Egyéni észlelési szabályok létrehozása és kezelése

Megjegyzés:

Szeretne Microsoft Defender XDR-t használni? További információ arról, hogy hogyan értékelheti ki és próbálhatja ki a Microsoft Defender XDR-t.

Érintett szolgáltatás:

• Microsoft Defender XDR

Az egyéni észlelési szabályok olyan szabályok, amelyeket fejlett veszélyforrás-keresési lekérdezésekkel tervezhet és módosíthat. Ezek a szabályok lehetővé teszik a különböző események és rendszerállapotok proaktív monitorozását, beleértve a feltételezett biztonsági incidensi tevékenységeket és a helytelenül konfigurált végpontokat. Beállíthatja, hogy rendszeres időközönként fussanak, riasztásokat generáljon, és válaszműveleteket hajtson végre, amikor egyezések vannak.

Az egyéni észlelések kezeléséhez szükséges engedélyek

Az egyéni észlelések kezeléséhez az alábbi szerepkörök egyikét kell hozzárendelnie:

• Biztonsági beállítások (kezelés)– Az ezzel a Microsoft Defender XDR engedéllyel rendelkező felhasználók a biztonsági beállításokat a Microsoft Defender portálon kezelhetik.

• Biztonsági rendszergazda – Az ilyen Microsoft Entra szerepkörrel rendelkező felhasználók kezelhetik a biztonsági beállításokat a Microsoft Defender portálon, valamint más portálokon és szolgáltatásokban.

• Biztonsági operátor – Az ezzel a Microsoft Entra szerepkörrel rendelkező felhasználók kezelhetik a riasztásokat, és globális írásvédett hozzáféréssel rendelkeznek a biztonsággal kapcsolatos funkciókhoz, beleértve a Microsoft Defender portálon található összes információt. Ez a szerepkör csak akkor elegendő az egyéni észlelések kezeléséhez, ha a szerepköralapú hozzáférés-vezérlés (RBAC) ki van kapcsolva Végponthoz készült Microsoft Defender. Ha az RBAC konfigurálva van, a Végponthoz készült Defender biztonsági beállítások kezelésére vonatkozó engedélyre is szüksége lesz.

Az adott Microsoft Defender XDR-megoldásokból származó adatokra vonatkozó egyéni észleléseket is kezelheti, ha rendelkezik ezekre vonatkozó engedélyekkel. Ha például csak Office 365-höz készült Microsoft Defender rendelkezik kezelési engedélyekkel, táblák használatával Email hozhat létre egyéni észleléseket, táblákat azonban nemIdentity.

Megjegyzés:

Az egyéni észlelések kezeléséhez a biztonsági operátoroknak szükségük lesz a biztonsági beállítások kezelésére vonatkozó engedélyre Végponthoz készült Microsoft Defender, ha az RBAC be van kapcsolva.

A szükséges engedélyek kezeléséhez a globális rendszergazda a következőket teheti:

• Rendelje hozzá a biztonsági rendszergazdai vagy biztonsági operátori szerepkört Microsoft 365 Felügyeleti központSzerepkörökbiztonsági rendszergazdája> területen.
• Ellenőrizze Végponthoz készült Microsoft Defender RBAC-beállításait Microsoft Defender XDRBeállítások>engedélyszerepkörök> területén. Válassza ki a megfelelő szerepkört a biztonsági beállítások kezelésére vonatkozó engedély hozzárendeléséhez.

Megjegyzés:

A folytatáshoz a felhasználónak rendelkeznie kell a megfelelő engedélyekkel az eszközökhöz egy egyéni észlelési szabály eszközhatókörében , amelyet létrehoz vagy szerkeszt. A felhasználók nem szerkeszthetik az összes eszközön futtatandó egyéni észlelési szabályt, ha ugyanaz a felhasználó nem rendelkezik minden eszközre vonatkozó engedélyekkel.

Egyéni észlelési szabály létrehozása

1. A lekérdezés előkészítése

A Microsoft Defender portálon lépjen a Speciális veszélyforrás-keresés elemre, és válasszon ki egy meglévő lekérdezést, vagy hozzon létre egy új lekérdezést. Új lekérdezés használatakor futtassa a lekérdezést a hibák azonosításához és a lehetséges eredmények megértéséhez.

Fontos

Annak érdekében, hogy a szolgáltatás ne ad vissza túl sok riasztást, minden szabály csak 100 riasztás létrehozására korlátozódik, amikor fut. Szabály létrehozása előtt módosítsa a lekérdezést, hogy elkerülje a normál napi tevékenységekre vonatkozó riasztásokat.

