Creare e gestire regole di rilevamento personalizzate
Si applica a:
- Microsoft Defender XDR
Le regole di rilevamento personalizzate sono regole che è possibile progettare e modificare usando query di ricerca avanzate . Queste regole consentono di monitorare in modo proattivo vari eventi e stati del sistema, tra cui sospetta attività di violazione e endpoint non configurati correttamente. È possibile impostarli per l'esecuzione a intervalli regolari, generando avvisi ed eseguendo azioni di risposta ogni volta che ci sono corrispondenze.
Autorizzazioni necessarie per la gestione dei rilevamenti personalizzati
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
Per gestire i rilevamenti personalizzati, è necessario disporre di uno di questi ruoli:
Impostazioni di sicurezza (gestione): gli utenti con questa autorizzazione Microsoft Defender XDR possono gestire le impostazioni di sicurezza nel portale di Microsoft Defender.
Amministratore della sicurezza: gli utenti con questo ruolo Microsoft Entra possono gestire le impostazioni di sicurezza nel portale di Microsoft Defender e in altri portali e servizi.
Operatore di sicurezza: gli utenti con questo ruolo Microsoft Entra possono gestire gli avvisi e avere accesso di sola lettura globale alle funzionalità correlate alla sicurezza, incluse tutte le informazioni nel portale di Microsoft Defender. Questo ruolo è sufficiente per la gestione dei rilevamenti personalizzati solo se il controllo degli accessi in base al ruolo è disattivato in Microsoft Defender per endpoint. Se il controllo degli accessi in base al ruolo è configurato, è necessaria anche l'autorizzazione *Gestisci impostazioni di sicurezza per Defender per endpoint.
È possibile gestire rilevamenti personalizzati che si applicano ai dati da soluzioni di Microsoft Defender XDR specifiche se si dispone delle autorizzazioni appropriate. Ad esempio, se si dispone solo delle autorizzazioni di gestione per Microsoft Defender per Office 365, è possibile creare rilevamenti personalizzati usando Email*
tabelle ma non Identity*
tabelle.
Analogamente, poiché la IdentityLogonEvents
tabella contiene informazioni sull'attività di autenticazione sia da Microsoft Defender for Cloud Apps che da Defender per identità, è necessario disporre delle autorizzazioni di gestione per entrambi i servizi per gestire i rilevamenti personalizzati che eseguono query sulla tabella.
Nota
Per gestire i rilevamenti personalizzati, gli operatori di sicurezza devono disporre dell'autorizzazione Gestisci impostazioni di sicurezza in Microsoft Defender per endpoint se il controllo degli accessi in base al ruolo è attivato.
Per gestire le autorizzazioni necessarie, un amministratore globale può:
Assegnare il ruolo Amministratore della sicurezza o Operatore di sicurezza in interfaccia di amministrazione di Microsoft 365 in Ruoli>Amministratore sicurezza.
Controllare le impostazioni del controllo degli accessi in base al ruolo per Microsoft Defender per endpoint in Microsoft Defender XDR in Impostazioni>Ruoli autorizzazioni>. Selezionare il ruolo corrispondente per assegnare l'autorizzazione gestisci impostazioni di sicurezza .
Nota
Un utente deve anche disporre delle autorizzazioni appropriate per i dispositivi nell'ambito del dispositivo di una regola di rilevamento personalizzata che sta creando o modificando prima di poter procedere. Un utente non può modificare una regola di rilevamento personalizzata con ambito per l'esecuzione in tutti i dispositivi, se lo stesso utente non dispone delle autorizzazioni per tutti i dispositivi.
Creare una regola di rilevamento personalizzata
1. Preparare la query
Nel portale di Microsoft Defender passare a Ricerca avanzata e selezionare una query esistente o creare una nuova query. Quando si utilizza una nuova query, eseguire la query per identificare gli errori e comprendere i possibili risultati.
Importante
Per impedire al servizio di restituire troppi avvisi, ogni regola può generare solo 100 avvisi ogni volta che viene eseguito. Prima di creare una regola, modificare la query per evitare avvisi per le normali attività quotidiane.
