Tutorial: Erkennen von Bedrohungen mithilfe von Analyseregeln in Microsoft Sentinel

Wichtig

Benutzerdefinierte Erkennungen sind jetzt die beste Möglichkeit, neue Regeln in Microsoft Sentinel SIEM-Microsoft Defender XDR zu erstellen. Mit benutzerdefinierten Erkennungen können Sie Erfassungskosten reduzieren, unbegrenzte Echtzeiterkennungen erhalten und von der nahtlosen Integration in Defender XDR Daten, Funktionen und Wartungsaktionen mit automatischer Entitätszuordnung profitieren. Weitere Informationen finden Sie in diesem Blog.

Als SIEM-Dienst (Security Information and Event Management) ist Microsoft Sentinel für die Erkennung von Sicherheitsbedrohungen für Ihre organization verantwortlich. Dazu werden die riesigen Datenmengen analysiert, die von allen Protokollen Ihrer Systeme generiert werden.

In diesem Tutorial erfahren Sie, wie Sie eine Microsoft Sentinel Analyseregel aus einer Vorlage einrichten, um in Ihrer Umgebung nach Exploits der Apache Log4j-Sicherheitslücke zu suchen. Die Regel ordnet Benutzerkonten und IP-Adressen in Ihren Protokollen als nachverfolgbare Entitäten ein, zeigt wichtige Informationen in den von den Regeln generierten Warnungen an und packt Warnungen als zu untersuchende Vorfälle.

Wenn Sie dieses Tutorial abgeschlossen haben, können Sie Folgendes ausführen:

  • Erstellen einer Analyseregel aus einer Vorlage
  • Anpassen der Abfrage und Einstellungen einer Regel
  • Konfigurieren der drei Arten der Warnungsanreicherung
  • Auswählen automatisierter Reaktionen auf Bedrohungen für Ihre Regeln

Voraussetzungen

Stellen Sie für dieses Tutorial sicher, dass Sie über Folgendes verfügen:

  • Ein Azure-Abonnement. Erstellen Sie ein kostenloses Konto , falls Sie noch kein Konto besitzen.

  • Ein Log Analytics-Arbeitsbereich mit der darauf bereitgestellten Microsoft Sentinel Lösung und erfassten Daten.

  • Ein Azure Benutzer mit der Rolle "Mitwirkender Microsoft Sentinel", die im Log Analytics-Arbeitsbereich zugewiesen ist, in dem Microsoft Sentinel bereitgestellt wird.

  • Auf die folgenden Datenquellen wird in dieser Regel verwiesen. Je mehr dieser Connectors Sie bereitgestellt haben, desto effektiver ist die Regel. Sie müssen mindestens einen besitzen.

    Datenquelle Log Analytics-Tabellen, auf die verwiesen wird
    Office 365 OfficeActivity (SharePoint)
    OfficeActivity (Exchange)
    OfficeActivity (Teams)
    DNS DnsEvents
    Azure Monitor (VM Insights) VMConnection
    Cisco ASA CommonSecurityLog (Cisco)
    Palo Alto Networks (Firewall) CommonSecurityLog (PaloAlto)
    Sicherheitsereignisse SecurityEvents
    Microsoft Entra-ID SigninLogs
    AADNonInteractiveUserSignInLogs
    Azure Monitor (WireData) WireData
    Azure Monitor (IIS) W3CIISLog
    Azure-Aktivität AzureActivity
    Amazon Web Services AWSCloudTrail
    Microsoft Defender XDR DeviceNetworkEvents
    Azure Firewall AzureDiagnostics (Azure Firewall)

Melden Sie sich beim Azure-Portal und Microsoft Sentinel an.

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie in der Suchleiste nach Microsoft Sentinel, und wählen Sie sie aus.

  3. Suchen Sie in der Liste der verfügbaren Microsoft Sentinel Arbeitsbereiche nach Ihrem Arbeitsbereich, und wählen Sie den Arbeitsbereich aus.

Installieren einer Lösung über den Inhaltshub

  1. Wählen Sie Microsoft Sentinel im Menü auf der linken Seite unter Inhaltsverwaltung die Option Inhaltshub aus.

  2. Suchen Sie nach der Lösung Log4j-Sicherheitsrisikoerkennung, und wählen Sie sie aus.

  3. Wählen Sie auf der Symbolleiste oben auf der Seite installieren/aktualisieren aus.

Erstellen einer geplanten Analyseregel aus einer Vorlage

  1. Wählen Sie Microsoft Sentinel im Menü auf der linken Seite unter Konfiguration die Option Analyse aus.

  2. Wählen Sie auf der Seite Analyse die Registerkarte Regelvorlagen aus.

  3. Geben Sie im Suchfeld oben in der Liste der Regelvorlagen log4j ein.

  4. Wählen Sie in der gefilterten Liste der Vorlagen log4j vulnerability exploit alias Log4Shell IP IOC aus. Wählen Sie im Detailbereich Regel erstellen aus.

