Krok 3. Ingestování zdrojů dat a konfigurace detekce incidentů v Microsoft Sentinelu
Po dokončení návrhu a implementace pracovních prostorů Microsoft Sentinelu pokračujte ingestováním zdrojů dat a nakonfigurujte detekci incidentů.
Řešení v Microsoft Sentinelu poskytují konsolidovaný způsob získání obsahu Microsoft Sentinelu, jako jsou datové konektory, sešity, analýzy a automatizace, v pracovním prostoru pomocí jediného kroku nasazení.
Datové konektory jsou nakonfigurované tak, aby umožňovaly příjem dat do pracovního prostoru. Po povolení ingestování klíčových datových bodů do Microsoft Sentinelu musí být povolená také analýza chování uživatelů a entit (UEBA) a analytická pravidla pro zachycení neobvyklých a škodlivých aktivit. Analytická pravidla určují, jak se v instanci Microsoft Sentinelu generují výstrahy a incidenty. Přizpůsobení analytických pravidel pro vaše prostředí a potřeby organizace prostřednictvím mapování entit umožňuje vytvářet vysoce věrné incidenty a snižovat únavu výstrah.
Pokud jste pracovní prostor nasadili na sjednocenou platformu operací zabezpečení, jsou postupy v tomto kroku k dispozici na portálech Azure i Defenderu.
Než začnete
Potvrďte metodu instalace, požadované role a licence potřebné k zapnutí datových konektorů. Další informace najdete v tématu Vyhledání datového konektoru služby Microsoft Sentinel.
Následující tabulka obsahuje souhrn požadavků potřebných k ingestování klíčových datových konektorů Microsoft Sentinelu pro Azure a služby Microsoft:
| Typ prostředku | Metoda instalace | Role, oprávnění nebo potřebná licence |
|---|---|---|
| Microsoft Entra ID | Nativní datový konektor | Správce zabezpečení Protokoly přihlášení vyžadují licenci Microsoft Entra ID P1 nebo P2. Jiné protokoly nevyžadují P1 nebo P2. |
| Microsoft Entra ID Protection | Nativní datový konektor | Správce zabezpečení Licence: Microsoft Entra ID P2 |
| Aktivita Azure | Azure Policy | Role vlastníka požadovaná u předplatných |
| Microsoft Defender XDR | Nativní datový konektor | Správce zabezpečení Licence: Microsoft 365 E5, Microsoft 365 A5 nebo jakákoli jiná oprávněná licence XDR v programu Microsoft Defender |
| Microsoft Defender for Cloud | Nativní datový konektor | Čtenář zabezpečení Pokud chcete povolit obousměrnou synchronizaci, v předplatném se vyžaduje role přispěvatele nebo správce zabezpečení. |
| Microsoft Defender for Identity | Nativní datový konektor | Správce zabezpečení Licence: Microsoft Defender for Identity |
| Microsoft Defender pro Office 365 | Nativní datový konektor | Správce zabezpečení Licence: Microsoft Defender pro Office 365 Plan 2 |
| Microsoft 365 | Nativní datový konektor | Správce zabezpečení |
| Microsoft Defender pro IoT | Přispěvatel k předplatnému se službou IoT Hubs | |
| Microsoft Defender for Cloud Apps | Nativní datový konektor | Správce zabezpečení Licence: Microsoft Defender for Cloud Apps |
| Microsoft Defender for Endpoint | Nativní datový konektor | Správce zabezpečení Licence: Microsoft Defender for Endpoint |
| události Zabezpečení Windows prostřednictvím agenta služby Azure Monitor (AMA) |
Nativní datový konektor s agentem | Čtení a zápis v pracovním prostoru služby Log Analytics |
| Syslog | Nativní datový konektor s agentem | Pracovní prostor služby Log Analytics pro čtení a zápis |
Krok 1: Instalace řešení a zapnutí datových konektorů
Následující doporučení vám pomůžou začít s instalací řešení a konfigurací datových konektorů. Další informace naleznete v tématu:
Nastavení bezplatných zdrojů dat
Začněte tím, že se zaměříte na nastavení bezplatných zdrojů dat pro příjem, včetně:
Protokoly aktivit Azure: Ingestování protokolů aktivit Azure je důležité při umožnění Microsoft Sentinelu poskytovat jedno podokno se sklem v celém prostředí.
