Jaa

Mukautettujen tunnistussääntöjen luominen ja hallinta

  • Artikkeli

Koskee seuraavia:

  • Microsoft Defender XDR

Mukautetut tunnistussäännöt ovat sääntöjä, joita voit suunnitella ja muokata käyttämällä kehittyneitä metsästyskyselyitä . Näiden sääntöjen avulla voit ennakoivasti seurata erilaisia tapahtumia ja järjestelmän tiloja, mukaan lukien epäillyt murtotoiminnot ja väärin määritetyt päätepisteet. Voit määrittää ne suoritettavaksi säännöllisin väliajoin, jolloin voit luoda ilmoituksia ja suorittaa vastaustoimintoja aina, kun vastaavuuksia löytyy.

Mukautetun tunnistuksen hallinnan vaaditut käyttöoikeudet

Tärkeää

Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

Jos haluat hallita mukautettuja tunnistuksia, sinulle on määritettävä jokin seuraavista rooleista:

  • Suojausasetukset (hallitse) – Käyttäjät, joilla on tämä Microsoft Defenderin XDR-käyttöoikeus , voivat hallita suojausasetuksia Microsoft Defender -portaalissa.

  • Suojauksen järjestelmänvalvoja – Käyttäjät, joilla on tämä Microsoft Entra -rooli , voivat hallita suojausasetuksia Microsoft Defender -portaalissa ja muissa portaaleissa ja palveluissa.

  • Suojausoperaattori – Käyttäjät, joilla on tämä Microsoft Entra -rooli , voivat hallita ilmoituksia ja heillä on yleinen vain luku -käyttöoikeus suojaukseen liittyviin ominaisuuksiin, mukaan lukien kaikki Microsoft Defender -portaalin tiedot. Tämä rooli riittää mukautettujen tunnistusten hallintaan vain, jos roolipohjainen käytön hallinta (RBAC) on poistettu käytöstä Microsoft Defender for Endpointissa. Jos RBAC on määritetty, tarvitset myös *Hallitse suojausasetuksia -käyttöoikeuden Defender for Endpointille.

Voit hallita mukautettuja tunnistuksia, jotka koskevat tiettyjen Microsoft Defender XDR -ratkaisujen tietoja, jos sinulla on niihin oikeat käyttöoikeudet. Jos sinulla on esimerkiksi vain Microsoft Defender for Office 365:n hallintaoikeudet, voit luoda mukautettuja tunnistuksia taulukoiden avulla, mutta et Identity* taulukoiden avullaEmail*.

Samoin koska taulukko sisältää sekä Microsoft Defender for Cloud Appsin että Defender for Identityn IdentityLogonEvents todennustiedot, sinulla on oltava molempien palveluiden käyttöoikeuksien hallinta, jotta voit hallita mukautettuja tunnistuksia, jotka kyselevät mainittua taulukkoa.

Huomautus

Mukautettujen tunnistusten hallinta edellyttää, että suojausoperaattoreilla on oltava Microsoft Defenderin päätepisteen suojausasetusten hallintaoikeus, jos RBAC on käytössä.

Yleinen järjestelmänvalvoja voi hallita vaadittuja käyttöoikeuksia:

  • Määritä suojauksen järjestelmänvalvojan tai suojausoperaattorin rooli Microsoft 365 -hallintakeskuksessakohdassa Roolien suojauksen>järjestelmänvalvoja.

  • Tarkista Microsoft Defenderin päätepisteen RBAC-asetukset Microsoft Defender XDR:ssä kohdasta Asetukset>Käyttöoikeusroolit>. Määritä suojausasetusten hallinnan käyttöoikeus valitsemalla vastaava rooli.

Huomautus

Käyttäjällä on myös oltava tarvittavat käyttöoikeudet laitteisiin, jotka ovat heidän luomassaan tai muokkaamassaan mukautetun tunnistussäännön laitealueella , ennen kuin hän voi jatkaa. Käyttäjä ei voi muokata mukautettua tunnistussääntöä, joka on määritetty suoritettavaksi kaikissa laitteissa, jos sama käyttäjä ei anna oikeuksia kaikkiin laitteisiin.

Mukautetun tunnistussäännön luominen

1. Valmistele kysely

Siirry Microsoft Defender -portaalissa kehittyneeseen metsästykseen ja valitse aiemmin luotu kysely tai luo uusi kysely. Kun käytät uutta kyselyä, suorita kysely virheiden tunnistamiseksi ja mahdollisten tulosten ymmärtämiseksi.

