Megosztás a következőn keresztül:


Fenyegetésészlelés a Microsoft Sentinelben

Miután beállította a Microsoft Sentinelt, hogy adatokat gyűjtsön a szervezet minden részéről, folyamatosan át kell ásnia az összes adatot, hogy észlelje a környezetét fenyegető biztonsági fenyegetéseket. A feladat elvégzéséhez a Microsoft Sentinel rendszeresen futó fenyegetésészlelési szabályokat biztosít, lekérdezi az összegyűjtött adatokat, és elemzi őket a fenyegetések felderítése érdekében. Ezek a szabályok néhány különböző ízben jelennek meg, és együttesen elemzési szabályokként ismertek.

Ezek a szabályok riasztásokat hoznak létre, amikor megtalálják, amit keresnek. A riasztások információkat tartalmaznak az észlelt eseményekről, például az érintett entitásokról (felhasználókról, eszközökről, címekről és egyéb elemekről). A riasztások összesítve és összefüggésben állnak az incidensekkel – esetfájlokkal –, amelyeket hozzárendelhet és megvizsgálhat, hogy megismerje az észlelt fenyegetés teljes mértékét, és ennek megfelelően válaszoljon. Előre meghatározott, automatizált válaszokat is létrehozhat a szabályok saját konfigurációjába.

Ezeket a szabályokat a beépített elemzési szabály varázslóval hozhatja létre az alapoktól. A Microsoft azonban határozottan arra ösztönzi Önt, hogy a tartalomközpontban elérhető Számos, a Microsoft Sentinelhez elérhető megoldáson keresztül használja ki a rendelkezésére álló elemzési szabálysablonokat. Ezek a sablonok előre összeállított szabály-prototípusok, amelyeket biztonsági szakértők és elemzők csapatai terveztek az ismert fenyegetések, a gyakori támadási vektorok és a gyanús tevékenység-eszkalációs láncok ismerete alapján. Ezekből a sablonokból aktiválja a szabályokat, hogy automatikusan keressen rá a környezetben a gyanúsnak tűnő tevékenységekre. Számos sablon testre szabható, hogy meghatározott típusú eseményeket keressen, vagy az igényeinek megfelelően szűrje őket.

Ez a cikk segít megérteni, hogyan észleli a Microsoft Sentinel a fenyegetéseket, és mi történik a következő lépésekkel.

Fontos

A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Elemzési szabályok típusai

A Microsoft Sentinel Konfiguráció menüjének Elemzés lapján megtekintheti a rendelkezésére álló elemzési szabályokat és sablonokat. Az aktuálisan aktív szabályok az egyik lapon láthatók, a sablonok pedig új szabályokat hoznak létre egy másik lapon. A harmadik lap az anomáliákat jeleníti meg, egy speciális szabálytípust, amelyet a cikk későbbi részében ismertetünk.

Ha a jelenleginél több szabálysablont szeretne keresni, lépjen a Microsoft Sentinel Tartalomközpontba a kapcsolódó termékmegoldások vagy önálló tartalmak telepítéséhez. Az elemzési szabálysablonok szinte minden termékmegoldással elérhetők a tartalomközpontban.

A Microsoft Sentinelben az alábbi elemzési szabályok és szabálysablonok érhetők el:

Az előző szabálytípusokon kívül más speciális sablontípusok is léteznek, amelyek mindegyike létrehozhat egy-egy szabálypéldányt, korlátozott konfigurációs beállításokkal:

Ütemezett szabályok

Messze a leggyakoribb elemzési szabály, az ütemezett szabályok olyan Kusto-lekérdezéseken alapulnak, amelyek úgy vannak konfigurálva, hogy rendszeres időközönként fussanak, és egy meghatározott "visszatekintési" időszakból származó nyers adatokat vizsgáljanak. Ha a lekérdezés által rögzített eredmények száma túllépi a szabályban konfigurált küszöbértéket, a szabály riasztást hoz létre.

Az ütemezett szabálysablonokban lévő lekérdezéseket biztonsági és adatelemzési szakértők írták, akár a Microsofttól, akár a sablont biztosító megoldás gyártójától. A lekérdezések összetett statisztikai műveleteket hajthatnak végre a céladatokon, így az alapkonfigurációkat és a kiugró értékeket események csoportjaiban fedik fel.