Protokoly auditu Office 365, včetně všech aktivit SharePointu, aktivit správce Exchange a Teams
Výstrahy zabezpečení, včetně výstrah z programu Microsoft Defender for Cloud, XDR v programu Microsoft Defender, Microsoft Defender pro Office 365, Microsoft Defenderu for Identity a Microsoft Defenderu for Endpoint.
Pokud jste pracovní prostor nepřipojili na sjednocenou provozní platformu zabezpečení a pracujete na webu Azure Portal, ingestování výstrah zabezpečení do Služby Microsoft Sentinel umožňuje portálu Azure Portal být centrálním podoknem správy incidentů v celém prostředí. V takových případech začne vyšetřování incidentů v Microsoft Sentinelu a mělo by pokračovat na portálu Microsoft Defender nebo v programu Defender pro cloud, pokud je potřeba provést hlubší analýzu.
Další informace najdete v tématu Incidenty XDR v programu Microsoft Defender a pravidla vytváření incidentů Microsoftu.
Výstrahy v programu Microsoft Defender for Cloud Apps
Další informace najdete v tématu s cenami služby Microsoft Sentinel a bezplatnými zdroji dat.
Nastavení placených zdrojů dat
Pokud chcete poskytovat širší monitorování a upozorňování, zaměřte se na přidání datových konektorů Microsoft Entra ID a XDR v programu Microsoft Defender. Za příjem dat z těchto zdrojů se účtují poplatky.
Pokud se vyžaduje některá z následujících možností, nezapomeňte do Microsoft Sentinelu odesílat protokoly XDR v programu Microsoft Defender:
- Onboarding na sjednocenou platformu operací zabezpečení, která poskytuje jeden portál pro správu incidentů v programu Microsoft Defender.
- Fúzní výstrahy Microsoft Sentinelu, které korelují zdroje dat z více produktů a detekují útoky ve vícefázových fázích v celém prostředí.
- Delší doba uchovávání , než je nabízeno v XDR v programu Microsoft Defender.
- Automatizace se nevztahuje na předdefinované nápravy, které nabízí Microsoft Defender for Endpoint.
Další informace naleznete v tématu:
- Integrace Microsoftu 365 Defenderu
- Připojení dat z XDR v programu Microsoft Defender k Microsoft Sentinelu
- Připojení dat Microsoft Entra k Microsoft Sentinelu
Nastavení zdrojů dat pro vaše prostředí
Tato část popisuje zdroje dat, které můžete chtít použít v závislosti na službách a metodách nasazení používaných ve vašem prostředí.
| Scénář | Zdroje dat |
|---|---|
| Služby Azure | Pokud je v Azure nasazená některá z následujících služeb, pomocí následujících konektorů odešlete do Služby Microsoft Sentinel diagnostické protokoly těchto prostředků: - Azure Firewall - Azure Application Gateway - Keyvault - Azure Kubernetes Service - Azure SQL - Network Security Groups (Skupiny zabezpečení sítě) - Servery Azure Arc Doporučujeme nastavit službu Azure Policy tak, aby vyžadovala, aby se jejich protokoly předávaly do základního pracovního prostoru služby Log Analytics. Další informace najdete v tématu Vytvoření nastavení diagnostiky ve velkém měřítku pomocí služby Azure Policy. |
| Virtual Machines | Pro virtuální počítače hostované místně nebo v jiných cloudech, které vyžadují shromažďování protokolů, použijte následující datové konektory: - Zabezpečení Windows Události pomocí AMA – Události přes Defender for Endpoint (pro server) - Syslog |
| Síťová virtuální zařízení / místní zdroje | Pro síťová virtuální zařízení nebo jiné místní zdroje, které generují protokoly CEF (Common Event Format) nebo SYSLOG, použijte následující datové konektory: - Syslog přes AMA - Common Event Format (CEF) přes AMA Další informace najdete v tématu Ingestování zpráv Syslogu a CEF do Služby Microsoft Sentinel pomocí agenta služby Azure Monitor. |
Až to budete mít, vyhledejte v centru obsahu Microsoft Sentinel další zařízení a aplikace SaaS (software jako služba), které vyžadují odeslání protokolů do Microsoft Sentinelu.
