám umožní:

• Vytvoření názvu a popisu dynamického upozornění
• Přidání vlastních podrobností , které se zobrazí na bočním panelu upozornění
• Propojení entit

Vytvoření názvu a popisu dynamického upozornění (Preview)

Pomocí výsledků dotazu můžete dynamicky vytvořit název a popis upozornění, aby byly přesné a orientační. Tato funkce může zvýšit efektivitu analytiků SOC při třídění výstrah a incidentů a při pokusu o rychlé pochopení podstaty upozornění.

Pokud chcete dynamicky nakonfigurovat název nebo popis výstrahy, integrujte je do části Podrobnosti výstrahy pomocí volných textových názvů sloupců, které jsou k dispozici ve výsledcích dotazu, a obklopte je dvojitými složenými závorkami.

Například: User {{AccountName}} unexpectedly signed in from {{Location}}

Poznámka

Počet sloupců, na které můžete v jednotlivých polích odkazovat, je omezený na tři.

Pokud chcete zjistit přesné názvy sloupců, na které chcete odkazovat, můžete vybrat Prozkoumat dotaz a výsledky. Tím se nad průvodce vytvořením pravidla otevře podokno rozšířeného kontextu proaktivního vyhledávání, kde můžete prozkoumat logiku dotazu a její výsledky.

Přidání vlastních podrobností (Preview)

Produktivitu analytiků SOC můžete dále zvýšit zobrazením důležitých podrobností na bočním panelu upozornění. Data událostí můžete zobrazit ve výstrahách vytvořených z těchto událostí. Tato funkce poskytuje analytikům SOC okamžitý přehled o jejich incidentech a umožňuje jim rychleji analyzovat, zkoumat a vyvozovat závěry.

V části Vlastní podrobnosti přidejte páry klíč-hodnota odpovídající podrobnostem, které chcete zobrazit:

• Do pole Klíč zadejte název podle svého výběru, který se zobrazí jako název pole ve výstrahách.
• V poli Parametr zvolte v rozevíracím seznamu parametr události, který chcete zobrazit ve výstrahách. Tento seznam se naplní hodnotami odpovídajícími názvům sloupců, které jsou výstupem dotazu KQL.

Následující snímek obrazovky ukazuje, jak se na bočním panelu upozornění zobrazují vlastní podrobnosti:

Důležité

Vlastní podrobnosti mají následující omezení:

1. Každé pravidlo je omezeno až na 20 párů klíč/hodnota s vlastními podrobnostmi.
2. Kombinovaný limit velikosti všech vlastních podrobností a jejich hodnot v jedné výstraze je 4 kB. Pokud pole vlastních podrobností tento limit překročí, celé pole vlastních podrobností se z výstrahy vyřadí.

Propojení entit

Identifikujte sloupce ve výsledcích dotazu, u kterých očekáváte, že najdete hlavní ovlivněnou nebo ovlivněnou entitu. Dotaz může například vrátit adresy odesílatele (SenderFromAddress nebo SenderMailFromAddress) a příjemce (RecipientEmailAddress). Identifikace, které z těchto sloupců představují hlavní ovlivněnou entitu, pomáhá službě agregovat relevantní výstrahy, korelovat incidenty a cílové akce odpovědi.

Pro každý typ entity (poštovní schránka, uživatel nebo zařízení) můžete vybrat jenom jeden sloupec. Nemůžete vybrat sloupce, které dotaz nevrátí.

Rozšířené mapování entit (Preview)

S upozorněními můžete propojit širokou škálu typů entit. Propojení dalších entit pomáhá našemu modulu korelace seskupovat výstrahy na stejné incidenty a vzájemně korelovat incidenty. Pokud jste zákazníkem Microsoft Sentinel, znamená to také, že můžete namapovat libovolnou entitu ze zdrojů dat třetích stran, které jsou ingestované do Microsoft Sentinel.

U Microsoft Defender XDR dat se entity vyberou automaticky. Pokud data pocházejí z Microsoft Sentinel, musíte entity vybrat ručně.

Poznámka

Entity mají vliv na to, jak se výstrahy seskupují do incidentů, proto je nezapomeňte pečlivě zkontrolovat, abyste zajistili vysokou kvalitu incidentů. Přečtěte si další informace o korelaci incidentů a seskupení upozornění.

