A fenyegetések észleléséhez használjon egyező elemzést

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Használja ki a Microsoft által előállított fenyegetésintelligencia előnyeit a Microsoft Defender Intelligens veszélyforrás-felderítés Analytics-szabálysal kapcsolatos magas megbízhatósági riasztások és incidensek létrehozásához. A Microsoft Sentinel beépített szabálya megegyezik a Common Event Format (CEF) naplókkal, a Tartomány- és IPv4-fenyegetésjelzőkkel rendelkező Windows DNS-események, a syslog-adatok stb.

Fontos

A megfelelő elemzés jelenleg előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Előfeltételek

A magas megbízhatósági riasztások és incidensek létrehozásához telepíteni kell egy vagy több támogatott adatösszekötőt, de nincs szükség prémium szintű MDTI-licencre. Telepítse a megfelelő megoldásokat a tartalomközpontból ezeknek az adatforrásoknak a csatlakoztatásához.

  • Common Event Format (CEF)
  • DNS (előzetes verzió)
  • Rendszernapló
  • Office-tevékenységnaplók
  • Azure-tevékenységnaplók

Képernyőkép a Microsoft Defender Intelligens veszélyforrás-felderítés Analytics-szabály adatforrás-kapcsolatairól.

Az adatforrástól függően például az alábbi megoldásokat és adatösszekötőket használhatja.

Megoldás Adatösszekötő
A Sentinel gyakori eseményformátum-megoldása Common Event Format (CEF) összekötő a Microsoft Sentinelhez
Windows Server DNS DNS-összekötő a Microsoft Sentinelhez
Syslog-megoldás a Sentinelhez Syslog-összekötő a Microsoft Sentinelhez
Microsoft 365-megoldás Sentinelhez Office 365-összekötő a Microsoft Sentinelhez
Azure Activity solution for Sentinel Azure-tevékenység-összekötő a Microsoft Sentinelhez

Az egyező elemzési szabály konfigurálása

Az egyező elemzések akkor konfigurálhatók, ha engedélyezi a Microsoft Defender Intelligens veszélyforrás-felderítés Analytics-szabályt.

  1. Kattintson az Elemzés menüre a Konfiguráció szakaszban.

  2. Válassza a Szabálysablonok menülapot.

  3. A keresési ablakban írja be a fenyegetésfelderítést.

  4. Válassza ki a Microsoft Defender Intelligens veszélyforrás-felderítés Analytics-szabálysablont.

  5. Kattintson a Szabály létrehozása gombra. A szabály részletei csak olvashatók, és a szabály alapértelmezett állapota engedélyezve van.

  6. Kattintson a Létrehozás áttekintése>gombra.

Képernyőkép az Aktív szabályok lapon engedélyezett Microsoft Defender Intelligens veszélyforrás-felderítés Analytics-szabályról.

Adatforrások és mutatók

Microsoft Defender Intelligens veszélyforrás-felderítés (MDTI) Az Elemzés a következő módon egyezik a naplókkal tartomány- és IP-címjelzőkkel:

  • A Log Analytics CommonSecurityLog táblába beszúrt CEF-naplók megfelelnek az URL-címnek és a tartományjelzőknek, ha a RequestURL mezőben fel van töltve, és az IPv4-mutatók a DestinationIP mezőben.

  • A Windows DNS naplói, ahol a DnsEvents táblába betöltött esemény SubType == "LookupQuery" megegyezik a mezőben kitöltött tartományjelzőkkel és a NameIPAddresses mezőben lévő IPv4-jelzőkkel.

  • A Syslog táblába betöltött syslog-eseményekFacility == "cron" közvetlenül a mezőből egyeznek meg a tartománysal és az SyslogMessage IPv4-jelzőkkel.

  • Az OfficeActivity táblába betöltött Office-tevékenységnaplók közvetlenül a mezőből egyeznek az ClientIP IPv4-jelölőkkel.

  • Az AzureActivity táblába betöltött Azure-tevékenységnaplók közvetlenül a mezőből egyeznek meg az CallerIpAddress IPv4-jelölőkkel.

Az egyező elemzések által generált incidensek osztályozása

Ha a Microsoft elemzése egyezést talál, a létrehozott riasztások incidensek szerint vannak csoportosítva.

A Microsoft Defender Intelligens veszélyforrás-felderítés Analytics-szabály által generált incidensek osztályozásához kövesse az alábbi lépéseket:

  1. A Microsoft Sentinel munkaterületen, ahol engedélyezte a Microsoft Defender Intelligens veszélyforrás-felderítés Analytics-szabályt, válassza az Incidensek lehetőséget, és keresse meg a Microsoft Defender Intelligens veszélyforrás-felderítés Elemzés.

    A talált incidensek a rácson jelennek meg.

  2. Válassza a Teljes adatok megtekintése lehetőséget az entitások és az incidens egyéb részleteinek( például adott riasztások) megtekintéséhez.

    Példa:

    Képernyőkép az analitika és a részletek panel egyeztetésével létrehozott incidensről.

  3. Figyelje meg a riasztásokhoz és az incidenshez rendelt súlyosságot. A mutató egyeztetésének módjától függően a rendszer a megfelelő súlyosságot rendeli hozzá a riasztáshoz InformationalHigh. Ha például a jelző megegyezik a forgalmat engedélyező tűzfalnaplókkal, a rendszer magas súlyossági riasztást hoz létre. Ha ugyanazt a jelzőt a forgalmat letiltó tűzfalnaplókkal egyeztetik, a létrehozott riasztás alacsony vagy közepes lehet.

    A riasztások ezután a mutató megfigyelhető alapján vannak csoportosítva. Például a tartománynak megfelelő contoso.com 24 órás időtartamban létrehozott összes riasztás egyetlen incidensbe van csoportosítva, a legmagasabb riasztási súlyosság alapján hozzárendelt súlyossággal.

  4. Figyelje meg a mutató részleteit. Ha talál egyezést, a mutató megjelenik a Log Analytics ThreatIntelligenceIndicators táblában, és megjelenik a Fenyegetésintelligencia lapon. A szabályból közzétett mutatók esetében a forrás Microsoft Defender Intelligens veszélyforrás-felderítés Analyticsként van definiálva.

Például a ThreatIntelligenceIndicators táblában:

Képernyőkép a ThreatIntelligenceIndicator tábláról a Log Analyticsben, amelyen a Microsoft Threat Intelligence Analytics SourceSystemje látható.

A Fenyegetésfelderítés lapon:

Képernyőkép a Fenyegetésintelligencia áttekintéséről, a forrást a Microsoft Threat Intelligence Analyticsként megjelenítő jelzővel.

További környezet a Microsoft Defender Intelligens veszélyforrás-felderítés

A magas megbízhatósági riasztások és incidensek mellett néhány MDTI-mutató tartalmaz egy hivatkozási cikket az MDTI közösségi portálján.

Képernyőkép egy incidensről az MDTI referenciacikkére mutató hivatkozással.

További információt az MDTI portálján és a Mi Microsoft Defender Intelligens veszélyforrás-felderítés?

Kapcsolódó tartalom

Ebben a cikkben megtanulhatta, hogyan kapcsolhatja össze a Microsoft által létrehozott fenyegetésfelderítést riasztások és incidensek létrehozásához. A Microsoft Sentinel fenyegetésfelderítésével kapcsolatos további információkért tekintse meg az alábbi cikkeket: