Megosztás a következőn keresztül:

Ütemezett elemzési szabály létrehozása az alapoktól

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Konfigurálta az összekötőket és a tevékenységadatok digitális tulajdonban való gyűjtésének egyéb eszközeit. Most át kell ásnia az összes adatot, hogy észlelje a tevékenységmintákat, és felderítse azokat a tevékenységeket, amelyek nem felelnek meg ezeknek a mintáknak, és amelyek biztonsági fenyegetést jelenthetnek.

A Microsoft Sentinel és a Content Hubban elérhető számos megoldás a leggyakrabban használt elemzési szabályokhoz kínál sablonokat, és határozottan javasoljuk, hogy használja ezeket a sablonokat, és testre szabja őket az adott forgatókönyveknek megfelelően. Lehetséges azonban, hogy valami teljesen másra van szüksége, így ebben az esetben az elemzési szabály varázslójával létrehozhat egy szabályt az alapoktól.

Ez a cikk azt ismerteti, hogyan hozhat létre teljesen új elemzési szabályt, beleértve az Elemzési szabály varázslót is. Képernyőképek és útmutatások kísérik a varázsló elérését az Azure Portalon, a Microsoft Sentinel azon felhasználói számára, akik nem is Microsoft Defender-előfizetők, valamint a Defender portál a Microsoft Defender egyesített biztonsági üzemeltetési platform felhasználói számára.

Fontos

A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Előfeltételek

  • Rendelkeznie kell a Microsoft Sentinel közreműködői szerepkörével, vagy bármely más szerepkörével vagy engedélykészletével, amely írási engedélyeket tartalmaz a Log Analytics-munkaterületen és annak erőforráscsoportján.

  • Legalább alapszintű ismeretekkel kell rendelkeznie az adatelemzéshez és -elemzéshez, valamint a Kusto lekérdezésnyelv.

  • Ismerkedjen meg az elemzési szabály varázslójával és az összes elérhető konfigurációs beállítással. További információ: Ütemezett elemzési szabályok a Microsoft Sentinelben.

A lekérdezés megtervezése és létrehozása

Mielőtt bármi mást tenne, tervezzen és hozzon létre egy lekérdezést Kusto lekérdezésnyelv (KQL), amelyet a szabály egy vagy több tábla lekérdezésére fog használni a Log Analytics-munkaterületen.

  1. Határozza meg azt az adatforrást vagy adatforráskészletet, amelyet a szokatlan vagy gyanús tevékenységek észlelésére szeretne keresni. Keresse meg annak a Log Analytics-táblának a nevét, amelybe ezekből a forrásokból származó adatokat betölti. A tábla nevét az adott forrás adatösszekötőjének lapján találja. Használja ezt a táblanevet (vagy egy rajta alapuló függvényt) a lekérdezés alapjául.

  2. Döntse el, hogy milyen elemzést szeretne végrehajtani a lekérdezésen. Ez a döntés határozza meg, hogy mely parancsokat és függvényeket érdemes használni a lekérdezésben.

  3. Döntse el, hogy mely adatelemeket (mezőket, oszlopokat) szeretné megjeleníteni a lekérdezés eredményeiből. Ez a döntés határozza meg, hogyan strukturálja a lekérdezés kimenetét.

  4. A lekérdezések létrehozása és tesztelése a Naplók képernyőn. Ha elégedett, mentse a lekérdezést a szabályban való használatra.

A Kusto-lekérdezések készítéséhez hasznos tippekért tekintse meg az elemzési szabály lekérdezéseinek ajánlott eljárásait.

A Kusto-lekérdezések készítéséhez további segítséget a Microsoft Sentinel Kusto lekérdezésnyelv és a Kusto lekérdezésnyelv-lekérdezések ajánlott eljárásaiban talál.

Az elemzési szabály létrehozása

Ez a szakasz azt ismerteti, hogyan hozhat létre szabályt az Azure- vagy Defender-portálok használatával.

Ütemezett lekérdezési szabály létrehozásának első lépései

Első lépésként lépjen a Microsoft Sentinel Analytics lapjára egy ütemezett elemzési szabály létrehozásához.

  1. Az Azure PortalOn a Microsoft Sentinel esetében a Konfiguráció területen válassza az Analytics lehetőséget.
    A Defender portálOn a Microsoft Sentinel esetében válassza a Microsoft Sentinel>Configuration>Analytics lehetőséget.

  2. Válassza az +Ütemezett lekérdezési szabály létrehozása és kiválasztása lehetőséget.

A szabály elnevezése és általános információk megadása

Az Azure Portalon a szakaszok vizuálisan lapként jelennek meg. A Defender portálon az ütemterv mérföldköveiként jelenik meg vizuálisan.

  1. Adja meg a következő adatokat a szabályhoz.

    Mező Leírás
    Név A szabály egyedi neve.
    Leírás A szabály szabadszöveges leírása.
    Súlyosság Egyezzen meg a szabályt kiváltó tevékenységnek a célkörnyezetre gyakorolt hatásával, ha a szabály valódi pozitív.

    Információ: Nincs hatással a rendszerre, de az információk a fenyegetési szereplő által tervezett jövőbeli lépésekre utalhatnak.
    Alacsony: Az azonnali hatás minimális lenne. A veszélyforrás-szereplőknek valószínűleg több lépést kell végrehajtaniuk ahhoz, hogy hatással legyenek a környezetre.
    Közepes: A fenyegetéselterelő hatással lehet a környezetre ezzel a tevékenységgel, de korlátozott hatókörrel rendelkezne, vagy további tevékenységet igényelne.
    Magas: Az azonosított tevékenység széles körű hozzáférést biztosít a fenyegetési szereplőnek a környezetben végzett műveletekhez, vagy a környezetre gyakorolt hatás váltja ki.
    MITRE ATT&CK Válassza ki azokat a fenyegetési tevékenységeket, amelyek a szabályra vonatkoznak. Válasszon a mitre ATT&CK taktikák és technikák közül, amelyeket a legördülő listában mutatunk be. Több kijelölést is megadhat.

    A MITRE ATT&CK-fenyegetési környezet lefedettségének maximalizálásával kapcsolatos további információkért lásd : A MITRE ATT&CK® keretrendszer biztonsági lefedettségének ismertetése.
    Állapot Engedélyezve: A szabály azonnal fut a létrehozáskor, vagy azon a napon és időpontban, amikor úgy dönt, hogy ütemezi (jelenleg előzetes verzióban).
    Letiltva: A szabály létrejött, de nem fut. Ha szüksége van rá, engedélyezze később az Aktív szabályok lapon.

  2. Válassza a Tovább elemet : Szabálylogika beállítása.

A szabálylogika definiálása

A következő lépés a szabálylogika beállítása, amely magában foglalja a létrehozott Kusto-lekérdezés hozzáadását.

  1. Adja meg a szabály lekérdezési és riasztásjavítási konfigurációját.

    Beállítás Leírás
    Szabály lekérdezése Illessze be a megtervezett, összeállított és tesztelt lekérdezést a Szabály lekérdezési ablakába. Az ablakban történt módosítások azonnal érvényesítve lesznek, így ha hibák történnek, egy jelzés jelenik meg közvetlenül az ablak alatt.
    Entitások leképezése Bontsa ki az entitásleképezést , és legfeljebb 10, a Microsoft Sentinel által felismert entitástípust definiáljon a lekérdezés eredményeinek mezőire. Ez a leképezés integrálja az azonosított entitásokat a riasztási séma Entitások mezőjébe.

    Az entitások leképezésére vonatkozó teljes utasításokért lásd : Adatmezők leképezése entitásokra a Microsoft Sentinelben.
    A Surface egyéni adatai a riasztásokban Bontsa ki az egyéni adatokat , és definiálja a lekérdezési eredmények azon mezőit, amelyeket egyéni adatként szeretne a riasztásokban felszínre tenni. Ezek a mezők az esetleges incidensekben is megjelennek.

    Az egyéni adatok feltárásával kapcsolatos teljes útmutatásért tekintse meg a Microsoft Sentinel riasztásaiban található, a Surface egyéni eseményeinek részleteit.
    Riasztás részleteinek testreszabása Bontsa ki a Riasztás részleteit , és szabja testre az egyéb szabványos riasztási tulajdonságokat az egyes riasztások különböző mezőinek tartalma alapján. Testre szabhatja például a riasztás nevét vagy leírását úgy, hogy tartalmazza a riasztásban szereplő felhasználónevet vagy IP-címet.