Další informace najdete v tématu Zjišťování a správa obsahu od microsoft Sentinelu .
Krok 2: Povolení analýzy chování entit uživatelů
Po nastavení datových konektorů v Microsoft Sentinelu nezapomeňte povolit analýzu chování entit uživatelů k identifikaci podezřelého chování, které by mohlo vést k zneužití útoků phishing a nakonec útokům, jako je ransomware. Detekce anomálií prostřednictvím UEBA je často nejlepší metodou pro detekci zneužití zero-day v rané fázi.
Použití UEBA umožňuje službě Microsoft Sentinel vytvářet profily chování entit vaší organizace v čase a skupině partnerských vztahů k identifikaci neobvyklých aktivit. Tato přidaná pomůcka utility při expedici určující, zda bylo ohroženo aktivum. Vzhledem k tomu, že identifikuje přidružení partnerské skupiny, může to také pomoci při určování poloměru výbuchu uvedeného kompromisu.
Další informace najdete v tématu Identifikace hrozeb pomocí analýzy chování entit.
Krok 3: Povolení analytických pravidel
Mozek Microsoft Sentinelu pochází z analytických pravidel. Jedná se o pravidla, která nastavíte, aby microsoft Sentinelu řekla, aby vás upozornila na události se sadou podmínek, které považujete za důležité. Předefinovaná rozhodnutí, která Microsoft Sentinel provádí, jsou založená na analýze chování entit uživatelů (UEBA) a na korelacích dat napříč více zdroji dat.
Při zapnutí analytických pravidel pro Microsoft Sentinel upřednostnit povolení propojených zdrojů dat, organizačního rizika a taktiky MITRE.
Vyhněte se duplicitním incidentům
Pokud jste povolili konektor XDR v programu Microsoft Defender, automaticky se vytvoří obousměrná synchronizace mezi incidenty 365 Defenderu a Microsoft Sentinelem.
Pokud se chcete vyhnout vytváření duplicitních incidentů pro stejná upozornění, doporučujeme vypnout všechna pravidla vytváření incidentů v programu Microsoft Defender pro produkty integrované v programu Microsoft Defender XDR, včetně defenderu for Endpoint, Defenderu for Identity, Defender pro Office 365, Defenderu pro Cloud Apps a ochrany Microsoft Entra ID Protection.
Další informace najdete v tématu Incidenty XDR v programu Microsoft Defender a pravidla vytváření incidentů Microsoftu.
Použití fúzních upozornění
Služba Microsoft Sentinel ve výchozím nastavení umožňuje analytické pravidlo detekce útoků Fusion s více fázemi automaticky identifikovat vícestupňové útoky.
Pomocí neobvyklého chování a podezřelých událostí aktivit pozorovaných v rámci řetězce kybernetických killů generuje Microsoft Sentinel incidenty, které umožňují zobrazit ohrožené incidenty se dvěma nebo více aktivitami výstrah s vysokou mírou spolehlivosti.
Technologie fúzních výstrah koreluje široké body datových signálů s rozšířenou analýzou strojového učení (ML), která pomáhá určit známé, neznámé a vznikající hrozby. Například detekce fúze může vzít šablony pravidel anomálií a naplánované dotazy vytvořené pro scénář Ransomware a spárovat je s upozorněními ze služeb Microsoft Security Suite, například:
- Ochrana Microsoft Entra ID
- Microsoft Defender for Cloud
- Microsoft Defender for IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
Použití pravidel anomálií
Pravidla anomálií Služby Microsoft Sentinel jsou standardně dostupná a jsou povolená. Pravidla anomálií jsou založená na modelech strojového učení a UEBA, které trénují data ve vašem pracovním prostoru, aby označily neobvyklé chování uživatelů, hostitelů a dalších.
