Condividi tramite


Rilevamento delle minacce in Microsoft Sentinel

Dopo aver configurato Microsoft Sentinel per raccogliere dati da tutta l'organizzazione, è necessario esaminare costantemente tutti i dati per rilevare le minacce alla sicurezza per l'ambiente. Per eseguire questa attività, Microsoft Sentinel fornisce regole di rilevamento delle minacce eseguite regolarmente, l'esecuzione di query sui dati raccolti e l'analisi per individuare le minacce. Queste regole sono disponibili in alcuni tipi diversi e sono collettivamente note come regole di analisi.

È possibile creare queste regole da zero usando la procedura guidata delle regole di analisi predefinita. Tuttavia, Microsoft consiglia vivamente di usare l'ampia gamma di modelli di regole di analisi disponibili tramite le numerose soluzioni per Microsoft Sentinel fornite nell'hub contenuto. Questi modelli sono prototipi di regole predefiniti, progettati da team di esperti e analisti della sicurezza in base alla conoscenza delle minacce note, dei vettori di attacco comuni e delle catene di escalation delle attività sospette. Si attivano regole da questi modelli per cercare automaticamente nell'ambiente qualsiasi attività sospetta. Molti dei modelli possono essere personalizzati per cercare tipi specifici di eventi o filtrarli in base alle esigenze.

Queste regole generano avvisi quando trovano ciò che cercano. Gli avvisi contengono informazioni sugli eventi rilevati, ad esempio le entità (utenti, dispositivi, indirizzi e altri elementi) coinvolte. Gli avvisi vengono aggregati e correlati in eventi imprevisti, ovvero file di casi, che è possibile assegnare e analizzare per apprendere l'entità completa della minaccia rilevata e rispondere di conseguenza.

Questo articolo illustra come Microsoft Sentinel rileva le minacce e cosa accade di seguito.

Importante

Microsoft Sentinel è disponibile come parte della piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Microsoft Sentinel nel portale di Defender è ora supportato per l'uso in produzione. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Tipi di regole di analisi

È possibile visualizzare le regole di analisi e i modelli disponibili per l'uso nella pagina Analisi del menu Configurazione in Microsoft Sentinel. Le regole attualmente attive sono visibili in una scheda e i modelli per creare nuove regole in un'altra scheda. In una terza scheda vengono visualizzate anomalie, un tipo di regola speciale descritto più avanti in questo articolo.

Per trovare più modelli di regola di quelli attualmente visualizzati, passare all'hub contenuto in Microsoft Sentinel per installare le soluzioni di prodotto correlate o il contenuto autonomo. I modelli di regola di analisi sono disponibili con quasi tutte le soluzioni di prodotto nell'hub del contenuto.

In Microsoft Sentinel sono disponibili i tipi di regole di analisi e i modelli di regola seguenti:

Oltre ai tipi di regola precedenti, esistono altri tipi di modello specializzati che possono creare un'istanza di una regola, con opzioni di configurazione limitate:

Regole pianificate

Di gran lunga il tipo più comune di regola di analisi, le regole pianificate sono basate su query Kusto configurate per l'esecuzione a intervalli regolari ed esaminare i dati non elaborati da un periodo di "lookback" definito. Se il numero di risultati acquisiti dalla query supera la soglia configurata nella regola, la regola genera un avviso.

Le query nei modelli di regole pianificate sono state scritte da esperti di sicurezza e data science, microsoft o dal fornitore della soluzione che fornisce il modello. Le query possono eseguire operazioni statistiche complesse sui dati di destinazione, rivelando baseline e outlier in gruppi di eventi.

La logica di query viene visualizzata nella configurazione della regola. È possibile usare la logica di query e le impostazioni di pianificazione e lookback definite nel modello oppure personalizzarle per creare nuove regole.

Altre informazioni sulle regole di analisi pianificate in Microsoft Sentinel.

Regole NRT (Near Real Time)

Le regole NRT sono un subset limitato di regole pianificate. Sono progettati per essere eseguiti una volta ogni minuto, per fornire informazioni il più possibile al minuto.

Funzionano principalmente come regole pianificate e sono configurate in modo analogo, con alcune limitazioni.

Altre informazioni sul rilevamento rapido delle minacce con regole di analisi near real time (NRT) in Microsoft Sentinel.

Regole anomalie

Le regole di anomalia usano l'apprendimento automatico per osservare tipi specifici di comportamenti in un periodo di tempo per determinare una baseline. Ogni regola ha parametri e soglie univoci, appropriati per il comportamento analizzato. Al termine del periodo di osservazione, viene impostata la linea di base. Quando la regola osserva comportamenti che superano i limiti impostati nella linea di base, contrassegna tali occorrenze come anomale.

Anche se le configurazioni delle regole predefinite non possono essere modificate o ottimizzate, è possibile duplicare una regola e quindi modificare e ottimizzare il duplicato. In questi casi, eseguire il duplicato in modalità di anteprima e l'originale simultaneamente in modalità di produzione . Confrontare quindi i risultati e passare al duplicato in Produzione se e quando l'ottimizzazione è utile.

Le anomalie non indicano necessariamente comportamenti dannosi o anche sospetti da soli. Di conseguenza, le regole di anomalia non generano avvisi personalizzati. Registrano invece i risultati dell'analisi, ovvero le anomalie rilevate, nella tabella Anomalie . È possibile eseguire query su questa tabella per fornire contesto che migliora i rilevamenti, le indagini e la ricerca delle minacce.

