Fenyegetések beépített észlelése

Megjegyzés

Az Azure Sentinel neve mostantól Microsoft Sentinel, és a következő hetekben frissíteni fogjuk ezeket az oldalakat. További információ a Microsoft legújabb biztonsági fejlesztéseiről.

Miután csatlakoztatta az adatforrásokat a Microsoft Sentinelhez, értesítést szeretne kapni, ha valami gyanús történik. Ezért biztosít a Microsoft Sentinel beépített sablonokat a fenyegetésészlelési szabályok létrehozásához.

A szabálysablonokat a Microsoft biztonsági szakértőinek és elemzőinek csapata tervezte ismert fenyegetések, gyakori támadási vektorok és gyanús tevékenységeszkalációs láncok alapján. Az ezekből a sablonokból létrehozott szabályok automatikusan megkeresik a környezetben a gyanúsnak tűnő tevékenységeket. Számos sablon testre szabható úgy, hogy az igényeinek megfelelően keressen tevékenységeket, vagy szűrje ki őket. A szabályok által létrehozott riasztások olyan incidenseket hoznak létre, amelyeket hozzárendelhet és kivizsgálhat a környezetben.

Ez a cikk segít megérteni, hogyan észlelheti a fenyegetéseket a Microsoft Sentinellel:

  • Beépített fenyegetésészlelések használata
  • Veszélyforrás-válaszok automatizálása

Beépített észlelések megtekintése

A Microsoft Sentinel összes elemzési szabályának és észlelésének megtekintéséhez lépjen az Elemzési>szabálysablonok elemre. Ez a lap tartalmazza az összes beépített Microsoft Sentinel-szabályt, valamint a Fenyegetésfelderítés szabálytípust.

A Microsoft Sentinelrel való fenyegetéskeresésre szolgáló beépített észlelési szabályokat ábrázoló képernyőkép.

A beépített észlelések a következők:

Szabály típusa Description
Microsoft-biztonság A Microsoft biztonsági sablonjai automatikusan létrehoznak Microsoft Sentinel-incidenseket a Microsoft egyéb biztonsági megoldásaiban létrehozott riasztásokból valós időben. A Microsoft biztonsági szabályait sablonként használhatja hasonló logikájú új szabályok létrehozásához.

További információ a biztonsági szabályokról: Incidensek automatikus létrehozása a Microsoft biztonsági riasztásaiból.
Fusion
(néhány észlelés előzetes verzióban)
A Microsoft Sentinel a fúziós korrelációs motor és skálázható gépi tanulási algoritmusai segítségével észleli a fejlett többlépcsős támadásokat azáltal, hogy számos alacsony megbízhatóságú riasztást és eseményt korrelál több termék között nagy megbízhatóságú és végrehajtható incidensekké. A fúzió alapértelmezés szerint engedélyezve van. Mivel a logika rejtett, ezért nem testreszabható, csak egy szabályt hozhat létre ezzel a sablonnal.

A Fusion motor az ütemezett elemzési szabályok által létrehozott riasztásokat is korrelálni tudja más rendszerekből származó riasztásokkal, így nagy megbízhatóságú incidenseket eredményezhet.
Gépi tanulás (ML) viselkedéselemzése A gépi tanulási viselkedéselemzési sablonok saját microsoftos gépi tanulási algoritmusokon alapulnak, így nem láthatja a működésük és a futtatásuk belső logikáját.

Mivel a logika rejtett, ezért nem testreszabható, csak egy szabályt hozhat létre minden ilyen típusú sablonnal.
Fenyegetések felderítése A Microsoft fenyegetésfelderítési elemzési szabályával nagy megbízhatóságú riasztásokat és incidenseket hozhat létre a Microsoft által előállított fenyegetésfelderítési intelligencia segítségével. Ez az egyedi szabály nem szabható testre, de ha engedélyezve van, automatikusan megfelel a Common Event Format (CEF) naplóinak, a Syslog-adatoknak vagy a Windows DNS-eseményeknek a Microsoft Threat Intelligence tartomány-, IP- és URL-fenyegetésjelzőivel. Egyes mutatók további környezeti információkat tartalmaznak az MDTI (Microsoft Defender Intelligens veszélyforrás-felderítés) segítségével.

A szabály engedélyezésével kapcsolatos további információkért lásd: Egyező elemzések használata a fenyegetések észleléséhez.
Az MDTI-vel kapcsolatos további információkért lásd: Mi az a Microsoft Defender Intelligens veszélyforrás-felderítés
Anomália Az anomáliadetektálási szabálysablonok gépi tanulással észlelik a rendellenes viselkedés bizonyos típusait. Minden szabály saját egyedi paraméterekkel és küszöbértékekkel rendelkezik, az elemzett viselkedésnek megfelelően.

Bár a beépített szabályok konfigurációi nem módosíthatók vagy finomhangolhatók, duplikálhat egy szabályt, majd módosíthatja és finomhangolhatja az ismétlődést. Ilyen esetekben futtassa a duplikátumot Flighting módban és az eredetit egyidejűleg Éles módban. Ezután hasonlítsa össze az eredményeket, és állítsa a duplikátumot Élesre , ha és amikor a finomhangolás az Ön tetszése szerint történik.

