Rilevare le minacce in modo automatico
Dopo aver connesso le origini dati a Microsoft Sentinel, si vuole ricevere una notifica quando si verifica un problema sospetto. Per questo motivo, Microsoft Sentinel offre modelli predefiniti che consentono di creare regole di rilevamento delle minacce.
I modelli di regole sono stati progettati dal team di esperti e analisti della sicurezza Microsoft in base a minacce note, vettori di attacco comuni e catene di escalation delle attività sospette. Le regole create da questi modelli eseguiranno automaticamente la ricerca nell'ambiente di eventuali attività sospette. È possibile personalizzare molti dei modelli per cercare le attività o filtrarle in base alle specifiche esigenze. Gli avvisi generati da queste regole creeranno eventi imprevisti che è possibile assegnare e analizzare nell'ambiente.
Questo articolo illustra come rilevare le minacce con Microsoft Sentinel:
- Usare i rilevamenti delle minacce predefiniti
- Automatizzare le risposte alle minacce
Visualizzare i rilevamenti predefiniti
Per visualizzare tutte le regole di analisi e i rilevamenti in Microsoft Sentinel, passare a Modellidi regoladi analisi>. Questa scheda contiene tutte le regole predefinite di Microsoft Sentinel, nonché il tipo di regola di Threat Intelligence .
I rilevamenti predefiniti includono:
| Tipo regola | Descrizione |
|---|---|
| Sicurezza Microsoft | I modelli di sicurezza Microsoft creano automaticamente eventi imprevisti di Microsoft Sentinel dagli avvisi generati in altre soluzioni di sicurezza Microsoft in tempo reale. È possibile usare le regole di sicurezza Microsoft come modello per creare nuove regole con logica simile. Per altre informazioni sulle regole di sicurezza, vedere Creare automaticamente eventi imprevisti dagli avvisi di sicurezza Microsoft. |
| Fusione (alcuni rilevamenti in anteprima) |
Microsoft Sentinel usa il motore di correlazione Fusion, con i relativi algoritmi di Machine Learning scalabili, per rilevare attacchi multistage avanzati correlando molti avvisi e eventi a bassa fedeltà in più prodotti in eventi imprevisti ad alta fedeltà e azioni. Fusion è abilitato per impostazione predefinita. Poiché la logica è nascosta e pertanto non personalizzabile, è possibile creare una sola regola con questo modello. Il motore Fusion può anche correlare gli avvisi generati da regole di analisi pianificate con quelle di altri sistemi, generando eventi imprevisti ad alta fedeltà come risultato. |
| Analisi del comportamento di Machine Learning (ML) | I modelli di analisi del comportamento ml si basano sugli algoritmi di Machine Learning proprietari, quindi non è possibile visualizzare la logica interna di come funzionano e quando vengono eseguiti. Poiché la logica è nascosta e pertanto non personalizzabile, è possibile creare una sola regola con ogni modello di questo tipo. |
| Intelligence per le minacce | Sfruttare le informazioni sulle minacce prodotte da Microsoft per generare avvisi e eventi imprevisti ad alta fedeltà con la regola di Microsoft Threat Intelligence Analytics . Questa regola univoca non è personalizzabile, ma se abilitata, corrisponderà automaticamente ai log common event format (CEF), ai dati Syslog o agli eventi DNS windows con indicatori di dominio, IP e URL delle minacce di Microsoft Threat Intelligence. Alcuni indicatori contengono informazioni di contesto aggiuntive tramite MDTI (Microsoft Defender Threat Intelligence). Per altre informazioni su come abilitare questa regola, vedere Usare analisi corrispondenti per rilevare le minacce. Per altre informazioni su MDTI, vedere What is Microsoft Defender Threat Intelligence |
| Anomalia | I modelli di regole anomalie usano Machine Learning per rilevare tipi specifici di comportamento anomalo. Ogni regola dispone di parametri e soglie univoci, appropriati per il comportamento analizzato. Anche se le configurazioni delle regole predefinite non possono essere modificate o ottimizzate, è possibile duplicare una regola e quindi modificare e ottimizzare il duplicato. In questi casi, eseguire il duplicato in modalità Flighting e l'originale simultaneamente in modalità Di produzione . Confrontare quindi i risultati e passare al duplicato in Produzione se e quando la relativa ottimizzazione è utile per il proprio piacere. Per altre informazioni, vedere Usare anomalie personalizzabili per rilevare le minacce in Microsoft Sentinel e Usare le regole di analisi di rilevamento anomalie in Microsoft Sentinel. |
