Creare e gestire regole di rilevamento personalizzate

Nota

Vuoi provare Microsoft Defender XDR? Altre informazioni su come valutare e pilotare Microsoft Defender XDR.

Si applica a:

• Microsoft Defender XDR

Le regole di rilevamento personalizzate sono regole che è possibile progettare e modificare usando query di ricerca avanzate . Queste regole consentono di monitorare in modo proattivo vari eventi e stati del sistema, tra cui sospetta attività di violazione e endpoint non configurati correttamente. È possibile impostarli per l'esecuzione a intervalli regolari, generando avvisi ed eseguendo azioni di risposta ogni volta che ci sono corrispondenze.

Autorizzazioni necessarie per la gestione dei rilevamenti personalizzati

Per gestire i rilevamenti personalizzati, è necessario disporre di uno di questi ruoli:

• Impostazioni di sicurezza (gestisci): gli utenti con questa autorizzazione Microsoft Defender XDR possono gestire le impostazioni di sicurezza nel portale di Microsoft Defender.

• Amministratore della sicurezza: gli utenti con questo ruolo Microsoft Entra possono gestire le impostazioni di sicurezza nel portale di Microsoft Defender e in altri portali e servizi.

• Operatore di sicurezza: gli utenti con questo ruolo Microsoft Entra possono gestire gli avvisi e avere accesso in sola lettura globale alle funzionalità correlate alla sicurezza, incluse tutte le informazioni nel portale di Microsoft Defender. Questo ruolo è sufficiente per la gestione dei rilevamenti personalizzati solo se il controllo degli accessi in base al ruolo è disattivato in Microsoft Defender per endpoint. Se il controllo degli accessi in base al ruolo è configurato, è necessaria anche l'autorizzazione gestisci impostazioni di sicurezza per Defender per endpoint.

È anche possibile gestire i rilevamenti personalizzati che si applicano ai dati da soluzioni di Microsoft Defender XDR specifiche se si dispone delle autorizzazioni necessarie. Se si dispone solo delle autorizzazioni di gestione per Microsoft Defender per Office 365, ad esempio, è possibile creare rilevamenti personalizzati usando Email tabelle ma non Identity tabelle.

Nota

Per gestire i rilevamenti personalizzati, gli operatori di sicurezza avranno bisogno dell'autorizzazione gestisci impostazioni di sicurezza in Microsoft Defender per endpoint se il controllo degli accessi in base al ruolo è attivato.

Per gestire le autorizzazioni necessarie, un amministratore globale può:

• Assegnare il ruolo di amministratore della sicurezza o di operatore di sicurezza in interfaccia di amministrazione di Microsoft 365 in Ruoli>Amministratore sicurezza.
• Controllare le impostazioni del controllo degli accessi in base al ruolo per Microsoft Defender per endpoint in Microsoft Defender XDR in Impostazioni>Ruoli autorizzazioni>. Selezionare il ruolo corrispondente per assegnare l'autorizzazione gestisci impostazioni di sicurezza .

Nota

Un utente deve anche disporre delle autorizzazioni appropriate per i dispositivi nell'ambito del dispositivo di una regola di rilevamento personalizzata che sta creando o modificando prima di poter procedere. Un utente non può modificare una regola di rilevamento personalizzata con ambito per l'esecuzione in tutti i dispositivi, se lo stesso utente non dispone delle autorizzazioni per tutti i dispositivi.

Creare una regola di rilevamento personalizzata

1. Preparare la query

Nel portale di Microsoft Defender passare a Ricerca avanzata e selezionare una query esistente o creare una nuova query. Quando si utilizza una nuova query, eseguire la query per identificare gli errori e comprendere i possibili risultati.

Importante

Per impedire al servizio di restituire troppi avvisi, ogni regola può generare solo 100 avvisi ogni volta che viene eseguito. Prima di creare una regola, modificare la query per evitare avvisi per le normali attività quotidiane.

Colonne necessarie nei risultati della query

Per creare una regola di rilevamento personalizzata, la query deve restituire le colonne seguenti:

• Timestamp- usato per impostare il timestamp per gli avvisi generati
• ReportId— abilita le ricerche per i record originali
• Una delle colonne seguenti che identificano dispositivi, utenti o cassette postali specifici:
  • DeviceId
  • DeviceName
  • RemoteDeviceName
  • RecipientEmailAddress
  • SenderFromAddress (mittente della busta o indirizzo Return-Path)
  • SenderMailFromAddress (indirizzo del mittente visualizzato dal client di posta elettronica)
  • RecipientObjectId
  • AccountObjectId
  • AccountSid
  • AccountUpn
  • InitiatingProcessAccountSid
  • InitiatingProcessAccountUpn
  • InitiatingProcessAccountObjectId

Nota

Il supporto per entità aggiuntive verrà aggiunto man mano che vengono aggiunte nuove tabelle allo schema di ricerca avanzato.

Le query semplici, ad esempio quelle che non usano l'operatore project o summarize per personalizzare o aggregare i risultati, restituiscono in genere queste colonne comuni.