További információ: A Fenyegetések észlelése testre szabható anomáliák használatával a Microsoft Sentinelben és Az anomáliadetektálási elemzési szabályok használata a Microsoft Sentinelben.
Ütemezett Az ütemezett elemzési szabályok a Microsoft biztonsági szakértői által írt beépített lekérdezéseken alapulnak. Megtekintheti a lekérdezési logikát, és módosíthatja azt. Az ütemezett szabályok sablonnal testre szabhatja a lekérdezési logikát és az ütemezési beállításokat új szabályok létrehozásához.

Számos új ütemezett elemzési szabálysablon olyan riasztásokat hoz létre, amelyeket a Fusion motor és más rendszerek riasztásai korrelálnak a nagy megbízhatóságú incidensek létrehozásához. További információ: Speciális többlépcsős támadásészlelés.

Tipp: A szabályütemezési beállítások közé tartozik a szabály konfigurálása úgy, hogy a megadott számú percben, órában vagy naponként fusson, és a szabály engedélyezésekor kezdődjön az óra.

Javasoljuk, hogy vegye figyelembe, hogy mikor engedélyez egy új vagy szerkesztett elemzési szabályt, hogy a szabályok időben megkapják az új incidenssorozatot. Előfordulhat például, hogy szinkronizálva szeretne futtatni egy szabályt, amikor az SOC-elemzők elkezdik a munkanapjukat, majd engedélyezni a szabályokat.
Közel valós idejű (NRT)
(Előzetes verzió)
Az NRT-szabályok ütemezett szabályok korlátozott készletei, amelyek percenként egyszer futnak, hogy a lehető legpercig információt nyújthassák Önnek.

Ezek többnyire az ütemezett szabályokhoz hasonlóan működnek, és bizonyos korlátozásokkal hasonlóan vannak konfigurálva. További információ: Fenyegetések gyors észlelése közel valós idejű (NRT) elemzési szabályokkal a Microsoft Sentinelben.

Fontos

A fent említett szabálysablonok jelenleg előzetes verzióban érhetők el, ahogyan a fúziós észlelési sablonok is (a Speciális többlépéses támadásészlelés a Microsoft Sentinelben című témakörben talál további információt. A Microsoft Azure előzetes verziójának kiegészítő használati feltételei című cikkben további jogi feltételeket talál, amelyek a bétaverziós, előzetes verziójú vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Beépített elemzési szabályok használata

Ez az eljárás a beépített elemzési szabályok sablonjainak használatát ismerteti.

Beépített elemzési szabályok használata:

  1. A Microsoft Sentinel >Analytics-szabálysablonok> lapon válasszon ki egy sablonnevet, majd válassza a Szabály létrehozása gombot a részletek panelen, és hozzon létre egy új aktív szabályt a sablon alapján.

    Minden sablon rendelkezik a szükséges adatforrások listájával. A sablon megnyitásakor a rendszer automatikusan ellenőrzi az adatforrások rendelkezésre állását. Rendelkezésre állási probléma esetén előfordulhat, hogy a Szabály létrehozása gomb le van tiltva, vagy erre vonatkozó figyelmeztetés jelenhet meg.

    Észlelési szabály előnézeti panelje

  2. A Szabály létrehozása lehetőség kiválasztásával megnyílik a szabálylétrehozási varázsló a kiválasztott sablon alapján. A rendszer automatikusan kitölti az összes részletet, és az Ütemezett vagy a Microsoft biztonsági sablonjaival testre szabhatja a logikát és az egyéb szabálybeállításokat, hogy jobban megfeleljen az igényeinek. Ezt a folyamatot megismételve további szabályokat hozhat létre a beépített sablon alapján. Miután végigkövette a szabálylétrehozó varázsló lépéseit, befejezte a szabály sablonon alapuló létrehozását. Az új szabályok az Aktív szabályok lapon jelennek meg.

    A szabályok testreszabásáról a szabálylétrehozó varázslóban az Egyéni elemzési szabályok létrehozása a fenyegetések észleléséhez című témakörben olvashat bővebben.

Tipp

  • Győződjön meg arról, hogy a csatlakoztatott adatforrásokhoz társított összes szabályt engedélyezi a környezet teljes körű biztonsági lefedettségének biztosítása érdekében. Az elemzési szabályok engedélyezésének leghatékonyabb módja közvetlenül az adatösszekötő oldaláról érhető el, amely felsorolja a kapcsolódó szabályokat. További információ: Adatforrások csatlakoztatása.

  • A szabályokat api-n és PowerShellen keresztül is leküldheti a Microsoft Sentinelnek, bár ehhez további erőfeszítésre van szükség.

    API vagy PowerShell használata esetén a szabályok engedélyezése előtt exportálnia kell a szabályokat JSON-ba. Az API vagy a PowerShell akkor lehet hasznos, ha a Microsoft Sentinel több példányában azonos beállításokkal rendelkező szabályokat engedélyez az egyes példányokban.

Szabályok exportálása ARM-sablonba

Ha kódként szeretné kezelni és üzembe helyezni a szabályokat, egyszerűen exportálhatja a szabályt egy Azure Resource Manager- (ARM-) sablonba. A szabályokat sablonfájlokból is importálhatja, hogy megtekinthesse és szerkeszthesse őket a felhasználói felületen.

Következő lépések