    A riasztás részleteinek testreszabásával kapcsolatos teljes útmutatásért tekintse meg a Riasztás részleteinek testreszabása a Microsoft Sentinelben című témakört.

  2. A lekérdezés ütemezése és hatóköre. Adja meg a következő paramétereket a Lekérdezés ütemezése szakaszban:

    Beállítás Leírás/ Beállítások
    Lekérdezés futtatása minden Szabályozza a lekérdezési időközt: a lekérdezés futtatásának gyakoriságát.
    Megengedett tartomány: 5 perctől 14 napig.
    Adatok keresése az utolsóból Meghatározza a visszatekintési időszakot: a lekérdezés által lefedett időszakot.
    Megengedett tartomány: 5 perctől 14 napig.
    A lekérdezési időköznek hosszabbnak vagy egyenlőnek kell lennie.
    Futtatás indítása Automatikusan: A szabály a létrehozás után azonnal, majd a lekérdezési időközön azonnal lefut.
    Adott időpontban (előzetes verzió): Állítson be egy dátumot és időpontot a szabály első futtatásához, amely után a lekérdezési időközön fog futni.
    Engedélyezett tartomány: a szabály létrehozásának (vagy engedélyezésének) időpontja után 10 perctől 30 napig.

  3. Adja meg a riasztások létrehozásának küszöbértékét.

    A riasztás küszöbértéke szakasz használatával határozza meg a szabály bizalmassági szintjét. Állítsa be például a 100-as minimális küszöbértéket:

    Beállítás Leírás
    Riasztás létrehozása lekérdezési eredmények száma esetén Nagyobb, mint
    Események száma 100

    Ha nem szeretne küszöbértéket beállítani, írja be 0 a szám mezőbe.

  4. Eseménycsoportozási beállítások megadása.

    Az Eseménycsoportozás csoportban válasszon egyet az események riasztásokba való csoportosításának kezelésére:

    Beállítás Működés
    Az összes esemény csoportosítása egyetlen riasztásba
    (alapértelmezett)    		 A szabály minden futtatáskor egyetlen riasztást hoz létre, amíg a lekérdezés több eredményt ad vissza, mint a fenti riasztási küszöbérték . Ez az egyetlen riasztás összefoglalja a lekérdezés eredményeiben visszaadott összes eseményt.
    Riasztás aktiválása minden eseményhez A szabály egyedi riasztást hoz létre a lekérdezés által visszaadott minden egyes eseményhez. Ez akkor hasznos, ha azt szeretné, hogy az események egyenként jelenjenek meg, vagy ha bizonyos paraméterek szerint szeretné csoportosítani őket – felhasználó, állomásnév vagy valami más szerint. Ezeket a paramétereket a lekérdezésben definiálhatja.

  5. A riasztás létrehozása után átmenetileg tiltsa el a szabályt.

    Ha egy szabályt a következő futási időn túl szeretne letiltani, ha riasztást hoz létre, kapcsolja be a stop running queryt a riasztás létrehozása után. Ha bekapcsolja ezt a funkciót, állítsa be a Lekérdezés leállítása beállítást arra az időre, amíg a lekérdezésnek le kell állnia, legfeljebb 24 óráig.

  6. Szimulálja a lekérdezési és logikai beállítások eredményeit.

    Az Eredmények szimuláció területén válassza az Aktuális adatok tesztelése lehetőséget, hogy lássa, hogyan néznének ki a szabályeredmények, ha az aktuális adatokon futna. A Microsoft Sentinel 50-szer szimulálja a szabályt az aktuális adatokon a megadott ütemezés használatával, és megjeleníti az eredmények (naplóesemények) grafikonját. Ha módosítja a lekérdezést, a gráf frissítéséhez válassza ismét a Tesztelés az aktuális adatokkal lehetőséget. A gráf a Lekérdezés ütemezése szakaszban megadott beállítások által meghatározott időszak eredményeinek számát mutatja.