V rozbalené části Mapování entit jsou dvě části, pro které můžete vybrat entity:

• Ovlivněné prostředky – Přidejte ovlivněné prostředky, které se zobrazí ve vybraných událostech. Je možné přidat následující typy prostředků:
  • Účet
  • Device
  • Poštovní schránky
  • Cloudová aplikace
  • Azure prostředek
  • Prostředek Amazon Web Services
  • Prostředek Google Cloud Platform
• Související důkazy – Přidejte nesesestavy, které se objeví ve vybraných událostech. Podporované typy entit jsou:
  • Proces
  • Soubor
  • Hodnota registru
  • IP adresa
  • Aplikace OAuth
  • DNS
  • Skupina zabezpečení
  • URL
  • Poštovní cluster
  • Poštovní zpráva

Poznámka

V současné době můžete prostředky mapovat pouze jako ovlivněné entity.

Po výběru typu entity vyberte typ identifikátoru, který existuje ve vybraných výsledcích dotazu, aby se mohl použít k identifikaci této entity. Každý typ entity má seznam podporovaných identifikátorů, jak je znázorněno v příslušné rozevírací nabídce. Přečtěte si popis zobrazený při najetí myší na jednotlivé identifikátory, abyste ho lépe porozuměli.

Po výběru identifikátoru vyberte sloupec z výsledků dotazu, který obsahuje vybraný identifikátor. Výběrem možnosti Prozkoumat dotaz a výsledky otevřete panel rozšířeného proaktivního kontextu. Tato možnost umožňuje prozkoumat dotaz a výsledky a ujistit se, že pro vybraný identifikátor zvolíte správný sloupec.

4. Určení akcí

Pokud vaše vlastní pravidlo zjišťování používá Defender XDR data, může automaticky provádět akce na zařízeních, souborech, uživatelích nebo e-mailech, které dotaz vrátí.

Akce na zařízeních

U zařízení ve sloupci DeviceId výsledků dotazu se použijí tyto akce:

• Izolace zařízení – používá Microsoft Defender for Endpoint k použití úplné izolace sítě, která brání zařízení v připojení k jakékoli aplikaci nebo službě. Přečtěte si další informace o Microsoft Defender for Endpoint izolaci počítače.
• Shromáždit balíček pro šetření – shromažďuje informace o zařízení v souboru ZIP. Přečtěte si další informace o balíčku pro šetření Microsoft Defender for Endpoint.
• Spustit antivirovou kontrolu – Provede úplnou Microsoft Defender antivirovou kontrolu na zařízení.
• Zahájit šetření – Zahájí automatizované šetření na zařízení.
• Omezení spouštění aplikací – Nastaví omezení zařízení tak, aby se mohly spouštět jenom soubory podepsané certifikátem vydaným Microsoftem. Přečtěte si další informace o omezeních aplikací s Microsoft Defender for Endpoint.

Akce se soubory

• Pokud je tato možnost vybrána, můžete u souboru použít akci Povolit/Blokovat . Blokující soubory jsou povolené jenom v případě, že máte oprávnění k nápravě souborů a pokud výsledky dotazu identifikovaly ID souboru, například SHA1. Jakmile je soubor zablokovaný, zablokují se také další instance stejného souboru na všech zařízeních. Můžete určit, na kterou skupinu zařízení se blokování použije, ale ne na konkrétní zařízení.

• Pokud je tato možnost vybrána, můžete akci Umístit soubor do karantény použít u souborů ve SHA1sloupci , InitiatingProcessSHA1SHA256, nebo InitiatingProcessSHA256 ve výsledcích dotazu. Tato akce odstraní soubor z aktuálního umístění a umístí kopii do karantény.

Akce u uživatelů

• Pokud je tato možnost vybrána, provede se u uživatelů ve AccountObjectIdsloupci , InitiatingProcessAccountObjectIdnebo RecipientObjectId ve výsledcích dotazu akce Označit uživatele jako ohroženého uživatele. Tato akce nastaví úroveň rizika uživatelů v Microsoft Entra ID na "vysokou" a aktivuje odpovídající zásady ochrany identit.

• Pokud chcete uživateli dočasně zabránit v přihlášení, vyberte Zakázat uživatele .