| Programmato | Le regole di analisi pianificate si basano sulle query predefinite scritte dagli esperti di sicurezza Microsoft. È possibile visualizzare la logica di query e apportare modifiche. È possibile usare il modello di regole pianificate e personalizzare la logica di query e le impostazioni di pianificazione per creare nuove regole. Diversi nuovi modelli di regole di analisi pianificati producono avvisi correlati al motore Fusion con avvisi di altri sistemi per produrre eventi imprevisti ad alta fedeltà. Per altre informazioni, vedere Rilevamento avanzato degli attacchi multistage. Suggerimento: le opzioni di pianificazione delle regole includono la configurazione della regola per l'esecuzione di ogni numero specificato di minuti, ore o giorni, con l'orologio che inizia quando si abilita la regola. È consigliabile tenere presente quando si abilita una regola di analisi nuova o modificata per assicurarsi che le regole ottengano il nuovo stack di eventi imprevisti in tempo. Ad esempio, è possibile eseguire una regola in sincronizzazione con quando gli analisti SOC iniziano il loro lavoro e abilitano quindi le regole. |
| Quasi in tempo reale (NRT) (Anteprima) |
Le regole NRT sono un set limitato di regole pianificate, progettate per l'esecuzione una volta ogni minuto, per fornire informazioni al massimo al minuto possibile. Funzionano principalmente come regole pianificate e sono configurate in modo analogo, con alcune limitazioni. Per altre informazioni, vedere Rilevare rapidamente le minacce con regole di analisi quasi in tempo reale (NRT) in Microsoft Sentinel. |
Importante
I modelli di regola indicati in precedenza sono attualmente in ANTEPRIMA, come alcuni dei modelli di rilevamento fusion (vedere Rilevamento multistage avanzato in Microsoft Sentinel per visualizzare quali. Per altre condizioni legali che si applicano alle funzionalità di Azure in versione beta, anteprima o altrimenti non ancora rilasciate in disponibilità generale, vedere Le condizioni aggiuntive per l'uso per Microsoft Azure .
Usare regole di analisi predefinite
Questa procedura descrive come usare modelli di regole di analisi predefinite.
Per usare le regole di analisi predefinite:
Nella paginaModelli di regola di Microsoft Sentinel >Analytics> selezionare un nome modello e quindi selezionare il pulsante Crea regola nel riquadro dei dettagli per creare una nuova regola attiva basata su tale modello.
Ogni modello include un elenco di origini dati necessarie. Quando si apre il modello, le origini dati vengono controllate automaticamente per la disponibilità. Se si verifica un problema di disponibilità, il pulsante Crea regola potrebbe essere disabilitato oppure potrebbe essere visualizzato un avviso per tale effetto.
Selezionando Crea regola viene aperta la creazione guidata delle regole in base al modello selezionato. Tutti i dettagli sono compilati automaticamente e con i modelli di sicurezza pianificati o Microsoft , è possibile personalizzare la logica e altre impostazioni delle regole per soddisfare meglio le esigenze specifiche. È possibile ripetere questo processo per creare regole aggiuntive in base al modello predefinito. Dopo aver seguito i passaggi della procedura guidata per la creazione guidata delle regole alla fine, sarà stata completata la creazione di una regola in base al modello. Le nuove regole verranno visualizzate nella scheda Regole attive .
Per altre informazioni su come personalizzare le regole nella procedura guidata per la creazione di regole, vedere Creare regole di analisi personalizzate per rilevare le minacce.
Suggerimento
Assicurarsi di abilitare tutte le regole associate alle origini dati connesse per garantire la copertura completa della sicurezza per l'ambiente. Il modo più efficiente per abilitare le regole di analisi è direttamente dalla pagina del connettore dati, che elenca le regole correlate. Per altre informazioni, vedere Connettere le origini dati.
È anche possibile eseguire il push di regole a Microsoft Sentinel tramite API e PowerShell, anche se in questo modo è necessario un ulteriore sforzo.
Quando si usa l'API o PowerShell, è prima necessario esportare le regole in JSON prima di abilitare le regole. L'API o PowerShell può essere utile quando si abilitano regole in più istanze di Microsoft Sentinel con impostazioni identiche in ogni istanza.
Esportare regole in un modello di Resource Manager
È possibile esportare facilmente la regola in un modello di Azure Resource Manager (ARM) se si desidera gestire e distribuire le regole come codice. È anche possibile importare regole dai file di modello per visualizzarli e modificarli nell'interfaccia utente.
Passaggi successivi
Per creare regole personalizzate, usare regole esistenti come modelli o riferimenti. L'uso di regole esistenti come baseline consente di creare la maggior parte della logica prima di apportare modifiche necessarie. Per altre informazioni, vedere Creare regole di analisi personalizzate per rilevare le minacce.
Per informazioni su come automatizzare le risposte alle minacce, configurare le risposte alle minacce automatizzate in Microsoft Sentinel.