  7. Válassza a Következő: Incidensbeállítások lehetőséget.

Az incidenslétrehozás beállításainak konfigurálása

Az Incidensbeállítások lapon adja meg, hogy a Microsoft Sentinel a riasztásokat végrehajtható incidensekké alakítja-e, és hogy a riasztások csoportosítva legyenek-e incidensekben.

  1. Incidensek létrehozásának engedélyezése.

    Az Incidensbeállítások szakaszban az elemzési szabály által aktivált riasztásokból származó incidensek létrehozása alapértelmezés szerint engedélyezve van, ami azt jelenti, hogy a Microsoft Sentinel egyetlen, a szabály által aktivált riasztástól különálló incidenst hoz létre.

    • Ha nem szeretné, hogy ez a szabály incidensek létrehozását eredményezné (például ha ez a szabály csak az információk gyűjtésére szolgál a későbbi elemzéshez), állítsa ezt letiltott értékre.

      Fontos

      Ha a Microsoft Sentinelt a Microsoft Defender portál egyesített biztonsági üzemeltetési platformjára küldte, hagyja engedélyezve ezt a beállítást.

    • Ha egyetlen incidenst szeretne létrehozni a riasztások egy csoportjából, és nem minden egyes riasztáshoz, tekintse meg a következő szakaszt.

  2. Riasztáscsoportozási beállítások megadása.

    Ha azt szeretné, hogy egyetlen incidens akár 150 hasonló vagy ismétlődő riasztásból is létrejönjön (lásd a megjegyzést), állítsa be a csoporthoz kapcsolódó riasztásokat az elemzési szabály által aktivált incidensekre engedélyezve, és állítsa be a következő paramétereket.

    1. Korlátozza a csoportot a kiválasztott időkereten belül létrehozott riasztásokra: Állítsa be azt az időkeretet, amelyen belül a hasonló vagy ismétlődő riasztások csoportosítva vannak. Az ezen időkereten kívüli riasztások külön incidenst vagy incidenskészletet hoznak létre.

    2. Az elemzési szabály által aktivált riasztások csoportosítása egyetlen incidensbe: Válassza ki a riasztások csoportosításának módját:

      Lehetőség Leírás
      Riasztások csoportosítása egyetlen incidensbe, ha az összes entitás egyezik A riasztások csoportosítva lesznek, ha azonos értékeket osztanak meg az egyes leképezett entitásokhoz (a fenti Szabály beállítása logikai lapon definiálva). Ez a javasolt beállítás.
      A szabály által aktivált összes riasztás csoportosítása egyetlen incidensbe A szabály által generált összes riasztás akkor is csoportosítva lesz, ha nem azonos értékekkel rendelkeznek.
      Riasztások csoportosítása egyetlen incidensbe, ha a kiválasztott entitások és részletek egyeznek A riasztások akkor lesznek csoportosítva, ha azonos értékeket használnak az összes megfeleltetett entitáshoz, a riasztás részleteihez és a megfelelő legördülő listákból kiválasztott egyéni adatokhoz.

    3. Zárt egyező incidensek újbóli megnyitása: Ha egy incidenst megoldottak és lezártak, és később egy másik riasztás jön létre, amelynek az adott incidenshez kell tartoznia, állítsa ezt a beállítást engedélyezve, ha újra meg szeretné nyitni a bezárt incidenst, és hagyja letiltva, ha azt szeretné, hogy a riasztás új incidenst hozzon létre.

    Feljegyzés

    Legfeljebb 150 riasztás csoportosítható egyetlen incidensbe.

    • Az incidens csak az összes riasztás létrehozása után jön létre. Az összes riasztás azonnal hozzá lesz adva az incidenshez a létrehozása után.

    • Ha több mint 150 riasztást hoz létre egy szabály, amely egyetlen incidensbe csoportosítja őket, egy új incidens jön létre ugyanazokkal az incidensadatokkal, mint az eredeti, és a felesleges riasztások az új incidensbe lesznek csoportosítva.