Tärkeää

Jotta palvelu ei palauttaisi liian monta ilmoitusta, kukin sääntö on rajoitettu luomaan vain 100 ilmoitusta aina, kun se suoritetaan. Ennen kuin luot säännön, muokkaa kyselyä, jotta vältät hälytykset normaalista päivittäisestä toiminnasta.

Pakolliset sarakkeet kyselyn tuloksissa

Mukautetun tunnistussäännön luomiseksi kyselyn on palautettava seuraavat sarakkeet:

  • Timestamp– käytetään luotujen ilmoitusten aikaleiman määrittämiseen
  • ReportId— ottaa käyttöön alkuperäisten tietueiden haut.
  • Yksi seuraavista sarakkeista, jotka tunnistavat tietyt laitteet, käyttäjät tai postilaatikot:
    • DeviceId
    • DeviceName
    • RemoteDeviceName
    • RecipientEmailAddress
    • SenderFromAddress (kirjekuoren lähettäjän tai Return-Path osoite)
    • SenderMailFromAddress (lähettäjän osoite, jonka sähköpostiasiakas näyttää)
    • RecipientObjectId
    • AccountObjectId
    • AccountSid
    • AccountUpn
    • InitiatingProcessAccountSid
    • InitiatingProcessAccountUpn
    • InitiatingProcessAccountObjectId

Huomautus

Lisäentiteettien tuki lisätään, kun uusia taulukoita lisätään kehittyneeseen metsästysrakenteeseen.

Yksinkertaiset kyselyt, kuten kyselyt, jotka eivät käytä project tai summarize -operaattoria tulosten mukauttamiseen tai koostamiseen, palauttavat yleensä nämä yleiset sarakkeet.

On monia tapoja varmistaa, että monimutkaisemmat kyselyt palauttavat nämä sarakkeet. Jos haluat esimerkiksi koostaa ja laskea entiteetin mukaan sarakkeessa, kuten DeviceId, voit silti palata Timestamp ja ReportId saada sen viimeisimmästä tapahtumasta, johon kukin yksilöllinen DeviceIdliittyy .

Tärkeää

Vältä mukautettujen tunnistusten suodatusta sarakkeen Timestamp avulla. Mukautettujen tunnistusten käyttämät tiedot on esisuodatettu tunnistustiheyden mukaan.

Alla oleva esimerkkikysely laskee niiden yksilöllisten laitteiden määrän (DeviceId), joissa on virustentorjuntatunnistus, ja käyttää tätä määrää löytääkseen vain laitteet, joissa on yli viisi tunnistusta. Jos haluat palauttaa uusimman Timestamp ja sitä vastaavan ReportIdarvon, se käyttää -operaattoria summarize funktion arg_max kanssa.

DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

Vihje

Voit parantaa kyselyn suorituskykyä määrittämällä aikasuodattimen, joka vastaa säännön suoritustiheyttä. Koska vähiten usein suoritetaan 24 tunnin välein, viimeisen päivän suodatus kattaa kaikki uudet tiedot.

2. Luo uusi sääntö ja anna ilmoituksen tiedot

Kun kysely on kyselyeditorissa, valitse Luo tunnistussääntö ja määritä seuraavat ilmoituksen tiedot:

  • Tunnistamisnimi – tunnistussäännön nimi; tulee olla yksilöllinen
  • Frequency – Kyselyn suorittamisen ja toiminnon suorittamisen aikaväli. Katso lisätietoja sääntöjen tiheysosiosta
  • Ilmoituksen otsikko – otsikko, jossa on säännön käynnistämät hälytykset; tulee olla yksilöllinen
  • Vakavuus – säännön määrittämän osan tai toiminnan mahdollinen riski
  • Luokka – säännön tunnistama uhkaosa tai toiminta
  • MITRE ATT&CK-tekniikoita – vähintään yksi säännön tunnistama hyökkäystekniikka MITRE ATT&CK -kehyksessä kuvatulla tavalla. Tämä osio on piilotettu tietyille hälytysluokille, kuten haittaohjelmille, kiristyshaittaohjelmille, epäilyttävälle toiminnalle ja ei-toivotuille ohjelmistoille
  • Kuvaus – lisätietoja komponentista tai toiminnosta, jonka sääntö tunnistaa
  • Suositellut toimet – muut toiminnot, joita vastaajat voivat tehdä vastauksena ilmoituksiin

Säännön tiheys

Kun tallennat uuden säännön, se suoritetaan ja se tarkistaa vastaavuudet viimeisten 30 päivän tiedoista. Sääntö suoritetaan uudelleen kiintein väliajoin, ja se ottaa käyttöön haun keston valitsemasi tiheyden mukaan:

