Rilevare le minacce in modo automatico

Dopo aver connesso le origini dati a Microsoft Sentinel, si vuole ricevere una notifica quando si verifica un evento sospetto. Per questo motivo, Microsoft Sentinel offre modelli predefiniti che consentono di creare regole di rilevamento delle minacce.

I modelli di regole sono stati progettati dal team di esperti e analisti della sicurezza Microsoft in base a minacce note, vettori di attacco comuni e catene di escalation delle attività sospette. Le regole create da questi modelli eseguiranno automaticamente la ricerca nell'ambiente di eventuali attività sospette. È possibile personalizzare molti dei modelli per cercare le attività o filtrarle in base alle specifiche esigenze. Gli avvisi generati da queste regole creeranno eventi imprevisti che è possibile assegnare e analizzare nell'ambiente.

Questo articolo illustra come rilevare le minacce con Microsoft Sentinel:

  • Usare i rilevamenti delle minacce predefiniti
  • Automatizzare le risposte alle minacce

Visualizzare i rilevamenti predefiniti

Per visualizzare tutte le regole di analisi e i rilevamenti in Microsoft Sentinel, passare a Modellidi regoladi analisi>. Questa scheda contiene tutte le regole predefinite di Microsoft Sentinel, nonché il tipo di regola Intelligence per le minacce .

Screenshot che mostra le regole di rilevamento predefinite per trovare le minacce con Microsoft Sentinel.

I rilevamenti predefiniti includono:

Tipo regola Descrizione
Sicurezza Microsoft I modelli di sicurezza Microsoft creano automaticamente eventi imprevisti di Microsoft Sentinel dagli avvisi generati in altre soluzioni di sicurezza Microsoft, in tempo reale. È possibile usare le regole di sicurezza Microsoft come modello per creare nuove regole con logica simile.

Per altre informazioni sulle regole di sicurezza, vedere Creare automaticamente eventi imprevisti dagli avvisi di sicurezza Microsoft.
Fusione
(alcuni rilevamenti in anteprima)
Microsoft Sentinel usa il motore di correlazione Fusion, con i suoi algoritmi di Machine Learning scalabili, per rilevare attacchi multistage avanzati correlando molti avvisi e eventi a bassa fedeltà in più prodotti in eventi imprevisti ad alta fedeltà e pratica. Fusion è abilitato per impostazione predefinita. Poiché la logica è nascosta e pertanto non personalizzabile, è possibile creare una sola regola con questo modello.

Il motore Fusion può anche correlare gli avvisi generati da regole di analisi pianificate con quelle di altri sistemi, generando eventi imprevisti ad alta fedeltà.
Analisi comportamentale di Machine Learning (ML) I modelli di analisi comportamentale di ML si basano su algoritmi di Machine Learning proprietari, quindi non è possibile visualizzare la logica interna del funzionamento e quando vengono eseguiti.

Poiché la logica è nascosta e pertanto non personalizzabile, è possibile creare una sola regola con ogni modello di questo tipo.
Intelligence sulle minacce Sfruttare i vantaggi dell'intelligence sulle minacce prodotta da Microsoft per generare avvisi e eventi imprevisti ad alta fedeltà con la regola di Analisi intelligence sulle minacce di Microsoft . Questa regola univoca non è personalizzabile, ma, se abilitata, corrisponderà automaticamente ai log CEF (Common Event Format), ai dati Syslog o agli eventi DNS di Windows con indicatori di minaccia di dominio, IP e URL di Microsoft Threat Intelligence. Alcuni indicatori conterranno informazioni di contesto aggiuntive tramite MDTI (Microsoft Defender Threat Intelligence).

Per altre informazioni su come abilitare questa regola, vedere Usare l'analisi corrispondente per rilevare le minacce.
Per altri dettagli su MDTI, vedere What is Microsoft Defender Threat Intelligence
Anomalia I modelli di regole anomalie usano Machine Learning per rilevare tipi specifici di comportamento anomalo. Ogni regola ha parametri e soglie univoci, appropriati per il comportamento analizzato.

Anche se le configurazioni delle regole predefinite non possono essere modificate o ottimizzate, è possibile duplicare una regola e quindi modificare e ottimizzare il duplicato. In questi casi, eseguire il duplicato in modalità di anteprima e l'originale contemporaneamente in modalità produzione . Confrontare quindi i risultati e cambiare il duplicato in Produzione se e quando l'ottimizzazione è utile.