Colonne necessarie nei risultati della query
Per creare una regola di rilevamento personalizzata, la query deve restituire le colonne seguenti:
-
Timestamp
- usato per impostare il timestamp per gli avvisi generati -
ReportId
— abilita le ricerche per i record originali - Una delle colonne seguenti che identificano dispositivi, utenti o cassette postali specifici:
DeviceId
DeviceName
RemoteDeviceName
RecipientEmailAddress
-
SenderFromAddress
(mittente della busta o indirizzo Return-Path) -
SenderMailFromAddress
(indirizzo del mittente visualizzato dal client di posta elettronica) RecipientObjectId
AccountObjectId
AccountSid
AccountUpn
InitiatingProcessAccountSid
InitiatingProcessAccountUpn
InitiatingProcessAccountObjectId
Nota
Il supporto per entità aggiuntive verrà aggiunto man mano che vengono aggiunte nuove tabelle allo schema di ricerca avanzato.
Le query semplici, ad esempio quelle che non usano l'operatore project
o summarize
per personalizzare o aggregare i risultati, restituiscono in genere queste colonne comuni.
Esistono diversi modi per garantire che le query più complesse restituiscono queste colonne. Ad esempio, se si preferisce aggregare e contare per entità in una colonna come DeviceId
, è comunque possibile restituire Timestamp
e ReportId
recuperandolo dall'evento più recente che coinvolge ogni univoco DeviceId
.
Importante
Evitare di filtrare i rilevamenti personalizzati usando la Timestamp
colonna . I dati usati per i rilevamenti personalizzati vengono pre-filtrati in base alla frequenza di rilevamento.
La query di esempio seguente conta il numero di dispositivi univoci (DeviceId
) con rilevamenti antivirus e usa questo conteggio per trovare solo i dispositivi con più di cinque rilevamenti. Per restituire la versione più recente Timestamp
e quella corrispondente ReportId
, usa l'operatore summarize
con la arg_max
funzione .
DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5
Consiglio
Per migliorare le prestazioni delle query, impostare un filtro temporale che corrisponda alla frequenza di esecuzione prevista per la regola. Poiché l'esecuzione meno frequente è ogni 24 ore, il filtro per l'ultimo giorno coprirà tutti i nuovi dati.
2. Creare una nuova regola e fornire i dettagli dell'avviso
Con la query nell'editor di query, selezionare Crea regola di rilevamento e specificare i dettagli dell'avviso seguenti:
- Nome rilevamento : nome della regola di rilevamento; deve essere univoco
- Frequenza : intervallo per l'esecuzione della query e l'esecuzione dell'azione. Vedere altre indicazioni nella sezione relativa alla frequenza delle regole
- Titolo avviso : titolo visualizzato con avvisi attivati dalla regola; deve essere univoco
- Gravità : rischio potenziale del componente o dell'attività identificato dalla regola
- Categoria : componente o attività di minaccia identificati dalla regola
- MITRE ATT&tecniche CK : una o più tecniche di attacco identificate dalla regola come documentato nel framework MITRE ATT&CK. Questa sezione è nascosta per alcune categorie di avvisi, tra cui malware, ransomware, attività sospette e software indesiderato
- Descrizione : altre informazioni sul componente o sull'attività identificati dalla regola
- Azioni consigliate : azioni aggiuntive che possono essere eseguite dai risponditori in risposta a un avviso
Frequenza della regola
Quando si salva una nuova regola, viene eseguita e viene verificata la presenza di corrispondenze degli ultimi 30 giorni di dati. La regola viene quindi eseguita di nuovo a intervalli fissi, applicando una durata di lookback in base alla frequenza scelta:
- Ogni 24 ore : viene eseguito ogni 24 ore, controllando i dati degli ultimi 30 giorni
- Ogni 12 ore : viene eseguito ogni 12 ore, controllando i dati delle ultime 48 ore
- Ogni 3 ore : viene eseguito ogni 3 ore, controllando i dati delle ultime 12 ore
- Ogni ora : viene eseguita ogni ora, controllando i dati delle ultime 4 ore
- Continuo (NRT): viene eseguito in modo continuo, controllando i dati dagli eventi durante la raccolta e l'elaborazione in tempo quasi reale (NRT), vedere Frequenza continua (NRT)
Consiglio
Associare i filtri temporali nella query con la durata del lookback. I risultati al di fuori della durata del lookback vengono ignorati.
