Creare una regola di analisi personalizzata da zero

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Sono stati configurati connettori e altri mezzi per raccogliere i dati sulle attività nel digital estate. È ora necessario esaminare tutti i dati per rilevare i modelli di attività e individuare le attività che non soddisfano tali modelli e che potrebbero rappresentare una minaccia per la sicurezza.

Microsoft Sentinel e le sue numerose soluzioni fornite nei modelli di offerta dell'hub contenuto per i tipi più usati di regole di analisi e si consiglia vivamente di usare questi modelli, personalizzandoli in base agli scenari specifici. Ma è possibile che sia necessario qualcosa di completamente diverso, quindi in tal caso è possibile creare una regola da zero, usando la procedura guidata per le regole di analisi.

Questo articolo illustra la procedura guidata delle regole di Analisi e illustra tutte le opzioni disponibili. Sono accompagnati da screenshot e indicazioni per accedere alla procedura guidata in entrambi i portale di Azure, per gli utenti di Microsoft Sentinel che non sono anche sottoscrittori di Microsoft Defender e il portale di Defender, per gli utenti della piattaforma per le operazioni di sicurezza unificata di Microsoft Defender.

Importante

Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

• È necessario avere il ruolo collaboratore di Microsoft Sentinel o qualsiasi altro ruolo o set di autorizzazioni che include autorizzazioni di scrittura per l'area di lavoro Log Analytics e il relativo gruppo di risorse.

Progettare e compilare la query

Prima di eseguire altre operazioni, è necessario progettare e compilare una query in Linguaggio di query Kusto (KQL) che verrà usata dalla regola per eseguire query su una o più tabelle nell'area di lavoro Log Analytics.

1. Determinare un'origine dati da cercare per rilevare attività insolite o sospette. Trovare il nome della tabella di Log Analytics in cui vengono inseriti i dati di tale origine. È possibile trovare il nome della tabella nella pagina del connettore dati per tale origine. Usare questo nome di tabella (o una funzione basata su di esso) come base per la query.

2. Decidere quale tipo di analisi si vuole eseguire questa query nella tabella. Questa decisione determinerà i comandi e le funzioni da usare nella query.

3. Decidere quali elementi di dati (campi, colonne) si desidera ottenere dai risultati della query. Questa decisione determinerà la struttura dell'output della query.

Procedure consigliate per le query sulle regole di analisi

• È consigliabile usare un parser ASIM (Advanced Security Information Model) come origine query, anziché usare una tabella nativa. In questo modo, la query supporta qualsiasi origine dati corrente o futura pertinente o famiglia di origini dati, anziché basarsi su una singola origine dati.

• La lunghezza della query deve essere compresa tra 1 e 10.000 caratteri e non può contenere "search *" o "union *". È possibile usare funzioni definite dall'utente per superare la limitazione della lunghezza della query.

• L'uso delle funzioni ADX per creare query di azure Esplora dati all'interno della finestra di query di Log Analytics non è supportato.

• Quando si usa la bag_unpack funzione in una query, se si proiettano le colonne come campi usando "project field1" e la colonna non esiste, la query avrà esito negativo. Per evitare questo problema, è necessario proiettare la colonna come segue:

  project field1 = column_ifexists("field1","")

Per altre informazioni sulla creazione di query Kusto, vedere Linguaggio di query Kusto in Microsoft Sentinel e procedure consigliate per Linguaggio di query Kusto query.

Compilare e testare le query nella schermata Log . Quando si è soddisfatti, salvare la query da usare nella regola.

Creare la regola di analisi

Questa sezione descrive come creare una regola usando i portali di Azure o Defender.

Avviare la procedura guidata per la regola di Analisi

Azure portal

1. Nella sezione Configurazione del menu di spostamento di Microsoft Sentinel selezionare Analisi.

2. Nella barra delle azioni in alto selezionare +Crea e selezionare Regola di query pianificata. Verrà aperta la procedura guidata per la regola di Analisi.

   

Portale di Defender

1. Dal menu di spostamento di Microsoft Defender espandere Microsoft Sentinel, quindi Configurazione. Selezionare Analisi.

2. Nella barra delle azioni nella parte superiore della griglia selezionare +Crea e selezionare Regola di query pianificata. Verrà aperta la procedura guidata per la regola di Analisi.

   

Denominare la regola e definire informazioni generali

Nelle portale di Azure le fasi vengono rappresentate visivamente come schede. Nel portale di Defender vengono rappresentati visivamente come attività cardine in una sequenza temporale. Per esempi, vedere gli screenshot seguenti.

1. Specificare un nome univoco e una descrizione.

2. Impostare la gravità dell'avviso in base alle esigenze, in base all'impatto dell'attività che attiva la regola nell'ambiente di destinazione, se la regola è un vero positivo.

   Gravità	Descrizione
   Informativo	Nessun impatto sul sistema, ma le informazioni potrebbero essere indicative di passaggi futuri pianificati da un attore di minacce.
   Basso	L'impatto immediato sarebbe minimo. È probabile che un attore di minacce debba eseguire più passaggi prima di ottenere un impatto su un ambiente.
   Medium	L'attore di minacce potrebbe avere un impatto sull'ambiente con questa attività, ma potrebbe essere limitato nell'ambito o richiedere attività aggiuntive.
   Alto	L'attività identificata fornisce all'attore di minaccia un accesso ampio per eseguire azioni sull'ambiente o viene attivato dall'impatto sull'ambiente.

   Le impostazioni predefinite del livello di gravità non sono una garanzia del livello di impatto attuale o ambientale. Personalizzare i dettagli dell'avviso per personalizzare la gravità, le tattiche e altre proprietà di una determinata istanza di un avviso con i valori di tutti i campi pertinenti di un output della query.

   Le definizioni di gravità per i modelli di regole di analisi di Microsoft Sentinel sono rilevanti solo per gli avvisi creati dalle regole di analisi. Per gli avvisi inseriti da altri servizi, la gravità viene definita dal servizio di sicurezza di origine.

3. Nel campo Tattiche e tecniche è possibile scegliere tra categorie di attività di minaccia in base alle quali classificare la regola. Si basano sulle tattiche e sulle tecniche del framework MITRE ATT&CK .

   Gli eventi imprevisti creati dagli avvisi rilevati dalle regole mappate alle tattiche e alle tecniche MITRE ATT&CK ereditano automaticamente il mapping della regola.

   Per altre informazioni sull'ottimizzazione della copertura del panorama delle minacce MITRE ATT&CK, vedere Informazioni sulla copertura della sicurezza da parte del framework MITRE ATT&CK®

4. Quando si crea la regola, lo stato è Abilitato per impostazione predefinita, il che significa che verrà eseguito immediatamente dopo aver completato la creazione. Se non si vuole eseguirlo immediatamente, selezionare Disabilitato e la regola verrà aggiunta alla scheda Regole attive ed è possibile abilitarla da questa posizione quando necessario.

   Nota

   Esiste un altro modo, attualmente in anteprima, per creare una regola senza eseguirla immediatamente. È possibile pianificare la prima esecuzione della regola in una data e un'ora specifiche. Vedere Pianificare e definire l'ambito della query seguente.

5. Selezionare Avanti: Imposta la logica della regola.

   Azure portal

   

   Portale di Defender

   

---

Definire la logica della regola

1. Immettere una query per la regola.

   Incollare la query progettata, compilata e testata nella finestra Query regola . Ogni modifica apportata in questa finestra viene convalidata immediatamente, quindi se si verificano errori, viene visualizzata un'indicazione immediatamente sotto la finestra.

2. Eseguire il mapping delle entità.

   Le entità sono essenziali per rilevare e analizzare le minacce. Eseguire il mapping dei tipi di entità riconosciuti da Microsoft Sentinel nei campi nei risultati della query. Questo mapping integra le entità individuate nel campo Entità nello schema di avviso.

   Per istruzioni complete sul mapping delle entità, vedere Eseguire il mapping dei campi dati alle entità in Microsoft Sentinel.

3. Dettagli personalizzati di Surface negli avvisi.

   Per impostazione predefinita, solo le entità di avviso e i metadati sono visibili negli eventi imprevisti senza eseguire il drill-down negli eventi non elaborati nei risultati della query. Questo passaggio accetta altri campi nei risultati della query e li integra nel campo ExtendedProperties negli avvisi, causandone la visualizzazione in anticipo negli avvisi e in eventuali eventi imprevisti creati da tali avvisi.