  • 24 tunnin välein ( suoritetaan 24 tunnin välein, tarkistetaan viimeisten 30 päivän tiedot
  • 12 tunnin välein — suoritetaan 12 tunnin välein, tarkistetaan viimeisten 48 tunnin tiedot
  • 3 tunnin välein – suoritetaan 3 tunnin välein, tarkistetaan viimeisten 12 tunnin tiedot
  • Joka tunti – suoritetaan tunneittain, tarkistetaan viimeisten 4 tunnin tiedot
  • Jatkuva (NRT) – suoritetaan jatkuvasti, tarkistetaan tiedot tapahtumista, kun niitä kerätään ja käsitellään lähes reaaliaikaisesti (NRT), katso Jatkuva (NRT) tiheys

Vihje

Sovita kyselyn aikasuodattimet takaisin haun kestoon. Haun keston ulkopuolella olevat tulokset ohitetaan.

Kun muokkaat sääntöä, se suoritetaan käyttäen käyttöön otettuja muutoksia seuraavalla suoritusajalla määrittämäsi tiheyden mukaisesti. Säännön tiheys perustuu tapahtuman aikaleimaan eikä käsittelyaikaan.

Jatkuva (NRT) tiheys

Kun määrität mukautetun tunnistuksen suoritettavaksi jatkuvalla (NRT) tiheydellä, voit parantaa organisaatiosi kykyä tunnistaa uhkia nopeammin.

Huomautus

Jatkuvalla NRT-tiheydellä on hyvin vähän tai ei lainkaan vaikutusta resurssien käyttöön, joten se tulee ottaa huomioon organisaatiosi minkä tahansa pätevän mukautetun tunnistussäännön kohdalla.

Kyselyt, joita voit suorittaa jatkuvasti

Voit suorittaa kyselyn jatkuvasti niin kauan kuin:

  • Kysely viittaa vain yhteen taulukkoon.
  • Kyselyssä käytetään operaattoria tuettujen KQL-operaattoreiden luettelosta. Tuetut KQL-ominaisuudet
  • Kysely ei käytä liitoksia, yhdistämisia tai operaattoria externaldata .
  • Kysely ei sisällä kommenttiriviä tai -tietoja.
Taulukot, jotka tukevat jatkuvaa (NRT) tiheys

Seuraavissa taulukoissa tuetaan lähes reaaliaikaisia tunnistuksia:

  • AlertEvidence
  • CloudAppEvents
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • EmailAttachmentInfo
  • EmailEvents (paitsi LatestDeliveryLocation ja LatestDeliveryAction sarakkeet)
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • UrlClickEvents

Huomautus

Vain yleisesti saatavilla olevat sarakkeet voivat tukea jatkuvaa (NRT) tiheys.

3. Valitse entiteetit, joihin vaikutus vaikuttaa

Tunnista kyselyn tuloksissa olevat sarakkeet, joista odotat löytäväsi suurimman entiteetin, johon tämä vaikuttaa tai johon se vaikuttaa. Kysely voi esimerkiksi palauttaa lähettäjän (SenderFromAddress tai SenderMailFromAddress) ja vastaanottajan (RecipientEmailAddress) osoitteet. Sen selvittäminen, mikä näistä sarakkeista edustaa suurinta vaikutuksen kohteena olevaa entiteettiä, auttaa palvelua koostamaan oleellisia hälytyksiä, korreloimaan tapauksia ja kohdevastaustoimintoja.

Voit valita vain yhden sarakkeen kullekin entiteettityypille (postilaatikko, käyttäjä tai laite). Sarakkeita, joita kysely ei palauta, ei voi valita.

4. Määritä toiminnot

Mukautettu tunnistussääntösi voi suorittaa automaattisesti toimintoja laitteissa, tiedostoissa, käyttäjissä tai sähköposteissa, jotka kysely palauttaa.

Näyttökuva, jossa näkyvät mukautettujen tunnistusten toiminnot Microsoft Defender -portaalissa.

Toiminnot laitteissa

Näitä toimintoja käytetään laitteissa kyselyn tulosten sarakkeessa DeviceId :

Tiedostojen toiminnot

  • Kun tämä on valittuna, Tiedostossa voidaan käyttää Salli/Estä-toimintoa . Tiedostojen estäminen sallitaan vain, jos sinulla on tiedostojen korjausoikeudet ja jos kyselyn tulokset ovat tunnistaneet tiedostotunnuksen, kuten SHA1:n. Kun tiedosto on estetty, myös muut saman tiedoston esiintymät kaikissa laitteissa estetään. Voit hallita, missä laiteryhmässä estoa käytetään, mutta et tiettyjä laitteita.

