Elemzési szabály létrehozása varázslóból
Létrehozhat egyéni elemzési szabályt, hogy gyanús tevékenységeket és veszélyforrásokat keressen a Contosónál.
Egyéni ütemezett elemzési szabály létrehozása
Az egyéni szabály ütemezett lekérdezési szabálytípusból való létrehozása a legmagasabb szintű testreszabást teszi lehetővé. Meghatározhatja saját KQL-kódját, beállíthatja a riasztások futtatásának ütemezését, és automatikus műveletet biztosíthat a szabály Microsoft Sentinel-forgatókönyvhöz való társításával.
Ütemezett lekérdezési szabály létrehozásához az Azure Portal Microsoft Sentinel területén válassza az Analytics lehetőséget. A fejlécsávon válassza a +Létrehozás, majd az Ütemezett lekérdezési szabály lehetőséget.
Megjegyzés:
Ütemezett szabályt úgy is létrehozhat, hogy kiválaszt egy ütemezett szabályt az Elemzés panel Szabályok és sablonok listájából, majd a Szabály létrehozása lehetőséget választja a részletek panelen.
A létrehozott ütemezett lekérdezési szabály a következő elemekből áll:
Általános lap
Az alábbi táblázat az Általános panel bemeneti mezőit sorolja fel.
| Mező | Adatfolyam leírása |
|---|---|
| Név | Adjon meg egy beszédes nevet, amelyből kiderül, hogy milyen jellegű gyanús tevékenységet észlel a riasztás. |
| Leírás | Adjon meg egy részletes leírást, amely segít más biztonsági elemzőknek megérteni a szabályt. |
| Taktika | A Taktika legördülő listában válasszon egyet a támadási kategóriák közül a MITRE-taktikát követő szabály besorolásához. |
| Severity | Válassza a Súlyosság legördülő listát a riasztás fontossági szintjének kategorizálásához a következő négy lehetőség egyikeként: Magas, Közepes, Alacsony vagy Információs. |
| Status | Adja meg a szabály állapotát. Alapértelmezés szerint az állapot engedélyezve van. A Letiltás lehetőséget választva letilthatja a szabályt, ha nagy számú hamis pozitív értéket hoz létre. |
Szabálylogika beállítása lap
A Szabály beállítása logika lapon a Microsoft Sentinel-munkaterületen futó KQL-kód megadásával határozhatja meg az észlelési módszert. A KQL-lekérdezés szűri az incidensek aktiválásához és létrehozásához használt biztonsági adatokat.
Amikor megadja a KQL-sztringet a Szabálylekérdezés mezőben, az Eredmények szimulálása (előzetes verzió) szakasz használatával áttekintheti a lekérdezés eredményeit. Az Eredmények szimulációja (előzetes verzió) szakasz segítségével megállapíthatja, hogy a lekérdezés visszaadta-e a várt eredményeket.
Az alábbi mintalekérdezés akkor küld riasztást, ha rendellenes számú erőforrást hoznak létre Azure-tevékenység során.
AzureActivity
| where OperationName == "MICROSOFT.COMPUTE/VIRTUALMACHINES/WRITE"
| where ActivityStatus == "Succeeded"
| make-series dcount(ResourceId) default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller
Tipp.
A KQL lekérdezési nyelvével kapcsolatos segítségért tekintse meg a Kusto lekérdezésnyelv (KQL) áttekintését.
Riasztások bővítése (előzetes verzió)
A riasztások bővítése lehetővé teszi a lekérdezés eredményének további testreszabását.
Entitás-hozzárendelés
Az Entitásleképezés szakaszban legfeljebb öt entitást definiálhat a lekérdezés eredményeiből, majd ezeket az entitásokat használva részletes elemzést végezhet. Ha az Új entitás hozzáadása lehetőséget választja az entitások lekérdezési szabályban való hozzáadásához. Ezek az entitások segíthetnek a vizuális vizsgálat végrehajtásában, mert csoportként jelennek meg az Incidens lapon. Egyes entitások olyan információkat tartalmaznak, amelyek egy felhasználót, egy gazdagépet vagy EGY IP-címet jelölnek.