Esistono diversi modi per garantire che le query più complesse restituiscono queste colonne. Ad esempio, se si preferisce aggregare e contare per entità in una colonna come DeviceId, è comunque possibile restituire Timestamp e ReportId recuperandolo dall'evento più recente che coinvolge ogni univoco DeviceId.

Importante

Evitare di filtrare i rilevamenti personalizzati usando la Timestamp colonna . I dati usati per i rilevamenti personalizzati vengono pre-filtrati in base alla frequenza di rilevamento.

La query di esempio seguente conta il numero di dispositivi univoci (DeviceId) con rilevamenti antivirus e usa questo conteggio per trovare solo i dispositivi con più di cinque rilevamenti. Per restituire la versione più recente Timestamp e quella corrispondente ReportId, usa l'operatore summarize con la arg_max funzione .

DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

Consiglio

Per migliorare le prestazioni delle query, impostare un filtro temporale che corrisponda alla frequenza di esecuzione prevista per la regola. Poiché l'esecuzione meno frequente è ogni 24 ore, il filtro per l'ultimo giorno coprirà tutti i nuovi dati.

2. Creare una nuova regola e fornire i dettagli dell'avviso

Con la query nell'editor di query, selezionare Crea regola di rilevamento e specificare i dettagli dell'avviso seguenti:

• Nome rilevamento: nome della regola di rilevamento; deve essere univoco
• Frequenza: intervallo per l'esecuzione della query e l'esecuzione di azioni. Vedere altre indicazioni nella sezione relativa alla frequenza delle regole
• Titolo avviso: titolo visualizzato con avvisi attivati dalla regola; deve essere univoco
• Gravità: rischio potenziale del componente o dell'attività identificato dalla regola
• Categoria: componente di minaccia o attività identificata dalla regola
• MITRE ATT&tecniche CK: una o più tecniche di attacco identificate dalla regola come documentato nel framework MITRE ATT&CK. Questa sezione è nascosta per alcune categorie di avvisi, tra cui malware, ransomware, attività sospette e software indesiderato
• Descrizione: altre informazioni sul componente o sull'attività identificati dalla regola
• Azioni consigliate: azioni aggiuntive che possono essere eseguite dai risponditori in risposta a un avviso

Frequenza della regola

Quando si salva una nuova regola, viene eseguita e viene verificata la presenza di corrispondenze degli ultimi 30 giorni di dati. La regola viene quindi eseguita di nuovo a intervalli fissi, applicando una durata di lookback in base alla frequenza scelta:

• Ogni 24 ore: viene eseguito ogni 24 ore, controllando i dati degli ultimi 30 giorni
• Ogni 12 ore, viene eseguito ogni 12 ore, controllando i dati delle ultime 48 ore
• Ogni 3 ore: viene eseguito ogni 3 ore, controllando i dati delle ultime 12 ore
• Ogni ora: viene eseguita ogni ora, controllando i dati delle ultime 4 ore
• Continuo (NRT): viene eseguito in modo continuo, controllando i dati dagli eventi durante la raccolta e l'elaborazione in tempo quasi reale (NRT), vedere Frequenza continua (NRT)

Consiglio

Associare i filtri temporali nella query con la durata del lookback. I risultati al di fuori della durata del lookback vengono ignorati.

Quando si modifica una regola, questa verrà eseguita con le modifiche applicate nella successiva fase di esecuzione pianificata in base alla frequenza impostata. La frequenza della regola è basata sul timestamp dell'evento e non sul tempo di inserimento.

Frequenza continua (NRT)

L'impostazione di un rilevamento personalizzato da eseguire nella frequenza continua (NRT) consente di aumentare la capacità dell'organizzazione di identificare le minacce più velocemente.

Nota

L'uso della frequenza continua (NRT) ha un impatto minimo o negativo sull'utilizzo delle risorse e deve quindi essere considerato per qualsiasi regola di rilevamento personalizzata qualificata nell'organizzazione.

Query che è possibile eseguire in modo continuo

È possibile eseguire una query in modo continuo purché:

• La query fa riferimento a una sola tabella.
• La query usa un operatore dall'elenco degli operatori KQL supportati. Funzionalità KQL supportate
• La query non usa join, unioni o l'operatore externaldata .

Tabelle che supportano la frequenza continua (NRT)

I rilevamenti quasi in tempo reale sono supportati per le tabelle seguenti:

• AlertEvidence
• CloudAppEvents
• DeviceEvents
• DeviceFileCertificateInfo
• DeviceFileEvents
• DeviceImageLoadEvents
• DeviceLogonEvents
• DeviceNetworkEvents
• DeviceNetworkInfo
• DeviceInfo
• DeviceProcessEvents
• DeviceRegistryEvents
• EmailAttachmentInfo
• EmailEvents (ad eccezione delle LatestDeliveryLocation colonne e LatestDeliveryAction )
• EmailPostDeliveryEvents
• EmailUrlInfo
• IdentityDirectoryEvents
• IdentityLogonEvents
• IdentityQueryEvents
• UrlClickEvents

Nota

Solo le colonne disponibili a livello generale possono supportare la frequenza continua (NRT).