   Per istruzioni complete sulla visualizzazione dei dettagli personalizzati, vedere Dettagli sugli eventi personalizzati di Surface negli avvisi in Microsoft Sentinel.

4. Personalizzare i dettagli dell'avviso.

   Questa impostazione consente di personalizzare le proprietà degli avvisi standard in base al contenuto di vari campi in ogni singolo avviso. Queste personalizzazioni sono integrate nel campo ExtendedProperties negli avvisi. Ad esempio, è possibile personalizzare il nome o la descrizione dell'avviso per includere un nome utente o un indirizzo IP in primo piano nell'avviso.

   Per istruzioni complete sulla personalizzazione dei dettagli degli avvisi, vedere Personalizzare i dettagli degli avvisi in Microsoft Sentinel.

5. Pianificare e definire l'ambito della query.

   1. Impostare i parametri seguenti nella sezione Pianificazione query:

      Impostazione	Comportamento
      Eseguire una query ogni	Controlla l'intervallo di query: con quale frequenza viene eseguita la query.
      Dati di ricerca dall'ultimo	Determina il periodo di lookback: il periodo di tempo coperto dalla query.

      • L'intervallo consentito per entrambi questi parametri è compreso tra 5 minuti e 14 giorni.

      • L'intervallo di query deve essere più breve o uguale al periodo di lookback. Se è più breve, i periodi di query si sovrappongono e ciò può causare una duplicazione dei risultati. La convalida della regola non consentirà di impostare un intervallo più lungo del periodo di lookback, tuttavia, in quanto causerebbe lacune nella copertura.

   2. Impostare Avvia esecuzione:

      Impostazione	Comportamento
      Automatico	La regola verrà eseguita per la prima volta immediatamente dopo la creazione e successivamente all'intervallo impostato nella query Esegui ogni impostazione.
      In un momento specifico (anteprima)	Impostare una data e un'ora per la prima esecuzione della regola, dopo la quale verrà eseguita a intervalli impostati nella query Esegui ogni impostazione.

      • L'ora di inizio dell'esecuzione deve essere compresa tra 10 minuti e 30 giorni dopo l'ora di creazione o abilitazione della regola.

      • La riga di testo sotto l'impostazione Avvia esecuzione (con l'icona delle informazioni a sinistra) riepiloga e impostazioni correnti di pianificazione delle query e lookback.

        

      Azure portal

      

      Portale di Defender

      

   Nota

   Ritardo inserimento

   Per tenere conto della latenza che può verificarsi tra la generazione di un evento all'origine e l'inserimento in Microsoft Sentinel e per garantire una copertura completa senza duplicazione dei dati, Microsoft Sentinel esegue regole di analisi pianificate in un ritardo di cinque minuti rispetto all'ora pianificata.

   Per altre informazioni, vedere Gestire il ritardo di inserimento nelle regole di analisi pianificate.

6. Impostare la soglia per la creazione di avvisi.

   Usare la sezione Soglia avvisi per definire il livello di riservatezza della regola.

   • Impostare Genera avviso quando il numero di risultatidella query è maggiore di e immettere il numero minimo di eventi che devono essere trovati nel periodo di tempo della query per generare un avviso.
   • Si tratta di un campo obbligatorio, quindi se non si vuole impostare una soglia, ovvero se si vuole attivare l'avviso per un singolo evento in un determinato periodo di tempo, immettere 0 nel campo numero.

7. Impostare le impostazioni di raggruppamento di eventi.

   In Raggruppamento di eventi scegliere uno dei due modi per gestire il raggruppamento di eventi in avvisi:

   Impostazione	Comportamento
   Raggruppare tutti gli eventi in un singolo avviso (predefinito)	La regola genera un singolo avviso ogni volta che viene eseguito, purché la query restituisca più risultati rispetto alla soglia di avviso specificata sopra. Questo singolo avviso riepiloga tutti gli eventi restituiti nei risultati della query.
   Attivare un avviso per ogni evento	La regola genera un avviso univoco per ogni evento restituito dalla query. Ciò è utile se si desidera che gli eventi vengano visualizzati singolarmente o se si desidera raggrupparli in base a determinati parametri, ad esempio utente, nome host o altro. È possibile definire questi parametri nella query.