A lekérdezési logika megjelenik a szabálykonfigurációban. Használhatja a lekérdezési logikát, valamint a sablonban meghatározott ütemezési és visszatekintési beállításokat, vagy testre szabhatja őket új szabályok létrehozásához. Másik lehetőségként teljesen új szabályokat is létrehozhat az alapoktól.

További információ az ütemezett elemzési szabályokról a Microsoft Sentinelben.

Közel valós idejű (NRT) szabályok

Az NRT-szabályok az ütemezett szabályok korlátozott részhalmazai. Úgy vannak kialakítva, hogy percenként egyszer fussanak, hogy a lehető legpercig információt nyújthassák Önnek.

Ezek többnyire az ütemezett szabályokhoz hasonlóan működnek, és bizonyos korlátozásokkal hasonlóan vannak konfigurálva.

További információ a gyors fenyegetésészlelésről közel valós idejű (NRT) elemzési szabályokkal a Microsoft Sentinelben.

Anomáliák szabályai

Az anomáliaszabályok gépi tanulással figyelnek meg bizonyos viselkedéstípusokat egy adott időszakban az alapkonfiguráció meghatározásához. Minden szabály saját egyedi paraméterekkel és küszöbértékekkel rendelkezik, az elemzett viselkedésnek megfelelően. A megfigyelési időszak befejezése után a rendszer beállítja az alapkonfigurációt. Amikor a szabály olyan viselkedéseket észlel, amelyek túllépik az alapkonfigurációban megadott határokat, azokat rendellenesként jelöli meg.

Bár a beépített szabályok konfigurációi nem módosíthatók vagy finomhangolhatók, duplikálhat egy szabályt, majd módosíthatja és finomhangolhatja az ismétlődést. Ilyen esetekben futtassa az ismétlődést Flighting módban és az eredetit egyidejűleg Éles módban. Ezután hasonlítsa össze az eredményeket, és állítsa a duplikált értéket élesre , ha és amikor a finomhangolás az Ön tetszése szerint történik.

Az anomáliák önmagukban nem feltétlenül jeleznek rosszindulatú vagy akár gyanús viselkedést. Ezért az anomáliára vonatkozó szabályok nem hoznak létre saját riasztásokat. Ehelyett az elemzés eredményeit – az észlelt rendellenességeket – az Anomáliák táblában rögzítik . Ezt a táblát lekérdezheti, hogy olyan környezetet biztosítson, amely javítja az észleléseket, a nyomozásokat és a fenyegetéskeresést.

További információ: A Microsoft Sentinel és a Microsoft Sentinel anomáliadetektálási elemzési szabályainak használata a fenyegetések észleléséhez testre szabható anomáliák használatával.

Microsoft biztonsági szabályok

Bár az ütemezett és az NRT-szabályok automatikusan hoznak létre incidenseket az általuk létrehozott riasztásokhoz, a külső szolgáltatásokban létrehozott és a Microsoft Sentinelbe betöltött riasztások nem hoznak létre saját incidenseket. A Microsoft biztonsági szabályai automatikusan létrehoznak Microsoft Sentinel-incidenseket más Microsoft biztonsági megoldásokban létrehozott riasztásokból valós időben. A Microsoft biztonsági sablonjaival hasonló logikájú új szabályokat hozhat létre.

Fontos

A Microsoft biztonsági szabályai nem érhetők el , ha az alábbiakkal rendelkezik:

Ezekben a forgatókönyvekben a Microsoft Defender XDR inkább az incidenseket hozza létre.

A korábban definiált szabályok automatikusan le lesznek tiltva.

A Microsoft biztonsági incidensek létrehozásának szabályaival kapcsolatos további információkért lásd: Incidensek automatikus létrehozása a Microsoft biztonsági riasztásaiból.

Fenyegetésészlelési intelligencia

Használja ki a Microsoft által előállított fenyegetésintelligencia előnyeit a Microsoft Threat Intelligence Analytics-szabálysal kapcsolatos magas megbízhatósági riasztások és incidensek létrehozásához. Ez az egyedi szabály nem testreszabható, de ha engedélyezve van, automatikusan megfelel a Common Event Format (CEF) naplóinak, a Syslog-adatoknak vagy a Windows DNS-eseményeknek a Microsoft Threat Intelligence tartomány-, IP- és URL-fenyegetésjelzőivel. Egyes mutatók több környezeti információt tartalmaznak az MDTI-n keresztül (Microsoft Defender Intelligens veszélyforrás-felderítés).