Kötelező oszlopok a lekérdezés eredményeiben

Egyéni észlelési szabály létrehozásához a lekérdezésnek a következő oszlopokat kell visszaadnia:

• Timestamp– a generált riasztások időbélyegének beállítására szolgál
• ReportId– lehetővé teszi az eredeti rekordok keresését
• Az alábbi oszlopok egyike, amely meghatározott eszközöket, felhasználókat vagy postaládákat azonosít:
  • DeviceId
  • DeviceName
  • RemoteDeviceName
  • RecipientEmailAddress
  • SenderFromAddress (boríték feladója vagy Return-Path címe)
  • SenderMailFromAddress (e-mail-ügyfél által megjelenített feladói cím)
  • RecipientObjectId
  • AccountObjectId
  • AccountSid
  • AccountUpn
  • InitiatingProcessAccountSid
  • InitiatingProcessAccountUpn
  • InitiatingProcessAccountObjectId

Megjegyzés:

A további entitások támogatása az új táblák speciális veszélyforrás-keresési sémához való hozzáadásakor lesz hozzáadva.

Az egyszerű lekérdezések, például azok, amelyek nem használják az vagy summarize operátort az project eredmények testreszabására vagy összesítésére, általában ezeket a gyakori oszlopokat adnak vissza.

Az összetettebb lekérdezések többféleképpen is visszaadják ezeket az oszlopokat. Ha például egy oszlopban (például DeviceId) szeretné összesíteni és összeszámolni entitások szerint, akkor is visszaadhatja Timestamp és ReportId lekérheti az egyes egyedi DeviceIdelemeket tartalmazó legutóbbi eseményből.

Fontos

Kerülje az egyéni észlelések szűrését az Timestamp oszlop használatával. Az egyéni észleléshez használt adatok az észlelési gyakoriság alapján előre szűrve jelennek meg.

Az alábbi mintalekérdezés megszámolja a víruskereső-észlelésekkel rendelkező egyedi eszközök számát (DeviceId), és ezzel a számmal csak az ötnél több észleléssel rendelkező eszközöket keresi meg. A legújabb Timestamp és a megfelelő ReportIdérték visszaadásához az operátort summarize használja a arg_max függvénnyel.

DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

Tipp

A jobb lekérdezési teljesítmény érdekében állítson be egy időszűrőt, amely megfelel a szabályhoz használni kívánt futtatási gyakoriságnak. Mivel a legkevesebb futtatás 24 óránként történik, az elmúlt napra való szűrés az összes új adatot lefedi.

2. Hozzon létre új szabályt, és adja meg a riasztás részleteit

A lekérdezésszerkesztőben válassza az Észlelési szabály létrehozása lehetőséget, és adja meg a következő riasztási adatokat:

• Észlelési név – az észlelési szabály neve; egyedinek kell lennie
• Gyakoriság – a lekérdezés futtatásának és a művelet végrehajtásának időköze. További útmutatást a szabály gyakoriságát ismertető szakaszban talál
• Riasztás címe – a szabály által aktivált riasztásokkal megjelenített cím; egyedinek kell lennie
• Súlyosság – a szabály által azonosított összetevő vagy tevékenység lehetséges kockázata
• Kategória – a szabály által azonosított fenyegetési összetevő vagy tevékenység
• A MITRE ATT&CK-technikákat – a szabály által azonosított egy vagy több támadási technikát a MITRE ATT&CK keretrendszerben dokumentáltak szerint. Ez a szakasz bizonyos riasztási kategóriák, például kártevők, zsarolóprogramok, gyanús tevékenységek és nemkívánatos szoftverek esetén rejtett
• Leírás – további információ a szabály által azonosított összetevőről vagy tevékenységről
• Javasolt műveletek – további műveletek, amelyeket a válaszadók egy riasztásra adott válaszként hajthatnak végre

Szabály gyakorisága

Amikor új szabályt ment, az futtatja és ellenőrzi az elmúlt 30 nap adatainak egyezéseit. A szabály ezután rögzített időközönként újra lefut, és a kiválasztott gyakoriság alapján visszatekintési időtartamot alkalmaz:

• 24 óránként – 24 óránként fut, és ellenőrzi az elmúlt 30 nap adatait
• 12 óránként – 12 óránként fut, és ellenőrzi az elmúlt 48 óra adatait
• 3 óránként – 3 óránként fut, és ellenőrzi az elmúlt 12 óra adatait
• Óránként – óránként fut, az elmúlt 4 óra adatainak ellenőrzése
• Folyamatos (NRT) – folyamatosan fut, és közel valós idejű (NRT) módon ellenőrzi az eseményekből származó adatokat, lásd: Folyamatos (NRT) gyakoriság

Tipp

Egyezzen a lekérdezés időszűrőivel a visszatekintés időtartamával. A visszatekintés időtartamán kívüli eredményeket a rendszer figyelmen kívül hagyja.