   Le regole di analisi possono generare fino a 150 avvisi. Se il raggruppamento di eventi è impostato su Attiva un avviso per ogni evento e la query della regola restituisce più di 150 eventi, i primi 149 eventi generano ognuno un avviso univoco (per 149 avvisi) e il 150° avviso riepilogerà l'intero set di eventi restituiti. In altre parole, il 150° avviso è quello che sarebbe stato generato se il raggruppamento di eventi fosse stato impostato su Raggruppa tutti gli eventi in un singolo avviso.

8. Eliminare temporaneamente la regola dopo la generazione di un avviso.

   Nella sezione Eliminazione è possibile attivare l'impostazione Arresta esecuzione query dopo la generazione dell'avviso Se, dopo aver visualizzato un avviso, si vuole sospendere l'operazione di questa regola per un periodo di tempo superiore all'intervallo di query. Se si attiva questa opzione, è necessario impostare Interrompi esecuzione query per per la quantità di tempo in cui la query deve interrompere l'esecuzione, fino a 24 ore.

9. Simulare i risultati delle impostazioni di query e logica.

   Nell'area Simulazione risultati selezionareTest con i dati correnti e Microsoft Sentinel mostrerà un grafico dei risultati (eventi di log) che la query avrebbe generato negli ultimi 50 volte che sarebbe stata eseguita, in base alla pianificazione attualmente definita. Se si modifica la query, selezionare di nuovo Test con i dati correnti per aggiornare il grafico. Il grafico mostra il numero di risultati nel periodo di tempo definito, determinato dalle impostazioni nella sezione Pianificazione query.

   Ecco l'aspetto della simulazione dei risultati per la query nello screenshot precedente. Il lato sinistro è la visualizzazione predefinita e il lato destro è quello che viene visualizzato quando si passa il puntatore del mouse su un punto nel tempo sul grafico.

   

   Se si noterà che la query attiverebbe troppi avvisi o troppo frequenti, è possibile sperimentare le impostazioni nelle sezioni Pianificazione query e Soglia di avviso e selezionare di nuovo Test con i dati correnti.

10. Selezionare Avanti: Impostazioni evento imprevisto.

Configurare le impostazioni di creazione degli eventi imprevisti

Nella scheda Impostazioni evento imprevisto scegliere se Microsoft Sentinel trasforma gli avvisi in eventi imprevisti interattivi e se e in che modo gli avvisi vengono raggruppati in eventi imprevisti.

1. Abilitare la creazione di eventi imprevisti.

   Nella sezione Impostazioni evento imprevisto creare eventi imprevisti dagli avvisi attivati da questa regola di analisi è impostato per impostazione predefinita su Abilitato, ovvero Microsoft Sentinel creerà un singolo evento imprevisto separato da ogni avviso attivato dalla regola.

   • Se non si vuole che questa regola comporti la creazione di eventi imprevisti ( ad esempio, se questa regola è solo per raccogliere informazioni per l'analisi successiva), impostare questa opzione su Disabilitato.

     Importante

     Se è stato eseguito l'onboarding di Microsoft Sentinel nella piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender e questa regola esegue query e crea avvisi da origini di Microsoft 365 o Microsoft Defender, è necessario impostare questa impostazione su Disabilitato.

   • Se si vuole creare un singolo evento imprevisto da un gruppo di avvisi, anziché uno per ogni singolo avviso, vedere la sezione successiva.

2. Impostare le impostazioni di raggruppamento degli avvisi.

   Nella sezione Raggruppamento avvisi, se si vuole generare un singolo evento imprevisto da un gruppo di un massimo di 150 avvisi simili o ricorrenti (vedere la nota), impostare Gli avvisi correlati al gruppo, attivati da questa regola di analisi, in eventi imprevistisu Abilitato e impostare i parametri seguenti.

