Rilevamento delle minacce in Microsoft Sentinel

  • Si applica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Importante

I rilevamenti personalizzati sono ora il modo migliore per creare nuove regole in Microsoft Sentinel Microsoft Defender XDR SIEM. Con i rilevamenti personalizzati, è possibile ridurre i costi di inserimento, ottenere rilevamenti in tempo reale illimitati e trarre vantaggio dall'integrazione senza problemi con dati, funzioni e azioni di correzione Defender XDR con il mapping automatico delle entità. Per altre informazioni, leggere questo blog.

Dopo aver configurato Microsoft Sentinel per raccogliere dati da tutta l'organizzazione, è necessario esaminare costantemente tutti i dati per rilevare le minacce alla sicurezza per l'ambiente. Per eseguire questa attività, Microsoft Sentinel fornisce regole di rilevamento delle minacce che vengono eseguite regolarmente, eseguendo query sui dati raccolti e analizzando i dati per individuare le minacce. Queste regole sono disponibili in alcune versioni diverse e sono collettivamente note come regole di analisi.

Queste regole generano avvisi quando trovano ciò che cercano. Gli avvisi contengono informazioni sugli eventi rilevati, ad esempio le entità (utenti, dispositivi, indirizzi e altri elementi) coinvolte. Gli avvisi vengono aggregati e correlati in eventi imprevisti, ovvero file di casi, che è possibile assegnare e analizzare per apprendere l'intera portata della minaccia rilevata e rispondere di conseguenza. È anche possibile compilare risposte predeterminate e automatizzate nella configurazione delle regole.

È possibile creare queste regole da zero usando la procedura guidata per le regole di analisi predefinite. Tuttavia, Microsoft incoraggia vivamente l'utente a usare la vasta gamma di modelli di regole di analisi disponibili tramite le numerose soluzioni per Microsoft Sentinel fornite nell'hub del contenuto. Questi modelli sono prototipi di regole predefiniti, progettati da team di esperti di sicurezza e analisti in base alla loro conoscenza delle minacce note, dei vettori di attacco comuni e delle catene di escalation delle attività sospette. Le regole di questi modelli vengono attivate per cercare automaticamente nell'ambiente tutte le attività che sembrano sospette. Molti dei modelli possono essere personalizzati per cercare tipi specifici di eventi o filtrarli in base alle proprie esigenze.

Questo articolo consente di comprendere come Microsoft Sentinel rileva le minacce e cosa accade successivamente.

Importante

Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.

Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.

Tipi di regole di analisi

È possibile visualizzare le regole e i modelli di analisi disponibili per l'uso nella pagina Analisi del menu Configurazione in Microsoft Sentinel. Le regole attualmente attive sono visibili in una scheda e i modelli per creare nuove regole in un'altra scheda. In una terza scheda vengono visualizzate le anomalie, un tipo di regola speciale descritto più avanti in questo articolo.

Per trovare più modelli di regole di quelli attualmente visualizzati, passare all'hub Contenuto in Microsoft Sentinel per installare le soluzioni di prodotto correlate o il contenuto autonomo. I modelli di regola di analisi sono disponibili con quasi tutte le soluzioni di prodotto nell'hub del contenuto.

I tipi seguenti di regole di analisi e modelli di regole sono disponibili in Microsoft Sentinel:

Oltre ai tipi di regole precedenti, esistono altri tipi di modello specializzati che possono creare ognuna un'istanza di una regola, con opzioni di configurazione limitate:

Regole pianificate

Di gran lunga il tipo più comune di regola di analisi, le regole pianificate si basano su query Kusto configurate per l'esecuzione a intervalli regolari ed esaminano i dati non elaborati da un periodo di "lookback" definito. Se il numero di risultati acquisiti dalla query supera la soglia configurata nella regola, la regola genera un avviso.