Per altre informazioni, vedere Usare anomalie personalizzabili per rilevare le minacce in Microsoft Sentinel e Usare regole di analisi di rilevamento anomalie in Microsoft Sentinel.
Programmato Le regole di analisi pianificate sono basate su query predefinite scritte dagli esperti di sicurezza Microsoft. È possibile visualizzare la logica di query e apportare modifiche. È possibile usare il modello di regole pianificate e personalizzare la logica di query e le impostazioni di pianificazione per creare nuove regole.

Diversi nuovi modelli di regole di analisi pianificate generano avvisi correlati dal motore Fusion con avvisi di altri sistemi per produrre eventi imprevisti ad alta fedeltà. Per altre informazioni, vedere Rilevamento avanzato degli attacchi a più fasi.

Suggerimento: le opzioni di pianificazione delle regole includono la configurazione della regola per l'esecuzione di ogni numero specificato di minuti, ore o giorni, con l'orologio che inizia quando si abilita la regola.

È consigliabile tenere presente quando si abilita una regola di analisi nuova o modificata per assicurarsi che le regole otterranno il nuovo stack di eventi imprevisti nel tempo. Ad esempio, è possibile eseguire una regola in sincronizzazione con quando gli analisti SOC iniziano la giornata lavorativa e quindi abilitano le regole.
Quasi in tempo reale (NRT)
(Anteprima)
Le regole NRT sono un set limitato di regole pianificate, progettate per essere eseguite una volta ogni minuto, per fornire informazioni il più possibile al minuto.

Funzionano principalmente come regole pianificate e sono configurate in modo analogo, con alcune limitazioni. Per altre informazioni, vedere Rilevare rapidamente le minacce con regole di analisi near real-time (NRT) in Microsoft Sentinel.

Importante

I modelli di regola indicati in precedenza sono attualmente in ANTEPRIMA, come alcuni dei modelli di rilevamento Fusion (vedere Rilevamento avanzato degli attacchi a più fasi in Microsoft Sentinel per vedere quali sono). Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per le condizioni legali aggiuntive applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o altrimenti non ancora rilasciate nella disponibilità generale.

Usare le regole di analisi predefinite

Questa procedura descrive come usare modelli di regole di analisi predefiniti.

Per usare le regole di analisi predefinite:

  1. Nella pagina Modellidi regola di Microsoft Sentinel >Analytics> selezionare un nome di modello e quindi selezionare il pulsante Crea regola nel riquadro dei dettagli per creare una nuova regola attiva basata su tale modello.

    Ogni modello include un elenco delle origini dati necessarie. Quando si apre il modello, le origini dati vengono controllate automaticamente per la disponibilità. Se si verifica un problema di disponibilità, il pulsante Crea regola potrebbe essere disabilitato oppure potrebbe essere visualizzato un avviso per tale effetto.

    Pannello di anteprima delle regole di rilevamento

  2. Selezionando Crea regola viene aperta la creazione guidata delle regole in base al modello selezionato. Tutti i dettagli vengono compilati automaticamente e con i modelli di sicurezza Pianificati o Microsoft è possibile personalizzare la logica e altre impostazioni delle regole in base alle esigenze specifiche. È possibile ripetere questo processo per creare regole aggiuntive basate sul modello predefinito. Dopo aver eseguito i passaggi della creazione guidata delle regole alla fine, è stata completata la creazione di una regola basata sul modello. Le nuove regole verranno visualizzate nella scheda Regole attive .

    Per altre informazioni su come personalizzare le regole nella creazione guidata delle regole, vedere Creare regole di analisi personalizzate per rilevare le minacce.

Suggerimento

  • Assicurarsi di abilitare tutte le regole associate alle origini dati connesse per garantire la copertura completa della sicurezza per l'ambiente. Il modo più efficiente per abilitare le regole di analisi è direttamente dalla pagina del connettore dati, che elenca tutte le regole correlate. Per altre informazioni, vedere Connettere le origini dati.

  • È anche possibile eseguire il push delle regole in Microsoft Sentinel tramite API e PowerShell, anche se questa operazione richiede ulteriori sforzi.

    Quando si usa l'API o PowerShell, è necessario esportare le regole in JSON prima di abilitare le regole. L'API o PowerShell può essere utile quando si abilitano le regole in più istanze di Microsoft Sentinel con impostazioni identiche in ogni istanza.

Esportare regole in un modello di Resource Manager

È possibile esportare facilmente la regola in un modello di Azure Resource Manager (ARM) se si vuole gestire e distribuire le regole come codice. È anche possibile importare regole dai file modello per visualizzarle e modificarle nell'interfaccia utente.

Passaggi successivi