   1. Limitare il gruppo agli avvisi creati entro l'intervallo di tempo selezionato: determinare l'intervallo di tempo in cui verranno raggruppati gli avvisi simili o ricorrenti. Tutti gli avvisi corrispondenti entro questo intervallo di tempo genereranno collettivamente un evento imprevisto o un set di eventi imprevisti (a seconda delle impostazioni di raggruppamento seguenti). Gli avvisi al di fuori di questo intervallo di tempo genereranno un evento imprevisto o un set separato di eventi imprevisti.

   2. Raggruppare gli avvisi attivati da questa regola di analisi in un singolo evento imprevisto: scegliere la base per cui gli avvisi verranno raggruppati:

      Opzione	Descrizione
      Raggruppare gli avvisi in un singolo evento imprevisto se tutte le entità corrispondono	Gli avvisi vengono raggruppati se condividono valori identici per ognuna delle entità mappate (definite nella scheda Imposta logica regola sopra). Questa è l'impostazione consigliata.
      Raggruppare tutti gli avvisi attivati da questa regola in un singolo evento imprevisto	Tutti gli avvisi generati da questa regola vengono raggruppati insieme anche se non condividono valori identici.
      Raggruppare gli avvisi in un singolo evento imprevisto se le entità e i dettagli selezionati corrispondono	Gli avvisi vengono raggruppati se condividono valori identici per tutte le entità mappate, i dettagli dell'avviso e i dettagli personalizzati selezionati dai rispettivi elenchi a discesa. È possibile usare questa impostazione se, ad esempio, si desidera creare eventi imprevisti separati in base agli indirizzi IP di origine o di destinazione oppure se si desidera raggruppare avvisi che corrispondono a un'entità e una gravità specifiche. Nota: quando si seleziona questa opzione, è necessario avere almeno un tipo di entità o un campo selezionato per la regola. In caso contrario, la convalida della regola avrà esito negativo e la regola non verrà creata.

   3. Riaprire gli eventi imprevisti di corrispondenza chiusi: se un evento imprevisto è stato risolto e chiuso e successivamente viene generato un altro avviso che deve appartenere a tale evento imprevisto, impostare questa impostazione su Abilitato se si vuole riaprire l'evento imprevisto chiuso e lasciare Disabilitato se si vuole che l'avviso crei un nuovo evento imprevisto.

   Nota

   È possibile raggruppare fino a 150 avvisi in un singolo evento imprevisto.

   • L'evento imprevisto verrà creato solo dopo la generazione di tutti gli avvisi. Tutti gli avvisi verranno aggiunti all'evento imprevisto immediatamente dopo la creazione.

   • Se più di 150 avvisi vengono generati da una regola che li raggruppa in un singolo evento imprevisto, verrà generato un nuovo evento imprevisto con gli stessi dettagli dell'evento imprevisto originale e gli avvisi in eccesso verranno raggruppati nel nuovo evento imprevisto.

3. Selezionare Avanti: Risposta automatica.

   Azure portal

   

   Portale di Defender

   

Impostare risposte automatiche e creare la regola

Nella scheda Risposte automatiche è possibile usare le regole di automazione per impostare risposte automatizzate in modo che si verifichino in uno dei tre tipi di occasioni seguenti:

• Quando un avviso viene generato da questa regola di analisi.
• Quando un evento imprevisto viene creato dagli avvisi generati da questa regola di analisi.
• Quando viene aggiornato un evento imprevisto con avvisi generati da questa regola di analisi.

La griglia visualizzata in Regole di automazione mostra le regole di automazione che si applicano già a questa regola di analisi (in virtù delle condizioni definite in tali regole). È possibile modificare una di queste opzioni selezionando il nome della regola o i puntini di sospensione alla fine di ogni riga. In alternativa, è possibile selezionare Aggiungi nuovo per creare una nuova regola di automazione.

Usare le regole di automazione per eseguire la valutazione di base, l'assegnazione, il flusso di lavoro e la chiusura degli eventi imprevisti.

Automatizzare attività più complesse e richiamare risposte da sistemi remoti per correggere le minacce chiamando playbook da queste regole di automazione. È possibile richiamare playbook per eventi imprevisti e per singoli avvisi.

• Per altre informazioni e istruzioni sulla creazione di playbook e regole di automazione, vedere Automatizzare le risposte alle minacce.