Egyéni adatok
Az Egyéni részletek szakaszban beállíthatja a kulcsértékpárokat, amelyek ha megjelennek a lekérdezés eredményében, eseményparamétert jelenít meg az eredményekben.
Riasztás részletei
A Riasztás részletei szakaszban a riasztás egyes példányaiban megjeleníthető paraméterekként szabad szöveget adhat meg; ezek a riasztás adott példányához rendelt taktikát és súlyosságot is tartalmazhatják.
Lekérdezésütemezés
A Lekérdezés ütemezése szakaszban konfigurálhatja, milyen gyakran fusson a lekérdezés, és milyen régi előzményekben keressen adatokat. Fontos, hogy ne keressen a lekérdezés futási gyakoriságánál régebbi adatokat, ez ugyanis ismétlődő riasztásokat eredményezhet.
Riasztás küszöbértéke
A Riasztási küszöbérték szakaszban adhatja meg, hogy a szabály hányszor adhat vissza pozitív eredményt, mielőtt riasztást generál. Megfelelő logikai kifejezés definiálásához az alábbi logikai operátorokat használhatja:
- Nagyobb, mint
- Kisebb, mint
- Egyenlő
- Nem egyenlő
Események csoportosítása
Az Események csoportosítása szakaszban az alábbi két lehetőség közül választhat:
- Minden esemény egyetlen riasztásba csoportosítása. Ez az alapértelmezett beállítás, és egyetlen riasztást hoz létre, ha a lekérdezés a megadott küszöbértéknél több eredményt ad vissza.
- Riasztás aktiválása minden eseményhez. Ez a beállítás külön riasztást hoz létre a lekérdezés által visszaadott összes eseményhez.
Mellőzés
A Mellőzés szakaszban a Lekérdezés futtatásának leállítása riasztás létrehozása után beállítást kapcsolhatja Be vagy Ki. A Be gombra kattintva a Microsoft Sentinel felfüggeszti a további incidensek létrehozását, ha a szabály újra aktiválódik arra az időtartamra, amíg el szeretné tiltani a szabályt.
Incidensbeállítások (előzetes verzió)
Az Incidensbeállítások lapon incidenseket hozhat létre, amelyeket riasztások eseményindítók és időkeretek alapján történő csoportosításával hozhat létre.
A Riasztások csoportosítása szakaszban csökkentheti a sok riasztás által keltett zajt, ha egyetlen incidensbe csoportosítja azokat. A kapcsolódó riasztások csoportosításának engedélyezésekor az alábbi lehetőségek közül választhat:
- Riasztások egyetlen incidensbe csoportosítása, ha az összes entitás megegyezik (ajánlott)
- A szabály által aktivált összes riasztás egyetlen incidensbe csoportosítása
- Riasztások csoportosítása egyetlen incidensbe, ha a kijelölt entitások egyeznek (például forrás- vagy cél IP-címek).
Ha egy korábban lezárt incidenshez tartozó másik riasztás jön létre, újra megnyithatja a lezárt egyező incidenseket .
Automatikus válasz lap
Ebben a gyakorlatban nem használatos.
Szabálylogika lap beállítása – Gyakorlat
Az Automatikus válasz lapon válasszon ki egy meglévő automatizálási szabályt, vagy hozzon létre egy újat. Az automatizálási szabályok forgatókönyveket futtathatnak a választott triggerek és feltételek alapján.
A forgatókönyvek létrehozásával és az automatizált tevékenység incidenslétrehozáskor történő futtatásával kapcsolatos további információkért tekintse meg a "Fenyegetéskezelés a Microsoft Sentinel forgatókönyvekkel" modult.
Véleményezés és létrehozás lap
A Véleményezés és létrehozás lapon tekintse át a varázslóban konfigurált beállításokat, mielőtt új szabályt hoz létre.