Útok phishing často vede ke kroku spuštění, jako je například manipulace s místním nebo cloudovým účtem nebo kontrola nebo spuštění škodlivého skriptu. Pravidla anomálií vypadají přesně pro tyto typy aktivit, například:
- Odebrání neobvyklého přístupu k účtu
- Neobvyklé vytvoření účtu
- Neobvyklé odstranění účtu
- Neobvyklá manipulace s účtem
- Neobvyklé spuštění kódu (UEBA)
- Neobvyklé zničení dat
- Neobvyklá úprava obranného mechanismu
- Neobvyklé neúspěšné přihlášení
- Neobvyklé resetování hesla
- Udělená neobvyklá oprávnění
- Neobvyklé přihlášení
Projděte si pravidla anomálií a prahovou hodnotu skóre anomálií pro každou z nich. Pokud například pozorujete falešně pozitivní výsledky, zvažte duplikování pravidla a úpravu prahové hodnoty podle kroků popsaných v pravidlech ladění anomálií.
Použití analytického pravidla Analýzy hrozeb Microsoftu
Po kontrole a úpravě pravidel fúze a anomálií povolte předvyšované analytické pravidlo Analýzy hrozeb Microsoftu. Ověřte, že toto pravidlo odpovídá datům protokolu s analýzou hrozeb vygenerovanou Microsoftem. Microsoft má obrovské úložiště dat analýzy hrozeb a toto analytické pravidlo používá podmnožinu k vygenerování vysoce věrných výstrah a incidentů pro týmy SOC (bezpečnostních centrů) pro třídění.
Vedení chodníku MITRE Att&ck
Díky povoleným analytickým pravidlům analýzy fúze, anomálií a analýzy hrozeb proveďte přechod MITRE Att&ck, abyste se mohli rozhodnout, která zbývající analytická pravidla umožní a dokončí implementaci vyspělého procesu XDR (rozšířené detekce a reakce). To vám umožní detekovat a reagovat v průběhu životního cyklu útoku.
Výzkumné oddělení MITRE Att&ck vytvořilo metodu MITRE a poskytuje ji jako součást Microsoft Sentinelu, aby se usnadnila implementace. Ujistěte se, že máte analytická pravidla, která roztahují délku a šířku přístupu k vektorům útoku.
Projděte si techniky MITRE, na které se vztahují vaše stávající aktivní analytická pravidla.
V rozevíracím seznamu Simulated vyberte Šablony analytických pravidel a Pravidla anomálií. To vám ukáže, kde máte pokrytou taktiku nežádoucího člověka nebo techniku a kde jsou dostupná analytická pravidla, která byste měli zvážit, aby bylo možné zlepšit pokrytí.
Pokud chcete například detekovat potenciální útoky phishing, projděte si šablony analytických pravidel pro techniku útoku Phishing a určete prioritu povolení pravidel, která se konkrétně dotazují na zdroje dat, které jste nasadili do Služby Microsoft Sentinel.
Obecně platí, že útok Ransomware provozovaný člověkem má pět fází a útok phishing spadá do počátečního přístupu, jak je znázorněno na následujících obrázcích:
Pokračujte zbývajícími kroky a projděte si celý řetěz ukončení s příslušnými analytickými pravidly:
- Počáteční přístup
- Krádež přihlašovacích údajů
- Laterální pohyb
- Uchování
- Obrana před únikem
- Exfiltrace (to je místo, kde je zjištěn samotný ransomware)
Doporučené školení
Obsah pro trénování se v současné době nevztahuje na jednotnou platformu operací zabezpečení.
Připojení dat k Microsoft Sentinelu pomocí datových konektorů
| Školení | Připojení dat k Microsoft Sentinelu pomocí datových konektorů |
|---|---|
|
Primárním přístupem k připojení dat protokolů je použití datových konektorů poskytovaných službou Microsoft Sentinel. Tento modul poskytuje přehled dostupných datových konektorů. |
Připojení protokolů k Microsoft Sentinelu
| Školení | Připojení protokolů k Microsoft Sentinelu |
|---|---|
|
Připojte data v cloudovém měřítku napříč všemi uživateli, zařízeními, aplikacemi a infrastrukturou, a to jak místně, tak i v několika cloudech, ke službě Microsoft Sentinel. |
Identifikace hrozeb pomocí behaviorální analýzy
| Školení | Identifikace hrozeb pomocí behaviorální analýzy |
|---|---|
|
Primárním přístupem k připojení dat protokolů je použití datových konektorů poskytovaných službou Microsoft Sentinel. Tento modul poskytuje přehled dostupných datových konektorů. |
Další kroky
Pokračujte krokem 4 , abyste mohli reagovat na incident.