• Výběrem možnosti Vynutit resetování hesla zobrazíte uživateli výzvu ke změně hesla při další přihlašovací relaci.

• Disable user Obě možnosti a Force password reset vyžadují identifikátor SID uživatele, který je ve sloupcích AccountSid, InitiatingProcessAccountSid, RequestAccountSida OnPremSid.

Další informace o akcích uživatelů najdete v tématu Akce nápravy v Microsoft Defender for Identity.

Akce u e-mailů

• Pokud vlastní zjišťování obsahuje e-mailové zprávy, můžete vybrat Přesunout do složky poštovní schránky a přesunout e-mail do vybrané složky (do libovolné složky Nevyžádaná pošta, Doručená pošta nebo Odstraněná pošta ). Konkrétně můžete přesunout výsledky e-mailů z položek v karanténě (například v případě falešně pozitivních výsledků) výběrem možnosti Doručená pošta .

  

• Případně můžete vybrat Odstranit e-maily a pak buď přesunout e-maily do složky Odstraněná pošta (obnovitelné odstranění), nebo vybrané e-maily trvale odstranit (pevné odstranění).

Sloupce NetworkMessageId a RecipientEmailAddress musí být ve výsledcích výstupu dotazu, aby bylo možné u e-mailových zpráv použít akce.

5. Nastavení oboru pravidla

Nastavte obor a určete, na která zařízení se pravidlo vztahuje. Obor ovlivňuje pravidla, která kontrolují zařízení, a neovlivňuje pravidla, která kontrolují jenom poštovní schránky a uživatelské účty nebo identity.

Při nastavování oboru můžete vybrat:

• Všechna zařízení
• Konkrétní skupiny zařízení

Pravidlo dotazuje data jenom ze zařízení v oboru. Akce provádí pouze na těchto zařízeních.

Poznámka

Uživatelé můžou vytvořit nebo upravit vlastní pravidlo detekce jenom v případě, že mají odpovídající oprávnění pro zařízení zahrnutá v oboru pravidla. Správci například můžou vytvářet nebo upravovat pravidla, která jsou vymezena na všechny skupiny zařízení, jenom pokud mají oprávnění pro všechny skupiny zařízení.

6. Zkontrolujte a zapněte pravidlo.

Po kontrole pravidla vyberte Vytvořit a uložte ho. Vlastní pravidlo detekce se okamžitě spustí. Znovu se spustí na základě nakonfigurované frekvence a kontroluje shody, generuje výstrahy a provádí akce odpovědi.

Důležité

Pravidelně kontrolujte vlastní detekce z důvodu efektivity a efektivity. Pokyny k optimalizaci dotazů najdete v tématu Osvědčené postupy pro pokročilé proaktivní dotazy. Abyste měli jistotu, že vytváříte detekce, které aktivují pravdivá upozornění, udělejte si čas na kontrolu stávajících vlastních detekcí podle kroků v tématu Správa existujících vlastních pravidel zjišťování.

Máte kontrolu nad rozsahem nebo specifičností vlastních detekcí. Jakákoli falešná upozornění vygenerovaná vlastními detekcemi můžou znamenat, že je potřeba upravit určité parametry pravidel.

Jak vlastní detekce zpracovávají duplicitní upozornění

Důležitým aspektem při vytváření a kontrole vlastních pravidel detekce je šum upozornění a únava. Vlastní detekce seskupují a deduplikují události do jediné výstrahy. Pokud se vlastní detekce aktivuje dvakrát u události, která obsahuje stejné entity, vlastní podrobnosti a dynamické podrobnosti, vytvoří pouze jedno upozornění pro obě tyto události. Pokud detekce rozpozná, že události jsou identické, zaznamená do vytvořené výstrahy pouze jednu z událostí a pak se postará o duplicity, ke kterým může dojít, když je doba zpětného vyhledávání delší než frekvence. Pokud se události liší, vlastní detekce zaznamená do výstrahy obě události.

Viz také

• Přehled vlastních zjišťování
• Správa vlastních detekcí
• Přehled rozšířeného proaktivní vyhledávání
• Seznámení s pokročilým dotazovacím jazykem proaktivního vyhledávání
• Migrace pokročilých dotazů proaktivního vyhledávání z Microsoft Defender for Endpoint
• Rozhraní Microsoft Graph Security API pro vlastní detekce

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.