    Screenshot: Suchen und Suchen nach einer Vorlage und Erstellen einer Analyseregel

    Der Analyseregel-Assistent wird geöffnet.

  5. Geben Sie auf der Registerkarte Allgemein im Feld Name die Zeichenfolge Log4j vulnerability exploit alias Log4Shell IP IOC – Tutorial-1 ein.

  6. Lassen Sie die restlichen Felder auf dieser Seite unverändert. Dies sind die Standardwerte, aber wir werden den Warnungsnamen zu einem späteren Zeitpunkt anpassen.

    Wenn die Regel nicht sofort ausgeführt werden soll, wählen Sie Deaktiviert aus. Die Regel wird der Registerkarte Aktive Regeln hinzugefügt, und Sie können sie von dort aus aktivieren, wenn Sie sie benötigen.

  7. Wählen Sie Weiter: Regellogik festlegen aus. Screenshot der Registerkarte

Überprüfen der Regelabfragelogik und Konfiguration der Einstellungen

  • Überprüfen Sie auf der Registerkarte Regellogik festlegen die Abfrage so, wie sie unter der Überschrift Regelabfrage angezeigt wird.

    Um mehr Abfragetext gleichzeitig anzuzeigen, wählen Sie das diagonale Doppelpfeilsymbol in der oberen rechten Ecke des Abfragefensters aus, um das Fenster auf eine größere Größe zu erweitern.

    Screenshot der Registerkarte

    Weitere Informationen zu KQL finden Sie unter übersicht über Kusto-Abfragesprache (KQL).

    Weitere Ressourcen:

Anreichern von Warnungen mit Entitäten und anderen Details

  1. Behalten Sie unter Warnungsanreicherung die Entitätszuordnungseinstellungen unverändert bei. Beachten Sie die drei zugeordneten Entitäten.

    Screenshot der vorhandenen Entitätszuordnungseinstellungen.

  2. Fügen Sie im Abschnitt Benutzerdefinierte Details den Zeitstempel jedes Vorkommens zur Warnung hinzu, sodass Sie ihn direkt in den Warnungsdetails sehen können, ohne einen Drilldown ausführen zu müssen.

    1. Geben Sie zeitstempel in das Feld Schlüssel ein. Dies ist der Eigenschaftsname in der Warnung.
    2. Wählen Sie in der Dropdownliste Wert den Zeitstempel aus.

  3. Passen Sie im Abschnitt Warnungsdetails den Warnungsnamen so an, dass der Zeitstempel jedes Vorkommens im Warnungstitel angezeigt wird.

    Geben Sie im Feld Warnungsnameformatlog4j vulnerability exploit alias Log4Shell IP IOC unter {{timestamp}} ein.

    Screenshot: Konfigurationen von benutzerdefinierten Details und Warnungsdetails.

Überprüfen der verbleibenden Einstellungen

  1. Überprüfen Sie die verbleibenden Einstellungen auf der Registerkarte Regellogik festlegen . Es ist nicht erforderlich, etwas zu ändern, aber Sie können, wenn Sie z. B. das Intervall ändern möchten. Stellen Sie einfach sicher, dass der Lookbackzeitraum mit dem Intervall übereinstimmt, um eine kontinuierliche Abdeckung aufrechtzuerhalten.

    • Abfrageplanung:

      • Führen Sie die Abfrage alle 1 Stunde aus.
      • Suchen von Daten der letzten 1 Stunde.

    • Warnungsschwellenwert:

      • Warnung generieren, wenn die Anzahl der Abfrageergebnisse größer als 0 ist.

    • Ereignisgruppierung:

      • Konfigurieren, wie Die Ergebnisse von Regelabfragen in Warnungen gruppiert werden: Gruppieren Sie alle Ereignisse in einer einzelnen Warnung.

    • Unterdrückung:

      • Beenden sie die Ausführung der Abfrage, nachdem die Warnung generiert wurde: Aus.

    Screenshot der verbleibenden Regellogikeinstellungen für die Analyseregel.

  2. Wählen Sie Weiter: Incidenteinstellungen aus.

Überprüfen der Einstellungen für die Incidenterstellung

  1. Überprüfen Sie die Einstellungen auf der Registerkarte Incidenteinstellungen . Es ist nicht erforderlich, etwas zu ändern, es sei denn, Sie verfügen beispielsweise über ein anderes System für die Erstellung und Verwaltung von Vorfällen. In diesem Fall möchten Sie die Incidenterstellung deaktivieren.