Le query nei modelli di regole pianificate sono state scritte da esperti di sicurezza e data science, da Microsoft o dal fornitore della soluzione che fornisce il modello. Le query possono eseguire operazioni statistiche complesse sui dati di destinazione, rivelando baseline e outlier in gruppi di eventi.

La logica di query viene visualizzata nella configurazione della regola. È possibile usare la logica di query e le impostazioni di pianificazione e lookback definite nel modello oppure personalizzarle per creare nuove regole. In alternativa, è possibile creare regole completamente nuove da zero.

Altre informazioni sulle regole di analisi pianificata in Microsoft Sentinel.

Regole quasi in tempo reale (NRT)

Le regole NRT sono un subset limitato di regole pianificate. Sono progettati per essere eseguiti una volta al minuto, in modo da fornire informazioni il più possibile aggiornate.

Funzionano principalmente come le regole pianificate e sono configurate in modo analogo, con alcune limitazioni.

Altre informazioni sul rilevamento rapido delle minacce con regole di analisi quasi in tempo reale (NRT) in Microsoft Sentinel.

Regole di anomalia

Le regole di anomalie usano Machine Learning per osservare tipi specifici di comportamenti in un periodo di tempo per determinare una linea di base. Ogni regola ha i propri parametri e soglie univoci, appropriati per il comportamento analizzato. Al termine del periodo di osservazione, viene impostata la linea di base. Quando la regola osserva comportamenti che superano i limiti impostati nella linea di base, contrassegna tali occorrenze come anomale.

Anche se le configurazioni delle regole predefinite non possono essere modificate o ottimizzate, è possibile duplicare una regola e quindi modificare e ottimizzare il duplicato. In questi casi, eseguire il duplicato in modalità di anteprima e l'originale contemporaneamente in modalità di produzione . Confrontare quindi i risultati e impostare il duplicato su Produzione se e quando l'ottimizzazione è a proprio piacimento.

Le anomalie non indicano necessariamente comportamenti dannosi o sospetti da soli. Pertanto, le regole di anomalia non generano avvisi personalizzati. Piuttosto, registrano i risultati dell'analisi, ovvero le anomalie rilevate, nella tabella Anomalies . È possibile eseguire query su questa tabella per fornire un contesto che migliori i rilevamenti, le indagini e la ricerca delle minacce.

Per altre informazioni, vedere Usare anomalie personalizzabili per rilevare le minacce in Microsoft Sentinel e Usare le regole di analisi del rilevamento anomalie in Microsoft Sentinel.

Regole di sicurezza Microsoft

Mentre le regole pianificate e NRT creano automaticamente eventi imprevisti per gli avvisi generati, gli avvisi generati nei servizi esterni e inseriti in Microsoft Sentinel non creano eventi imprevisti personalizzati. Le regole di sicurezza Microsoft creano automaticamente Microsoft Sentinel eventi imprevisti dagli avvisi generati in altre soluzioni di sicurezza Microsoft, in tempo reale. È possibile usare i modelli di sicurezza Microsoft per creare nuove regole con logica simile.

Importante

Le regole di sicurezza Microsoft non sono disponibili se si dispone di:

In questi scenari, Microsoft Defender XDR crea invece gli eventi imprevisti.

Eventuali regole di questo tipo definite in precedenza vengono disabilitate automaticamente.

Per altre informazioni sulle regole di creazione degli eventi imprevisti di sicurezza Microsoft , vedere Creare automaticamente eventi imprevisti da avvisi di sicurezza Microsoft.

Threat intelligence

Sfruttare i vantaggi dell'intelligence sulle minacce prodotta da Microsoft per generare avvisi e eventi imprevisti ad alta fedeltà con la regola analisi di Microsoft Threat Intelligence . Questa regola univoca non è personalizzabile, ma se abilitata corrisponde automaticamente ai log CEF (Common Event Format), ai dati syslog o agli eventi DNS di Windows con gli indicatori di minaccia di dominio, IP e URL di Microsoft Threat Intelligence. Alcuni indicatori contengono più informazioni di contesto tramite MDTI (Microsoft Defender Threat Intelligence).