Amikor szerkeszt egy szabályt, az a beállított gyakoriságnak megfelelően a következő futtatási időpontban alkalmazott módosításokkal fog futni. A szabály gyakorisága az esemény időbélyegén alapul, nem pedig a betöltési időn.

Folyamatos (NRT) gyakoriság

Ha egyéni észlelést állít be folyamatos (NRT) gyakoriságúra, azzal növelheti a szervezet fenyegetéseinek gyorsabb azonosítására vonatkozó képességét.

Megjegyzés:

A folyamatos (NRT) gyakoriság használata minimális hatással van az erőforrás-használatra, ezért figyelembe kell venni a szervezet bármely minősített egyéni észlelési szabályát.

Folyamatosan futtatható lekérdezések

A lekérdezéseket folyamatosan futtathatja, ha:

• A lekérdezés csak egy táblára hivatkozik.
• A lekérdezés egy operátort használ a támogatott KQL-operátorok listájából. Támogatott KQL-funkciók
• A lekérdezés nem használ illesztéseket, egyesítőket vagy operátort externaldata .

Folyamatos (NRT) gyakoriságot támogató táblák

A közel valós idejű észlelések a következő táblázatokban támogatottak:

• AlertEvidence
• CloudAppEvents
• DeviceEvents
• DeviceFileCertificateInfo
• DeviceFileEvents
• DeviceImageLoadEvents
• DeviceLogonEvents
• DeviceNetworkEvents
• DeviceNetworkInfo
• DeviceInfo
• DeviceProcessEvents
• DeviceRegistryEvents
• EmailAttachmentInfo
• EmailEvents (kivéve LatestDeliveryLocation és LatestDeliveryAction oszlopok)
• EmailPostDeliveryEvents
• EmailUrlInfo
• IdentityDirectoryEvents
• IdentityLogonEvents
• IdentityQueryEvents
• UrlClickEvents

Megjegyzés:

Csak az általánosan elérhető oszlopok támogathatják a folyamatos (NRT) gyakoriságot.

3. Válassza ki az érintett entitásokat

Azonosítsa azokat az oszlopokat a lekérdezési eredményekben, amelyekben a fő érintett vagy érintett entitás megkeresésére számít. Egy lekérdezés például feladói (SenderFromAddress vagy SenderMailFromAddress) és címzett (RecipientEmailAddress) címeket adhat vissza. Annak azonosítása, hogy ezek közül az oszlopok közül melyik képviseli a fő érintett entitást, segít a szolgáltatásnak összesíteni a releváns riasztásokat, korrelálni az incidenseket és a célzott válaszműveleteket.

Minden entitástípushoz (postaláda, felhasználó vagy eszköz) csak egy oszlopot jelölhet ki. A lekérdezés által nem visszaadott oszlopok nem jelölhetők ki.

4. Műveletek megadása

Az egyéni észlelési szabály automatikusan műveleteket hajthat végre a lekérdezés által visszaadott eszközökön, fájlokon, felhasználókon vagy e-maileken.

Eszközökre vonatkozó műveletek

Ezeket a műveleteket a rendszer a lekérdezés eredményeinek oszlopában lévő DeviceId eszközökre alkalmazza:

• Eszköz elkülönítése – Végponthoz készült Microsoft Defender használ teljes hálózatelkülönítés alkalmazásához, megakadályozva, hogy az eszköz bármely alkalmazáshoz vagy szolgáltatáshoz csatlakozzon. További információ a Végponthoz készült Microsoft Defender gépelkülönítésről
• Vizsgálati csomag gyűjtése – egy ZIP-fájlban gyűjti az eszközadatokat. További információ a Végponthoz készült Microsoft Defender vizsgálati csomagról
• Víruskereső vizsgálat futtatása – teljes Microsoft Defender víruskereső vizsgálatot végez az eszközön
• Vizsgálat kezdeményezése – automatizált vizsgálatot kezdeményez az eszközön
• Az alkalmazás végrehajtásának korlátozása – az eszközre vonatkozó korlátozásokat úgy állítja be, hogy csak a Microsoft által kiadott tanúsítvánnyal aláírt fájlok fussanak. További információ az alkalmazáskorlátozásokról a Végponthoz készült Microsoft Defender

Fájlokon végzett műveletek

• Ha be van jelölve, az Engedélyezés/letiltás művelet alkalmazható a fájlra. A blokkolási fájlok csak akkor engedélyezettek, ha szervizelési engedélyekkel rendelkezik a fájlokhoz, és ha a lekérdezés eredményei azonosítottak egy fájlazonosítót, például sha1-et. Ha egy fájl le van tiltva, ugyanazon fájl más példányai is le lesznek tiltva az összes eszközön. Szabályozhatja, hogy a blokkolás mely eszközcsoportra legyen alkalmazva, de adott eszközökre nem.