  • Kun tämä on valittuna, karanteenitiedostotoimintoa voidaan käyttää kyselytulosten -, InitiatingProcessSHA1- SHA256tai InitiatingProcessSHA256 -sarakkeen tiedostoihinSHA1. Tämä toiminto poistaa tiedoston sen nykyisestä sijainnista ja asettaa kopion karanteeniin.

Käyttäjien toiminnot

  • Kun tämä valitaan, merkitse käyttäjä vaarantuneeksi toiminnoksi tehdään kyselytulosten -, InitiatingProcessAccountObjectId- tai RecipientObjectId -sarakkeen käyttäjilleAccountObjectId. Tämä toiminto määrittää käyttäjien riskitasoksi Microsoft Entra -tunnuksen suuren tason, mikä käynnistää vastaavat käyttäjätietojen suojauskäytännöt.

  • Jos haluat estää käyttäjää kirjautumasta sisään tilapäisesti, valitse Poista käyttäjä käytöstä.

  • Valitse Pakota salasanan vaihtaminen , jos haluat pyytää käyttäjää vaihtamaan salasanansa seuraavan kirjautumisistunnon yhteydessä.

- ja Force password reset -Disable userasetukset edellyttävät käyttäjän SID-tunnusta, joka on sarakkeissa AccountSid, , RequestAccountSidInitiatingProcessAccountSidja OnPremSid.

Lisätietoja käyttäjän toiminnoista on artikkelissa Microsoft Defender for Identityn korjaustoiminnot.

Sähköpostiviestien toiminnot

  • Jos mukautettu tunnistus tuottaa sähköpostiviestejä, voit valita Siirrä postilaatikkokansioon siirtääksesi sähköpostiviestin valittuun kansioon (mikä tahansa Roskaposti-, Saapuneet- tai Poistetut-kansio ). Tarkemmin sanottuna voit siirtää sähköpostituloksia karanteeniin asetetuista kohteista (esimerkiksi false-positiivisten tapauksessa) valitsemalla Saapuneet-vaihtoehdon .

    Näyttökuva Saapuneet-kansion vaihtoehdosta, joka on Microsoft Defender -portaalin mukautettujen tunnistusten kohdassa.

  • Vaihtoehtoisesti voit valita Poista sähköposti ja sitten joko siirtää sähköpostiviestit poistettuihin kohteisiin (pehmeä poisto) tai poistaa valitut sähköpostiviestit pysyvästi (Kova poisto).

Sarakkeet NetworkMessageId ja RecipientEmailAddress on oltava mukana kyselyn tulostuloksissa, jotta toimintoja voidaan käyttää sähköpostiviesteissä.

5. Määritä säännön laajuus

Määritä vaikutusalue, joka määrittää, mitkä laitteet kuuluvat säännön piiriin. Vaikutusalue vaikuttaa sääntöihin, jotka tarkistavat laitteita, eivätkä ne vaikuta sääntöihin, jotka tarkistavat vain postilaatikot ja käyttäjätilit tai käyttäjätiedot.

Kun määrität käyttöaluetta, voit valita:

  • Kaikki laitteet
  • Tietyt laiteryhmät

Kysely tehdään vain alueen laitteista peräisin olevia tietoja varten. Lisäksi toimintoja suoritetaan vain kyseisissä laitteissa.

Huomautus

Käyttäjät voivat luoda tai muokata mukautettua tunnistussääntöä vain, jos heillä on vastaavat oikeudet sääntöön sisältyviin laitteisiin. Esimerkiksi järjestelmänvalvojat voivat luoda tai muokata sääntöjä, jotka on kohdistettu kaikkiin laiteryhmiin, jos heillä on kaikkien laiteryhmien käyttöoikeudet.

6. Tarkista sääntö ja ota se käyttöön

Kun olet tarkistanut säännön, tallenna se valitsemalla Luo . Mukautettu tunnistussääntö suoritetaan heti. Se suoritetaan uudelleen määritetyn tiheyden perusteella vastaavuuksien tarkistamista varten, ilmoitusten luomiseksi ja vastaustoimintojen suorittamista varten.

Tärkeää

Mukautettujen tunnistusten tehokkuus ja tehokkuus on tarkistettava säännöllisesti. Jos haluat varmistaa, että luot tunnistuksia, jotka käynnistävät todellisia ilmoituksia, tarkastele olemassa olevia mukautettuja tunnistuksiasi noudattamalla kohdan Olemassa olevien mukautettujen tunnistussääntöjen hallinta ohjeita.