• Per altre informazioni su quando usare il trigger creato dall'evento imprevisto, il trigger aggiornato dell'evento imprevisto o il trigger creato dall'avviso, vedere Usare trigger e azioni nei playbook di Microsoft Sentinel.

Azure portal

Portale di Defender

• In Automazione avvisi (versione classica) nella parte inferiore della schermata verranno visualizzati i playbook configurati per l'esecuzione automatica quando viene generato un avviso usando il metodo precedente.

  • A partire da giugno 2023, non è più possibile aggiungere playbook a questo elenco. I playbook già elencati qui continueranno a essere eseguiti fino a quando questo metodo non è deprecato, a partire da marzo 2026.

  • Se sono ancora presenti playbook elencati qui, è consigliabile creare invece una regola di automazione basata sul trigger creato dall'avviso e richiamare il playbook dalla regola di automazione. Dopo aver completato questa operazione, selezionare i puntini di sospensione alla fine della riga del playbook elencato qui e selezionare Rimuovi. Per istruzioni complete, vedere Eseguire la migrazione dei playbook di attivazione degli avvisi di Microsoft Sentinel alle regole di automazione.

Selezionare Avanti: Rivedi e crea per esaminare tutte le impostazioni per la nuova regola di analisi. Quando viene visualizzato il messaggio "Convalida superata", selezionare Crea.

Azure portal

Portale di Defender

Visualizzare la regola e il relativo output

Visualizzare la definizione della regola:

• È possibile trovare la regola personalizzata appena creata (di tipo "Pianificato") nella tabella nella scheda Regole attive nella schermata principale di Analytics . Da questo elenco è possibile abilitare, disabilitare o eliminare ogni regola.

Visualizzare i risultati della regola:

Azure portal

• Per visualizzare i risultati delle regole di analisi create nella portale di Azure, passare alla pagina Eventi imprevisti, dove è possibile valutare gli eventi imprevisti, esaminarli e correggere le minacce.

Portale di Defender

• Per visualizzare i risultati delle regole di analisi create nel portale di Defender, espandere Indagine e risposta nel menu di spostamento, quindi Eventi imprevisti e avvisi. Visualizzare gli eventi imprevisti nella pagina Eventi imprevisti , in cui è possibile valutare gli eventi imprevisti, esaminarli e correggere le minacce. Visualizzare i singoli avvisi nella pagina Avvisi .

Ottimizzare la regola:

• È possibile aggiornare la query della regola per escludere falsi positivi. Per altre informazioni, vedere Gestire i falsi positivi in Microsoft Sentinel.

Nota

Gli avvisi generati in Microsoft Sentinel sono disponibili tramite Microsoft Graph Security. Per altre informazioni, vedere la documentazione relativa agli avvisi di Microsoft Graph Security.

Esportare la regola in un modello di Resource Manager

Se si vuole creare un pacchetto della regola da gestire e distribuire come codice, è possibile esportare facilmente la regola in un modello di Azure Resource Manager (ARM). È anche possibile importare regole dai file modello per visualizzarle e modificarle nell'interfaccia utente.

Passaggi successivi

Quando si usano regole di analisi per rilevare le minacce da Microsoft Sentinel, assicurarsi di abilitare tutte le regole associate alle origini dati connesse per garantire la copertura completa della sicurezza per l'ambiente in uso.

Per automatizzare l'abilitazione delle regole, eseguire il push di regole in Microsoft Sentinel tramite l'API e PowerShell, anche se questa operazione richiede ulteriore sforzo. Quando si usa l'API o PowerShell, è prima necessario esportare le regole in JSON prima di abilitare le regole. L'API o PowerShell può essere utile quando si abilitano regole in più istanze di Microsoft Sentinel con impostazioni identiche in ogni istanza.

Per altre informazioni, vedi:

• Risoluzione dei problemi relativi alle regole di analisi in Microsoft Sentinel
• Esplorare e analizzare gli eventi imprevisti in Microsoft Sentinel
• Entità in Microsoft Sentinel
• Esercitazione: Usare playbook con regole di automazione in Microsoft Sentinel

Si apprenderà anche da un esempio di uso di regole di analisi personalizzate durante il monitoraggio di Zoom con un connettore personalizzato.