• Ha be van jelölve, a Fájl karanténba helyezése művelet alkalmazható a SHA1lekérdezés eredményeinek , InitiatingProcessSHA1, SHA256vagy InitiatingProcessSHA256 oszlopában lévő fájlokra. Ez a művelet törli a fájlt az aktuális helyéről, és karanténba helyezi a másolatot.

Műveletek a felhasználókon

• Ha be van jelölve, a Felhasználó megjelölése sérültként műveletet hajtja végre a AccountObjectIdlekérdezés eredményeinek , InitiatingProcessAccountObjectIdvagy RecipientObjectId oszlopában lévő felhasználókon. Ez a művelet "magas" szintre állítja a felhasználók kockázati szintjét a Microsoft Entra ID, és elindítja a megfelelő identitásvédelmi szabályzatokat.

• Válassza a Felhasználó letiltása lehetőséget, ha ideiglenesen meg szeretné akadályozni a felhasználó bejelentkezését.

• Válassza a Jelszó-visszaállítás kényszerítése lehetőséget, hogy a következő bejelentkezési munkamenetben kérje meg a felhasználót a jelszavának módosítására.

Mind a, mind a Disable userForce password reset beállításhoz szükség van a felhasználói SID-re, amely a , InitiatingProcessAccountSid, RequestAccountSidés OnPremSidoszlopban AccountSidtalálható.

A felhasználói műveletekkel kapcsolatos további részletekért lásd: Szervizelési műveletek Microsoft Defender for Identity.

E-mailekkel kapcsolatos műveletek

• Ha az egyéni észlelés e-mail üzeneteket eredményez, az Áthelyezés a postaláda mappába lehetőséget választva áthelyezheti az e-mailt egy kijelölt mappába (a Levélszemét, a Beérkezett üzenetek vagy a Törölt elemek mappába).

• Másik lehetőségként választhatja az E-mail törlése lehetőséget, majd áthelyezheti az e-maileket a Törölt elemek mappába (helyreállítható törlés), vagy véglegesen törölheti a kijelölt e-maileket (Végleges törlés).

A lekérdezés eredményében szereplő oszlopoknak NetworkMessageIdRecipientEmailAddress és oszlopoknak jelen kell lenniük az e-mailekre vonatkozó műveletek alkalmazásához.

5. A szabály hatókörének beállítása

A hatókör beállításával adja meg, hogy mely eszközökre vonatkozik a szabály. A hatókör befolyásolja az eszközöket ellenőrző szabályokat, és nem befolyásolja a csak postaládákat, felhasználói fiókokat vagy identitásokat ellenőrző szabályokat.

A hatókör beállításakor a következőt választhatja:

• Minden eszköz
• Adott eszközcsoportok

A rendszer csak a hatókörben lévő eszközökről kérdezi le az adatokat. Emellett csak azokon az eszközökön hajtanak végre műveleteket.

Megjegyzés:

A felhasználók csak akkor hozhatnak létre vagy szerkeszthetnek egyéni észlelési szabályt, ha rendelkeznek a szabály hatókörébe tartozó eszközök megfelelő engedélyével. A rendszergazdák például csak akkor hozhatnak létre vagy szerkeszthetnek olyan szabályokat, amelyek az összes eszközcsoportra vonatkoznak, ha minden eszközcsoporthoz rendelkeznek engedélyekkel.

6. A szabály áttekintése és bekapcsolása

A szabály áttekintése után a mentéshez válassza a Létrehozás lehetőséget. Az egyéni észlelési szabály azonnal lefut. A konfigurált gyakoriság alapján újra fut, hogy ellenőrizze a találatokat, riasztásokat hozzon létre, és válaszműveleteket hajt végre.

Fontos

Az egyéni észleléseket rendszeresen felül kell vizsgálni a hatékonyság és a hatékonyság érdekében. Ha meg szeretne győződni arról, hogy valódi riasztásokat aktiváló észleléseket hoz létre, szánjon időt a meglévő egyéni észlelések áttekintésére a Meglévő egyéni észlelési ionszabályok kezelése című témakörben leírt lépésekkel.

