Vytvoření analytického pravidla na základě šablony
Část Analýza v Microsoft Sentinelu obsahuje šablony pravidel, které se předem načtou z úložiště Microsoft Sentinel Na GitHubu. Na základě těchto šablon můžete vytvářet pravidla pro detekci bezpečnostních hrozeb.
Prozkoumání dostupných šablon pravidel
Některé z dostupných šablon můžete využít k vytvoření jednoho pravidla a na základě jiných lze vytvořit více pravidel s různými možnostmi přizpůsobení. Šablony, které se používají, zobrazují popisek IN USE na stránce šablony, jak je znázorněno na následujícím snímku obrazovky.
Výběrem některého z pravidel na kartě Šablony pravidel můžete sledovat vlastnosti pravidla. U každého pravidla si můžete projít:
Úroveň závažnosti: Označuje důležitost výstrahy. Existují 4 úrovně závažnosti:
- Nejvyšší
- střední
- Nejnižší
- Informační
Název pravidla: Jde o srozumitelný název pravidla upozornění.
Typ pravidla: Tím se definuje typ pravidla, který může být jedním z následujících typů:
- Anomálie
- Fúze
- Microsoft Security
- Analýza chování s využitím strojového učení
- Plánováno
Zdroj dat: Určuje konektor zdroje dat, který výstrahu vygeneroval.
Taktika: Určuje metodologie v modelu MITRE ATT&CK používaném různými druhy malwaru.
Poznámka:
MITRE ATT&CK je globálně přístupná znalostní báze nežádoucí taktiky a technik založených na skutečných pozorováních. ATT&CK znalostní báze poskytuje základ pro vývoj konkrétních modelů hrozeb a metodologií v soukromém sektoru, ve státní správě a v komunitě produktů a služeb kybernetické bezpečnosti.
Když vyberete pravidlo ze seznamu na kartě Aktivní pravidla nebo na kartě Šablony pravidel, zobrazí se v podokně podrobností další informace o vybraném pravidlu.
Vytvoření analytického pravidla ze šablony
Když vyberete předdefinovanou šablonu pravidla, podokno podrobností může zobrazit filtry, které se dají použít k definování chování tohoto pravidla. V případě pravidel analýzy chování fusion a ML neposkytuje Microsoft žádné upravitelné informace. U plánovaných pravidel a zabezpečení Microsoftu ale můžete dotaz, filtry a zahrnutí a vyloučení použité v detekci hrozeb zobrazit nebo upravit. Výběrem tlačítka Vytvořit pravidlo můžete definovat logiku analytického pravidla pomocí průvodce, který vám pomůže přizpůsobit pravidlo z vybrané šablony.
Pro šablony analýzy chování fusion a ML je můžete povolit nebo zakázat pouze jako aktivní pravidla.
Pravidlo, které vytvoříte ze šablony zabezpečení Microsoftu, se skládá z následujících prvků:
Karta Obecné
Následující tabulka uvádí vstupy na kartě Obecné .
| Pole | Popis |
|---|---|
| Name | Vyplní se předem podle názvu šablony. |
| Popis | Uveďte další podrobnosti o vytváření výstrah. |
| Stav | Označuje, jestli je analytické pravidlo povolené, nebo zakázané. |
| Služba zabezpečení Microsoftu | Určuje zdroj výstrahy – jednu ze služeb zabezpečení Microsoftu. |
| Filtrovat podle závažnosti | Slouží k ladění výstrah ze zdroje na základě úrovně závažnosti; Pokud vyberete vlastní, můžete zadat vysoký, střední, nízký nebo informační. |
| Zahrnout konkrétní výstrahy | Přidejte jedno nebo více slov, která budou obsahovat výsledky výstrah, které obsahují konkrétní text v jejich názvu. |
| Vyloučit konkrétní výstrahy | Přidejte jedno nebo více slov pro vyloučení výsledků výstrah, které obsahují konkrétní text v jejich názvu. |
Automatizovaná odpověď
Na kartě Automatizovaná odpověď můžete definovat pravidla automatizace. Pokud vyberete Přidat nový, otevře se podokno Vytvořit nové pravidlo automatizace. Následující pole jsou vstupy:
| Pole | Popis |
|---|---|
| Název pravidla automatizace | Zvolte název, který jednoznačně popisuje toto pravidlo automatizace. |
| Trigger | Předdefinovaná hodnota, kterou nelze změnit. |
| Podmínky | Typický konstruktor filtru dotazu, který lze upravit a seřadit. |
| Akce | Výběrový seznam akcí; vyberte akci, kterou chcete provést, pokud jsou splněny podmínky filtru dotazu. |
| Vypršení platnosti pravidla | Datum a čas pro zakázání pravidla Výchozí hodnota je neomezená. |
| Objednávka | Pokud se vytvoří více pravidel, vyberte sekvenční čísla a v levém podokně přeuspořádejte pravidla automatizace incidentů. |
Poznámka:
Když implementujete filtry pro zahrnutí nebo vyloučení konkrétních upozornění na základě textového řetězce, tyto výstrahy se v Microsoft Sentinelu nezobrazí.
Následující snímek obrazovky ukazuje příklad vytvoření incidentu z výstrah vygenerovaných programem Microsoft Defender for Cloud.
Pokyny k vytvoření analytického pravidla ze šablony plánovaného typu pravidla najdete v tématu Vytvoření analytického pravidla z naplánované šablony pravidla v další lekci (lekce 6).
Poznámka:
U určitých šablon pravidel může být tlačítko Vytvořit pravidlo neaktivní, což znamená, že pravidlo nemůžete z vybrané šablony vytvořit z důvodu chybějícího zdroje dat.