Quando si modifica una regola, questa verrà eseguita con le modifiche applicate nella successiva fase di esecuzione pianificata in base alla frequenza impostata. La frequenza della regola è basata sul timestamp dell'evento e non sul tempo di inserimento.
Frequenza continua (NRT)
L'impostazione di un rilevamento personalizzato da eseguire nella frequenza continua (NRT) consente di aumentare la capacità dell'organizzazione di identificare le minacce più velocemente.
Nota
L'uso della frequenza continua (NRT) ha un impatto minimo o negativo sull'utilizzo delle risorse e deve quindi essere considerato per qualsiasi regola di rilevamento personalizzata qualificata nell'organizzazione.
Query che è possibile eseguire in modo continuo
È possibile eseguire una query in modo continuo purché:
- La query fa riferimento a una sola tabella.
- La query usa un operatore dall'elenco degli operatori KQL supportati. Funzionalità KQL supportate
- La query non usa join, unioni o l'operatore
externaldata
. - La query non include alcuna riga/informazione di commenti.
Tabelle che supportano la frequenza continua (NRT)
I rilevamenti quasi in tempo reale sono supportati per le tabelle seguenti:
AlertEvidence
CloudAppEvents
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceInfo
DeviceProcessEvents
DeviceRegistryEvents
EmailAttachmentInfo
-
EmailEvents
(ad eccezione delleLatestDeliveryLocation
colonne eLatestDeliveryAction
) EmailPostDeliveryEvents
EmailUrlInfo
IdentityDirectoryEvents
IdentityLogonEvents
IdentityQueryEvents
UrlClickEvents
Nota
Solo le colonne disponibili a livello generale possono supportare la frequenza continua (NRT).
3. Scegliere le entità interessate
Identificare le colonne nei risultati della query in cui si prevede di trovare l'entità interessata o interessata principale. Ad esempio, una query potrebbe restituire indirizzi mittente (SenderFromAddress
o SenderMailFromAddress
) e destinatario (RecipientEmailAddress
). L'identificazione di quale di queste colonne rappresenta la principale entità colpita consente al servizio di aggregare avvisi rilevanti, correlare eventi imprevisti e azioni di risposta di destinazione.
È possibile selezionare una sola colonna per ogni tipo di entità (cassetta postale, utente o dispositivo). Non è possibile selezionare le colonne che non vengono restituite dalla query.
4. Specificare le azioni
La regola di rilevamento personalizzata può eseguire automaticamente azioni su dispositivi, file, utenti o messaggi di posta elettronica restituiti dalla query.
Azioni nei dispositivi
Queste azioni vengono applicate ai dispositivi nella DeviceId
colonna dei risultati della query:
- Isolare il dispositivo: usa Microsoft Defender per endpoint per applicare l'isolamento di rete completo, impedendo al dispositivo di connettersi a qualsiasi applicazione o servizio. Altre informazioni sull'isolamento del computer Microsoft Defender per endpoint
- Raccogliere il pacchetto di indagine : raccoglie le informazioni sul dispositivo in un file ZIP. Altre informazioni sul pacchetto di analisi Microsoft Defender per endpoint
- Eseguire l'analisi antivirus: esegue un'analisi antivirus Microsoft Defender completa nel dispositivo
- Avviare l'indagine : avvia un'indagine automatizzata sul dispositivo
- Limita l'esecuzione dell'app : imposta restrizioni sul dispositivo per consentire l'esecuzione solo dei file firmati con un certificato emesso da Microsoft. Altre informazioni sulle restrizioni delle app con Microsoft Defender per endpoint
Azioni sui file
Se selezionata, l'azione Consenti/Blocca può essere applicata al file. I file di blocco sono consentiti solo se si dispone di autorizzazioni di correzione per i file e se i risultati della query hanno identificato un ID file, ad esempio SHA1. Dopo il blocco di un file, vengono bloccate anche altre istanze dello stesso file in tutti i dispositivi. È possibile controllare a quale gruppo di dispositivi viene applicato il blocco, ma non dispositivi specifici.