Ön továbbra is szabályozhatja az egyéni észlelések széles körét vagy sajátosságát, így az egyéni észlelések által generált hamis riasztások a szabályok bizonyos paramétereinek módosítására utalhatnak.

Meglévő egyéni észlelési szabályok kezelése

Megtekintheti a meglévő egyéni észlelési szabályok listáját, ellenőrizheti a korábbi futtatásokat, és áttekintheti az aktivált riasztásokat. A szabályokat igény szerint is futtathatja és módosíthatja.

Tipp

Az egyéni észlelések által generált riasztások riasztásokon és incidens API-kon keresztül érhetők el. További információ: Támogatott Microsoft Defender XDR API-k.

Meglévő szabályok megtekintése

Az összes meglévő egyéni észlelési szabály megtekintéséhez navigáljon azEgyéni észlelési szabályokveszélyforrás-kereséséhez>. Az oldal felsorolja az összes szabályt a következő futtatási információkkal:

• Utolsó futtatás – amikor egy szabályt legutóbb futtattak a lekérdezések egyezéseinek ellenőrzéséhez és riasztások létrehozásához
• Utolsó futtatás állapota – azt jelzi, hogy egy szabály sikeresen lefutott-e
• Következő futtatás – a következő ütemezett futtatás
• Állapot – azt jelzi, hogy be- vagy kikapcsolt-e egy szabályt

Szabály részleteinek megtekintése, szabály módosítása és szabály futtatása

Az egyéni észlelési szabályok átfogó információinak megtekintéséhez lépjen azEgyéni észlelési szabályokveszélyforrás-kereséséhez>, majd válassza ki a szabály nevét. Ezután megtekintheti a szabállyal kapcsolatos általános információkat, beleértve az információkat, a futtatás állapotát és a hatókört. Az oldal az aktivált riasztások és műveletek listáját is tartalmazza.

A szabályon az alábbi műveleteket is elvégezheti ezen az oldalon:

• Futtassa a parancsot – futtassa azonnal a szabályt. Ez a következő futtatás időközét is alaphelyzetbe állítja.
• Szerkesztés – a szabály módosítása a lekérdezés módosítása nélkül
• Lekérdezés módosítása – a lekérdezés szerkesztése speciális veszélyforrás-keresés során
• Bekapcsolás / Kikapcsolás – engedélyezze a szabályt, vagy állítsa le a futtatását
• Törlés – kapcsolja ki a szabályt, és távolítsa el

Aktivált riasztások megtekintése és kezelése

A szabály részleteit tartalmazó képernyőn (Hunting>Custom detections>[Rule name]) lépjen az Aktivált riasztások elemre, amely felsorolja a szabálynak megfelelő egyezések által létrehozott riasztásokat. Válasszon ki egy riasztást a részletes információk megtekintéséhez és a következő műveletek végrehajtásához:

• A riasztás kezelése az állapot és a besorolás beállításával (igaz vagy hamis riasztás)
• A riasztás csatolása egy incidenshez
• Futtassa a riasztást speciális veszélyforrás-kereséskor aktiváló lekérdezést

Műveletek áttekintése

A szabály részleteit tartalmazó képernyőn (Hunting>Custom detections>[Szabály neve]) lépjen az Aktivált műveletek elemre, amely a szabálynak megfelelő műveletek alapján listázza az elvégzett műveleteket.

Tipp

Ha gyorsan meg szeretné tekinteni az információkat, és műveletet szeretne végezni egy táblázat egy elemén, használja a táblázat bal oldalán található [✓] kijelölési oszlopot.

Megjegyzés:

Előfordulhat, hogy a cikk egyes oszlopai nem érhetők el a Végponthoz készült Microsoft Defender. Kapcsolja be a Microsoft Defender XDR, hogy több adatforrással keressen fenyegetéseket. A speciális veszélyforrás-keresési munkafolyamatokat Végponthoz készült Microsoft Defender-ról Microsoft Defender XDR-ra helyezheti át a speciális veszélyforrás-keresési lekérdezések áttelepítése Végponthoz készült Microsoft Defender.

Lásd még

• Egyéni észlelések áttekintése
• Speciális veszélyforrás-keresés áttekintése
• A speciális veszélyforrás-keresési lekérdezési nyelv elsajátítása
• Speciális veszélyforrás-keresési lekérdezések migrálása Végponthoz készült Microsoft Defender
• Microsoft Graph biztonsági API egyéni észlelésekhez

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.