A szabály engedélyezéséről további információt az Egyező elemzés használata a fenyegetések észleléséhez című témakörben talál.
Az MDTI-vel kapcsolatos további információkért lásd: Mi Microsoft Defender Intelligens veszélyforrás-felderítés.

Advanced multistage attack detection (Fusion)

A Microsoft Sentinel a fúziós korrelációs motort skálázható gépi tanulási algoritmusaival a fejlett multistage támadások észlelésére használja azáltal, hogy számos alacsony megbízhatóságú riasztást és eseményt korrelál több termék között nagy megbízhatóságú és végrehajtható incidensekké. A Speciális többlépcsős támadásészlelési szabály alapértelmezés szerint engedélyezve van. Mivel a logika rejtett, ezért nem testreszabható, csak egy szabály lehet ezzel a sablonnal.

A fúziós motor az ütemezett elemzési szabályok által létrehozott riasztásokat más rendszerek riasztásaival is korrelálhatja, ami magas megbízhatósági incidenseket eredményez.

Fontos

A Speciális többlépéses támadásészlelési szabálytípus nem érhető el , ha a következőkkel rendelkezik:

Ezekben a forgatókönyvekben a Microsoft Defender XDR inkább az incidenseket hozza létre.

Emellett a fúziós észlelési sablonok némelyike jelenleg előzetes verzióban érhető el (a Microsoft Sentinel speciális többlépéses támadásészlelésével kapcsolatos cikkben láthatja, hogy mely sablonokat). A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Gépi tanulási (ML) viselkedéselemzés

Használja ki a Microsoft saját gépi tanulási algoritmusait, hogy magas megbízhatósági riasztásokat és incidenseket hozzon létre az ML Behavior Analytics-szabályokkal . Ezek az egyedi szabályok (jelenleg előzetes verzióban) nem testreszabhatók, de ha engedélyezve van, az IP-cím és a földrajzi hely, valamint a felhasználóelőzmények adatai alapján észlelheti a rendellenes SSH- és RDP-bejelentkezési viselkedéseket.

Hozzáférési engedélyek elemzési szabályokhoz

Elemzési szabály létrehozásakor a rendszer egy hozzáférési engedély jogkivonatot alkalmaz a szabályra, és azzal együtt menti. Ez a jogkivonat biztosítja, hogy a szabály hozzáférhessen a szabály által lekérdezett adatokat tartalmazó munkaterülethez, és hogy ez a hozzáférés akkor is megmaradjon, ha a szabály létrehozója elveszíti a hozzáférést az adott munkaterülethez.

A hozzáférés alól azonban van egy kivétel: ha egy szabályt hoz létre a munkaterületek elérésére más előfizetésekben vagy bérlőkben, például az MSSP esetén, a Microsoft Sentinel további biztonsági intézkedéseket tesz az ügyféladatokhoz való jogosulatlan hozzáférés megakadályozása érdekében. Az ilyen típusú szabályok esetében a szabályt létrehozó felhasználó hitelesítő adatai független hozzáférési jogkivonat helyett a szabályra lesznek alkalmazva, így ha a felhasználó már nem fér hozzá a másik előfizetéshez vagy bérlőhöz, a szabály nem működik.

Ha előfizetések közötti vagy bérlők közötti forgatókönyvben üzemelteti a Microsoft Sentinelt, ha valamelyik elemzője vagy mérnöke elveszíti a hozzáférést egy adott munkaterülethez, a felhasználó által létrehozott szabályok nem működnek. Ebben az esetben állapotfigyelési üzenet jelenik meg az "erőforráshoz való elégtelen hozzáférésről", és a szabály bizonyos számú sikertelen művelet után automatikusan le lesz tiltva .

Szabályok exportálása ARM-sablonba

Ha kódként szeretné kezelni és üzembe helyezni a szabályokat, egyszerűen exportálhatja a szabályt egy Azure Resource Manager-sablonba . A szabályok sablonfájlokból is importálhatók, hogy megtekinthessék és szerkeszthessék őket a felhasználói felületen.

Következő lépések