  3. Válassza a Tovább elemet : Automatikus válasz.

Automatizált válaszok áttekintése vagy hozzáadása

  1. Az Automatikus válaszok lapon tekintse meg a listában megjelenő automatizálási szabályokat. Ha olyan válaszokat szeretne hozzáadni, amelyekre még nem vonatkoznak a meglévő szabályok, két lehetőség közül választhat:

    Ha többet szeretne megtudni arról, hogy mire használhatók az automatizálási szabályok, olvassa el a Fenyegetéskezelés automatizálása a Microsoft Sentinelben automatizálási szabályokkal című témakört .

    • A képernyő alján található Riasztásautomatizálás (klasszikus) területen minden olyan forgatókönyv jelenik meg, amelyet úgy konfigurált, hogy automatikusan fusson, amikor a riasztás a régi módszerrel jön létre.

      • 2023 júniusától már nem adhat hozzá forgatókönyveket ehhez a listához. Az itt már felsorolt forgatókönyvek a módszer elavult, 2026. márciusi érvénybe lépéséig futnak tovább.

      • Ha továbbra is vannak itt felsorolt forgatókönyvek, ehelyett létre kell hoznia egy automatizálási szabályt a riasztás által létrehozott eseményindító alapján, és meg kell hívnia a forgatókönyvet az automatizálási szabályból. Ezt követően válassza az itt felsorolt forgatókönyv sorának végén található három pontot, majd válassza az Eltávolítás lehetőséget. A teljes útmutatásért tekintse meg a Microsoft Sentinel riasztás-trigger forgatókönyveinek migrálását automatizálási szabályokba .

  1. Válassza a Tovább elemet : Áttekintés és létrehozás az új elemzési szabály összes beállításának áttekintéséhez.

Konfiguráció ellenőrzése és a szabály létrehozása

  1. Amikor megjelenik az "Ellenőrzés átadott" üzenet, válassza a Létrehozás lehetőséget.

  2. Ha hiba jelenik meg, keresse meg és jelölje ki a piros X-et a varázsló azon lapján, ahol a hiba történt.

  3. Javítsa ki a hibát, és lépjen vissza a Véleményezés és létrehozás lapra az ellenőrzés ismételt futtatásához.

A szabály és kimenetének megtekintése

A szabálydefiníció megtekintése

Az újonnan létrehozott egyéni szabályt ("Ütemezett" típusú) a fő Elemzés képernyő Aktív szabályok lapjának táblázatában találja. Ebből a listából engedélyezheti, letilthatja vagy törölheti az egyes szabályokat.

A szabály eredményeinek megtekintése

Az Azure Portalon létrehozott elemzési szabályok eredményeinek megtekintéséhez nyissa meg az Incidensek lapot, ahol az incidensek osztályozását, kivizsgálását és a fenyegetések elhárítását végezheti el.

Képernyőkép az Azure Portal incidensoldaláról.

A szabály finomhangolása

Feljegyzés

A Microsoft Sentinelben létrehozott riasztások a Microsoft Graph Securityen keresztül érhetők el. További információ: Microsoft Graph Security-riasztások dokumentációja.

A szabály exportálása ARM-sablonba

Ha kódként szeretné csomagolni a szabályt a felügyelethez és üzembe helyezéshez, egyszerűen exportálhatja a szabályt egy Azure Resource Manager-sablonba. A szabályok sablonfájlokból is importálhatók, hogy megtekinthessék és szerkeszthessék őket a felhasználói felületen.

Következő lépések

Ha elemzési szabályokkal észleli a Microsoft Sentinel fenyegetéseit, győződjön meg arról, hogy a csatlakoztatott adatforrásokhoz társított összes szabályt engedélyezi a környezet teljes biztonsági lefedettségének biztosítása érdekében.

A szabályok engedélyezésének automatizálásához le kell küldeni a szabályokat a Microsoft Sentinelbe API-n és PowerShellen keresztül, bár ehhez további erőfeszítésekre van szükség. AZ API vagy a PowerShell használatakor először a szabályok engedélyezése előtt exportálnia kell a szabályokat a JSON-ba. Az API vagy a PowerShell akkor lehet hasznos, ha a Microsoft Sentinel több példányában azonos beállításokkal rendelkező szabályokat engedélyez az egyes példányokban.

További információk:

Emellett megtudhatja, hogyan használhat egyéni elemzési szabályokat a Nagyítás egyéni összekötővel való monitorozása során.