Se selezionata, l'azione Quarantine file può essere applicata ai file nella
SHA1
colonna ,InitiatingProcessSHA1
,SHA256
oInitiatingProcessSHA256
dei risultati della query. Questa azione elimina il file dalla posizione corrente e ne mette una copia in quarantena.
Azioni sugli utenti
Se selezionata, l'azione Contrassegna l'utente come compromessa viene eseguita sugli utenti nella colonna
AccountObjectId
,InitiatingProcessAccountObjectId
, oRecipientObjectId
dei risultati della query. Questa azione imposta il livello di rischio degli utenti su "alto" in Microsoft Entra ID, attivando i criteri di protezione delle identità corrispondenti.Selezionare Disabilita utente per impedire temporaneamente a un utente di accedere.
Selezionare Forza reimpostazione password per richiedere all'utente di modificare la password nella sessione di accesso successiva.
Entrambe le Disable user
opzioni e Force password reset
richiedono il SID utente, che si trovano nelle colonne AccountSid
, InitiatingProcessAccountSid
, RequestAccountSid
e OnPremSid
.
Per altre informazioni sulle azioni utente, vedere Azioni di correzione in Microsoft Defender per identità.
Azioni sui messaggi di posta elettronica
Se il rilevamento personalizzato restituisce messaggi di posta elettronica, è possibile selezionare Sposta nella cartella della cassetta postale per spostare il messaggio di posta elettronica in una cartella selezionata (qualsiasi cartella Posta indesiderata, Posta in arrivo o Posta eliminata ). In particolare, è possibile spostare i risultati della posta elettronica da elementi in quarantena (ad esempio, nel caso di falsi positivi) selezionando l'opzione Posta in arrivo .
In alternativa, è possibile selezionare Elimina posta elettronica e quindi scegliere di spostare i messaggi di posta elettronica in Elementi eliminati (eliminazione temporanea) o eliminare definitivamente i messaggi di posta elettronica selezionati (eliminazione definitiva).
Le colonne NetworkMessageId
e RecipientEmailAddress
devono essere presenti nei risultati di output della query per applicare azioni ai messaggi di posta elettronica.
5. Impostare l'ambito della regola
Impostare l'ambito per specificare i dispositivi coperti dalla regola. L'ambito influenza le regole che controllano i dispositivi e non influisce sulle regole che controllano solo le cassette postali e gli account utente o le identità.
Quando si imposta l'ambito, è possibile selezionare:
- Tutti i dispositivi
- Gruppi di dispositivi specifici
Verranno eseguite query solo sui dati dei dispositivi nell'ambito. Inoltre, le azioni vengono eseguite solo su tali dispositivi.
Nota
Gli utenti possono creare o modificare una regola di rilevamento personalizzata solo se dispongono delle autorizzazioni corrispondenti per i dispositivi inclusi nell'ambito della regola. Ad esempio, gli amministratori possono creare o modificare regole con ambito per tutti i gruppi di dispositivi solo se dispongono delle autorizzazioni per tutti i gruppi di dispositivi.
6. Rivedere e attivare la regola
Dopo aver esaminato la regola, selezionare Crea per salvarla. La regola di rilevamento personalizzata viene eseguita immediatamente. Viene eseguito di nuovo in base alla frequenza configurata per verificare le corrispondenze, generare avvisi ed eseguire azioni di risposta.
Importante
I rilevamenti personalizzati devono essere esaminati regolarmente per verificare l'efficienza e l'efficacia. Per assicurarsi di creare rilevamenti che attivano avvisi reali, esaminare i rilevamenti personalizzati esistenti seguendo la procedura descritta in Gestire le regole di rilevamento personalizzato esistenti.