    • Incidenteinstellungen:

      • Erstellen von Incidents aus Warnungen, die von dieser Analyseregel ausgelöst werden: Aktiviert.

    • Warnungsgruppierung:

      • Gruppieren Sie verwandte Warnungen, die von dieser Analyseregel ausgelöst werden, in Incidents: Deaktiviert.

    Screenshot der Registerkarte

  2. Wählen Sie Weiter: Automatisierte Antwort aus.

Festlegen automatisierter Antworten und Erstellen der Regel

Auf der Registerkarte Automatisierte Antwort :

  1. Wählen Sie + Neu hinzufügen aus, um eine neue Automatisierungsregel für diese Analyseregel zu erstellen. Dadurch wird der Assistent zum Erstellen einer neuen Automatisierungsregel geöffnet.

    Screenshot der Registerkarte

  2. Geben Sie im Feld Name der Automatisierungsregellog4J vulnerability exploit detection – Tutorial-1 ein.

  3. Lassen Sie die Abschnitte Trigger und Bedingungen unverändert.

  4. Wählen Sie unter Aktionen die Option Tags hinzufügen aus der Dropdownliste aus.

    1. Wählen Sie + Tag hinzufügen aus.
    2. Geben Sie Log4J exploit in das Textfeld ein, und wählen Sie OK aus.

  5. Behalten Sie die Abschnitte Regelablauf und Reihenfolge unverändert bei.

  6. Wählen Sie Anwenden aus. Ihre neue Automatisierungsregel wird in Kürze in der Liste auf der Registerkarte Automatisierte Antwort angezeigt.

  7. Wählen Sie Weiter: Überprüfen aus, um alle Einstellungen für Ihre neue Analyseregel zu überprüfen. Wenn die Meldung "Überprüfung erfolgreich" angezeigt wird, wählen Sie Erstellen aus. Sofern Sie die Regel nicht oben auf der Registerkarte Allgemein auf Deaktiviert festlegen, wird die Regel sofort ausgeführt.

    Wählen Sie das folgende Bild aus, um die vollständige Überprüfung anzuzeigen (der größte Teil des Abfragetexts wurde aus Sichtgründen abgeschnitten).

    Screenshot der Registerkarte

Überprüfen des Erfolgs der Regel

  1. Um die Ergebnisse der von Ihnen erstellten Warnungsregeln anzuzeigen, wechseln Sie zur Seite Incidents .

  2. Um die Liste der Incidents nach den von Ihrer Analyseregel generierten Incidents zu filtern, geben Sie den Namen (oder einen Teil des Namens) der Analyseregel ein, die Sie in der Suchleiste erstellt haben.

  3. Öffnen Sie einen Incident, dessen Titel mit dem Namen der Analyseregel übereinstimmt. Sehen Sie sich an, dass das flag, das Sie in der Automatisierungsregel definiert haben, auf den Incident angewendet wurde.

Ressourcen bereinigen

Wenn Sie diese Analyseregel nicht weiter verwenden möchten, löschen (oder deaktivieren Sie zumindest) die von Ihnen erstellten Analyse- und Automatisierungsregeln mit den folgenden Schritten:

  1. Wählen Sie auf der Seite Analyse die Registerkarte Aktive Regeln aus.

  2. Geben Sie den Namen (oder einen Teil des Namens) der Analyseregel ein, die Sie in der Suchleiste erstellt haben.
    (Wenn sie nicht angezeigt wird, stellen Sie sicher, dass alle Filter auf Alle auswählen festgelegt sind.)

  3. Aktivieren Sie das Kontrollkästchen neben Ihrer Regel in der Liste, und wählen Sie löschen aus dem oberen Banner aus.
    (Wenn Sie es nicht löschen möchten, können Sie stattdessen Deaktivieren auswählen.)

  4. Wählen Sie auf der Seite Automatisierung die Registerkarte Automatisierungsregeln aus.

  5. Geben Sie den Namen (oder einen Teil des Namens) der Automatisierungsregel ein, die Sie in der Suchleiste erstellt haben.
    (Wenn sie nicht angezeigt wird, stellen Sie sicher, dass alle Filter auf Alle auswählen festgelegt sind.)

  6. Aktivieren Sie das Kontrollkästchen neben Ihrer Automatisierungsregel in der Liste, und wählen Sie im oberen Banner Löschen aus.
    (Wenn Sie es nicht löschen möchten, können Sie stattdessen Deaktivieren auswählen.)

Nächste Schritte

Nachdem Sie nun erfahren haben, wie Sie mithilfe von Analyseregeln nach Exploits eines häufigen Sicherheitsrisikos suchen, erfahren Sie mehr darüber, was Sie mit Analysen in Microsoft Sentinel tun können:

  • Last updated on