Per altre informazioni su come abilitare questa regola, vedere Usare l'analisi di corrispondenza per rilevare le minacce.
Per altre informazioni su MDTI, vedere Informazioni su Microsoft Defender Threat Intelligence.

Rilevamento avanzato degli attacchi multistage (Fusion)

Microsoft Sentinel usa il motore di correlazione Fusion, con i suoi algoritmi di Machine Learning scalabili, per rilevare gli attacchi multistage avanzati correlando molti avvisi ed eventi a bassa fedeltà in più prodotti in eventi imprevisti ad alta fedeltà e interattivi. La regola advanced multistage attack detection è abilitata per impostazione predefinita. Poiché la logica è nascosta e quindi non personalizzabile, può essere presente una sola regola con questo modello.

Il motore Fusion può anche correlare gli avvisi generati dalle regole di analisi pianificata con gli avvisi di altri sistemi, generando di conseguenza eventi imprevisti ad alta fedeltà.

Importante

Il tipo di regola advanced multistage attack detectionnon è disponibile se si dispone di:

In questi scenari, Microsoft Defender XDR crea invece gli eventi imprevisti.

Inoltre, alcuni modelli di rilevamento Fusion sono attualmente in ANTEPRIMA (vedere Rilevamento avanzato degli attacchi multistage in Microsoft Sentinel per vedere quali. Per altre condizioni legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate in disponibilità generale, vedere le Condizioni aggiuntive per l'utilizzo per Microsoft Azure Previews.

Analisi del comportamento di Machine Learning (ML)

Sfruttare gli algoritmi proprietari di Machine Learning di Microsoft per generare avvisi e eventi imprevisti ad alta fedeltà con le regole di Analisi del comportamento di Ml . Queste regole univoche (attualmente in anteprima) non sono personalizzabili, ma se abilitate, rilevano comportamenti di accesso SSH e RDP anomali specifici in base alle informazioni sulla georilevazione ip e sulla georilevazione e sulla cronologia utente.

Autorizzazioni di accesso per le regole di analisi

Quando si crea una regola di analisi, alla regola viene applicato e salvato un token di autorizzazioni di accesso. Questo token garantisce che la regola possa accedere all'area di lavoro che contiene i dati sottoposti a query dalla regola e che questo accesso venga mantenuto anche se l'autore della regola perde l'accesso a tale area di lavoro.

Esiste tuttavia un'eccezione a questo accesso: quando viene creata una regola per accedere alle aree di lavoro in altre sottoscrizioni o tenant, ad esempio ciò che accade nel caso di un provider di servizi condivisi, Microsoft Sentinel adotta misure di sicurezza aggiuntive per impedire l'accesso non autorizzato ai dati dei clienti. Per questi tipi di regole, le credenziali dell'utente che ha creato la regola vengono applicate alla regola anziché a un token di accesso indipendente, in modo che quando l'utente non ha più accesso all'altra sottoscrizione o tenant, la regola smette di funzionare.

Se si opera Microsoft Sentinel in uno scenario tra sottoscrizioni o tra tenant, quando uno degli analisti o dei tecnici perde l'accesso a una determinata area di lavoro, le regole create da tale utente smetteranno di funzionare. In questo caso, viene visualizzato un messaggio di monitoraggio dell'integrità relativo all'"accesso insufficiente alla risorsa" e la regola viene disabilitata automaticamente dopo un determinato numero di errori.

Esportare regole in un modello di Resource Manager

È possibile esportare facilmente la regola in un modello di Azure Resource Manager (ARM) se si desidera gestire e distribuire le regole come codice. È anche possibile importare regole dai file modello per visualizzarle e modificarle nell'interfaccia utente.

Passaggi successivi

  • Last updated on