Hallitset mukautettujen tunnistusten laajuutta tai spesifisyyttä, joten mukautettujen tunnistusten luomat epätosiilmoitukset saattavat merkitä tarvetta muokata sääntöjen tiettyjä parametreja.

Aiemmin luotujen mukautettujen tunnistussääntöjen hallinta

Voit tarkastella olemassa olevien mukautettujen tunnistussääntöjen luetteloa, tarkistaa niiden aiemmat suoritukset ja tarkastella käynnistettyjä ilmoituksia. Voit myös suorittaa säännön pyydettäessä ja muokata sitä.

Vihje

Mukautettujen tunnistusten antamat hälytykset ovat käytettävissä hälytysten ja tapausten ohjelmointirajapintojen kautta. Lisätietoja on kohdassa Tuetut Microsoft Defenderin XDR-ohjelmointirajapinnat.

Näytä aiemmin luodut säännöt

Jos haluat tarkastella kaikkia aiemmin luotuja mukautetun tunnistuksen sääntöjä, siirry kohtaanMukautettujen tunnistussääntöjen metsästys>. Sivulla on luettelo kaikista säännöistä, jotka liittyvät seuraaviin suoritustietoihin:

  • Viimeisin suoritus – kun sääntö suoritettiin viimeksi kyselyvastaavuuksien tarkistamiseksi ja ilmoitusten luomiseksi
  • Edellisen suorituksen tila – onnistuiko säännön suorittaminen
  • Seuraava suoritus – seuraava ajoitettu suoritus
  • Tila – onko sääntö otettu käyttöön vai poistettu käytöstä

Näytä säännön tiedot, muokkaa sääntöä ja suorita sääntö

Jos haluat tarkastella mukautetun tunnistussäännön kattavia tietoja, siirry kohtaanMukautettujen tunnistussääntöjenmetsästys> ja valitse sitten säännön nimi. Voit sitten tarkastella säännön yleisiä tietoja, kuten tietoja, suoritustilaa ja käyttöaluetta. Sivulla on myös luettelo käynnistettyjen ilmoitusten ja toimintojen luettelosta.

Mukautetun tunnistussäännön tietosivu Microsoft Defender -portaalissa

Voit myös tehdä säännölle seuraavat toiminnot tältä sivulta:

  • Suorita – suorita sääntö heti. Tämä palauttaa myös seuraavan suorituksen aikavälin.
  • Muokkaa sääntöä muuttamatta kyselyä
  • Muokkaa kyselyä – muokkaa kyselyä kehittyneessä metsästyksessä
  • Sytyttää / Poista käytöstä – ota sääntö käyttöön tai estä sen suorittaminen
  • Poista – poista sääntö käytöstä ja poista se

Näytä ja hallitse käynnistettyjä ilmoituksia

Siirry säännön tiedot -näytössä (Metsästys>Mukautetut tunnistuksia>[Säännön nimi]) kohtaan Käynnistetyt hälytykset, jossa luetellaan säännön vastaavuuksien luomat hälytykset. Valitse ilmoitus, jos haluat tarkastella sen yksityiskohtaisia tietoja ja suorittaa seuraavat toimet:

  • Hallitse ilmoitusta määrittämällä sen tila ja luokitus (tosi- tai epätosi-ilmoitus)
  • Ilmoituksen linkittäminen tapahtumaan
  • Suorita kysely, joka käynnisti hälytyksen kehittyneestä metsästyksestä

Tarkista toiminnot

Siirry säännön tiedot -näytössä (Mukautettujen tunnistusten metsästys>[Säännön nimi]) kohtaan Käynnistetut> toiminnot, jossa luetellaan tehdyt toiminnot säännön vastaavuuksien perusteella.

Vihje

Jos haluat tarkastella nopeasti taulukon kohteen tietoja ja ryhtyä toimiin, käytä taulukon vasemmalla puolella olevaa valintasaraketta [...]].

Huomautus

Jotkin tämän artikkelin sarakkeet eivät ehkä ole käytettävissä Microsoft Defender for Endpointissa. Ota Microsoft Defender XDR käyttöön uhkien etsimiseksi käyttämällä enemmän tietolähteitä. Voit siirtää kehittyneet metsästystyönkulut Microsoft Defender for Endpointista Microsoft Defender XDR:ään noudattamalla ohjeita kohdassa Kehittyneiden metsästyskyselyjen siirtäminen Microsoft Defender for Endpointista.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.