Per altre informazioni, vedere Usare anomalie personalizzabili per rilevare le minacce in Microsoft Sentinel e Usare le regole di analisi del rilevamento anomalie in Microsoft Sentinel.

Regole di sicurezza Microsoft

Mentre le regole pianificate e NRT creano automaticamente eventi imprevisti per gli avvisi generati, gli avvisi generati nei servizi esterni e inseriti in Microsoft Sentinel non creano eventi imprevisti personalizzati. Le regole di sicurezza Microsoft creano automaticamente eventi imprevisti di Microsoft Sentinel dagli avvisi generati in altre soluzioni di sicurezza Microsoft, in tempo reale. È possibile usare i modelli di sicurezza Microsoft per creare nuove regole con logica simile.

Importante

Le regole di sicurezza Microsoft non sono disponibili se si dispone di:

In questi scenari, Microsoft Defender XDR crea invece gli eventi imprevisti.

Tutte le regole definite in precedenza vengono disabilitate automaticamente.

Per altre informazioni sulle regole di creazione degli eventi imprevisti di sicurezza Microsoft, vedere Creare automaticamente eventi imprevisti dagli avvisi di sicurezza Microsoft.

Intelligence per le minacce

Sfruttare i vantaggi dell'intelligence sulle minacce prodotta da Microsoft per generare avvisi e eventi imprevisti ad alta fedeltà con la regola di Analisi intelligence sulle minacce di Microsoft. Questa regola univoca non è personalizzabile, ma, se abilitata, corrisponde automaticamente ai log CEF (Common Event Format), ai dati Syslog o agli eventi DNS di Windows con indicatori di minaccia di dominio, IP e URL di Microsoft Threat Intelligence. Alcuni indicatori contengono più informazioni di contesto tramite MDTI (Microsoft Defender Threat Intelligence).

Per altre informazioni su come abilitare questa regola, vedere Usare l'analisi corrispondente per rilevare le minacce.
Per altre informazioni su MDTI, vedere Informazioni su Microsoft Defender Threat Intelligence.

Rilevamento avanzato degli attacchi multistage (Fusion)

Microsoft Sentinel usa il motore di correlazione Fusion, con gli algoritmi di Machine Learning scalabili, per rilevare attacchi multistage avanzati correlando molti avvisi e eventi a bassa fedeltà in più prodotti in eventi imprevisti ad alta fedeltà e pratica. La regola avanzata di rilevamento degli attacchi a più fasi è abilitata per impostazione predefinita. Poiché la logica è nascosta e pertanto non personalizzabile, con questo modello può essere presente una sola regola.

Il motore Fusion può anche correlare gli avvisi generati da regole di analisi pianificate con avvisi provenienti da altri sistemi, producendo eventi imprevisti ad alta fedeltà come risultato.

Importante

Il tipo di regola di rilevamento degli attacchi multistage avanzato non è disponibile se si dispone di:

In questi scenari, Microsoft Defender XDR crea invece gli eventi imprevisti.

Inoltre, alcuni dei modelli di rilevamento Fusion sono attualmente disponibili in ANTEPRIMA (vedere Rilevamento avanzato degli attacchi a più fasi in Microsoft Sentinel per vedere quali sono). Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Analisi del comportamento basata su Machine Learning (ML)

Sfruttare i vantaggi degli algoritmi di Machine Learning proprietari di Microsoft per generare avvisi e eventi imprevisti ad alta fedeltà con le regole di Analisi del comportamento di Machine Learning . Queste regole univoche (attualmente in anteprima) non sono personalizzabili, ma, se abilitate, rilevano comportamenti di accesso SSH e RDP anomali specifici in base a ip e georilevazione e informazioni sulla cronologia degli utenti.

Autorizzazioni di accesso per le regole di analisi

Quando si crea una regola di analisi, viene applicato un token di autorizzazioni di accesso alla regola e salvato insieme a esso. Questo token garantisce che la regola possa accedere all'area di lavoro contenente i dati sottoposti a query dalla regola e che l'accesso venga mantenuto anche se l'autore della regola perde l'accesso a tale area di lavoro.

Esiste tuttavia un'eccezione a questo accesso: quando viene creata una regola per accedere alle aree di lavoro in altre sottoscrizioni o tenant, ad esempio ciò che accade nel caso di un MSSP, Microsoft Sentinel adotta misure di sicurezza aggiuntive per impedire l'accesso non autorizzato ai dati dei clienti. Per questi tipi di regole, le credenziali dell'utente che ha creato la regola vengono applicate alla regola anziché a un token di accesso indipendente, in modo che quando l'utente non ha più accesso all'altra sottoscrizione o tenant, la regola smette di funzionare.

Se si gestisce Microsoft Sentinel in uno scenario tra sottoscrizioni o tra tenant, quando uno degli analisti o dei tecnici perde l'accesso a una determinata area di lavoro, tutte le regole create dall'utente smette di funzionare. In questo caso, viene visualizzato un messaggio di monitoraggio dell'integrità relativo all'accesso insufficiente alla risorsa e la regola viene disabilitata automaticamente dopo un determinato numero di volte.

Esportare regole in un modello di Resource Manager

È possibile esportare facilmente la regola in un modello di Azure Resource Manager (ARM) se si vuole gestire e distribuire le regole come codice. È anche possibile importare regole dai file modello per visualizzarle e modificarle nell'interfaccia utente.

Passaggi successivi