Si mantiene il controllo sull'ampiezza o la specificità dei rilevamenti personalizzati, in modo che eventuali falsi avvisi generati dai rilevamenti personalizzati possano indicare la necessità di modificare determinati parametri delle regole.
Gestire le regole di rilevamento personalizzate esistenti
È possibile visualizzare l'elenco delle regole di rilevamento personalizzate esistenti, controllarne le esecuzioni precedenti ed esaminare gli avvisi attivati. È anche possibile eseguire una regola su richiesta e modificarla.
Consiglio
Gli avvisi generati dai rilevamenti personalizzati sono disponibili su avvisi e API degli eventi imprevisti. Per altre informazioni, vedere API Microsoft Defender XDR supportate.
Visualizzare le regole esistenti
Per visualizzare tutte le regole di rilevamento personalizzate esistenti, passare a Ricerca>regole di rilevamento personalizzate. Nella pagina sono elencate tutte le regole con le seguenti informazioni di esecuzione:
- Ultima esecuzione : quando è stata eseguita l'ultima regola per verificare la presenza di corrispondenze di query e generare avvisi
- Stato dell'ultima esecuzione : indica se una regola è stata eseguita correttamente
- Esecuzione successiva : l'esecuzione pianificata successiva
- Stato : se una regola è stata attivata o disattivata
Visualizzare i dettagli della regola, modificare la regola ed eseguire la regola
Per visualizzare informazioni complete su una regola di rilevamento personalizzata, passare aRegole di rilevamento personalizzate di ricerca> e quindi selezionare il nome della regola. È quindi possibile visualizzare informazioni generali sulla regola, incluse le informazioni, lo stato di esecuzione e l'ambito. Nella pagina è inoltre disponibile l'elenco degli avvisi e delle azioni attivati.
È inoltre possibile eseguire le azioni seguenti nella regola da questa pagina:
- Eseguire : eseguire immediatamente la regola. In questo modo viene reimpostato anche l'intervallo per l'esecuzione successiva.
- Modifica : modificare la regola senza modificare la query
- Modificare la query : modificare la query nella ricerca avanzata
- Accendere / Disattiva : abilitare la regola o impedirne l'esecuzione
- Elimina : disattivare la regola e rimuoverla
Visualizzare e gestire gli avvisi attivati
Nella schermata dei dettagli della regola (Rilevamenti> personalizzati di ricerca>[nome regola]), passare a Avvisi attivati, che elenca gli avvisi generati da corrispondenze alla regola. Selezionare un avviso per visualizzare informazioni dettagliate ed eseguire le azioni seguenti:
- Gestire l'avviso impostandone lo stato e la classificazione (avviso vero o falso)
- Collegare l'avviso a un evento imprevisto
- Eseguire la query che ha attivato l'avviso per la ricerca avanzata
Esaminare le azioni
Nella schermata dei dettagli della regola (Rilevamenti> personalizzati di ricerca>[Nome regola]), passare a Azioni attivate, che elenca le azioni eseguite in base alle corrispondenze alla regola.
Consiglio
Per visualizzare rapidamente le informazioni ed eseguire azioni su un elemento di una tabella, usare la colonna di selezione [✓] a sinistra della tabella.
Nota
Alcune colonne di questo articolo potrebbero non essere disponibili in Microsoft Defender per endpoint. Attivare Microsoft Defender XDR per cercare le minacce usando più origini dati. È possibile spostare i flussi di lavoro di ricerca avanzati da Microsoft Defender per endpoint a Microsoft Defender XDR seguendo la procedura descritta in Eseguire la migrazione di query di ricerca avanzate da Microsoft Defender per endpoint.
Vedere anche
- Panoramica dei rilevamenti personalizzati
- Panoramica della rilevazione avanzata
- Scoprire il linguaggio delle query in Ricerca avanzata
- Eseguire la migrazione di query di ricerca avanzate da Microsoft Defender per endpoint
- API di sicurezza di Microsoft Graph per rilevamenti personalizzati
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.