3. Scegliere le entità interessate

Identificare le colonne nei risultati della query in cui si prevede di trovare l'entità interessata o interessata principale. Ad esempio, una query potrebbe restituire indirizzi mittente (SenderFromAddress o SenderMailFromAddress) e destinatario (RecipientEmailAddress). L'identificazione di quale di queste colonne rappresenta la principale entità colpita consente al servizio di aggregare avvisi rilevanti, correlare eventi imprevisti e azioni di risposta di destinazione.

È possibile selezionare una sola colonna per ogni tipo di entità (cassetta postale, utente o dispositivo). Non è possibile selezionare le colonne che non vengono restituite dalla query.

4. Specificare le azioni

La regola di rilevamento personalizzata può eseguire automaticamente azioni su dispositivi, file, utenti o messaggi di posta elettronica restituiti dalla query.

Azioni nei dispositivi

Queste azioni vengono applicate ai dispositivi nella DeviceId colonna dei risultati della query:

• Isola dispositivo: usa Microsoft Defender per endpoint per applicare l'isolamento di rete completo, impedendo al dispositivo di connettersi a qualsiasi applicazione o servizio. Altre informazioni sull'isolamento del computer Microsoft Defender per endpoint
• Raccogliere il pacchetto di indagine: raccoglie le informazioni sul dispositivo in un file ZIP. Altre informazioni sul pacchetto di analisi Microsoft Defender per endpoint
• Eseguire l'analisi antivirus: esegue un'analisi completa Microsoft Defender antivirus nel dispositivo
• Avviare l'indagine: avvia un'indagine automatizzata sul dispositivo
• Limita l'esecuzione dell'app: imposta restrizioni sul dispositivo per consentire l'esecuzione solo dei file firmati con un certificato emesso da Microsoft. Altre informazioni sulle restrizioni delle app con Microsoft Defender per endpoint

Azioni sui file

• Se selezionata, l'azione Consenti/Blocca può essere applicata al file. I file di blocco sono consentiti solo se si dispone di autorizzazioni di correzione per i file e se i risultati della query hanno identificato un ID file, ad esempio SHA1. Dopo il blocco di un file, vengono bloccate anche altre istanze dello stesso file in tutti i dispositivi. È possibile controllare a quale gruppo di dispositivi viene applicato il blocco, ma non dispositivi specifici.

• Se selezionata, l'azione Quarantine file può essere applicata ai file nella SHA1colonna , InitiatingProcessSHA1, SHA256o InitiatingProcessSHA256 dei risultati della query. Questa azione elimina il file dalla posizione corrente e ne mette una copia in quarantena.

Azioni sugli utenti

• Se selezionata, l'azione Contrassegna l'utente come compromessa viene eseguita sugli utenti nella colonna AccountObjectId, InitiatingProcessAccountObjectId, o RecipientObjectIddei risultati della query. Questa azione imposta il livello di rischio degli utenti su "alto" in Microsoft Entra ID, attivando i criteri di protezione delle identità corrispondenti.

• Selezionare Disabilita utente per impedire temporaneamente a un utente di accedere.

• Selezionare Forza reimpostazione password per richiedere all'utente di modificare la password nella sessione di accesso successiva.

Entrambe le Disable user opzioni e Force password reset richiedono il SID utente, che si trovano nelle colonne AccountSid, InitiatingProcessAccountSid, RequestAccountSide OnPremSid.

Per altre informazioni sulle azioni utente, vedere Azioni di correzione in Microsoft Defender per identità.

Azioni sui messaggi di posta elettronica

• Se il rilevamento personalizzato restituisce messaggi di posta elettronica, è possibile selezionare Sposta nella cartella della cassetta postale per spostare il messaggio di posta elettronica in una cartella selezionata (qualsiasi cartella Posta indesiderata, Posta in arrivo o Posta eliminata ).

• In alternativa, è possibile selezionare Elimina posta elettronica e quindi scegliere di spostare i messaggi di posta elettronica in Elementi eliminati (eliminazione temporanea) o eliminare definitivamente i messaggi di posta elettronica selezionati (eliminazione definitiva).

Le colonne NetworkMessageId e RecipientEmailAddress devono essere presenti nei risultati di output della query per applicare azioni ai messaggi di posta elettronica.

5. Impostare l'ambito della regola

Impostare l'ambito per specificare i dispositivi coperti dalla regola. L'ambito influenza le regole che controllano i dispositivi e non influisce sulle regole che controllano solo le cassette postali e gli account utente o le identità.

Quando si imposta l'ambito, è possibile selezionare:

• Tutti i dispositivi
• Gruppi di dispositivi specifici

Verranno eseguite query solo sui dati dei dispositivi nell'ambito. Inoltre, le azioni vengono eseguite solo su tali dispositivi.

Nota

Gli utenti possono creare o modificare una regola di rilevamento personalizzata solo se dispongono delle autorizzazioni corrispondenti per i dispositivi inclusi nell'ambito della regola. Ad esempio, gli amministratori possono creare o modificare regole con ambito per tutti i gruppi di dispositivi solo se dispongono delle autorizzazioni per tutti i gruppi di dispositivi.

6. Rivedere e attivare la regola

Dopo aver esaminato la regola, selezionare Crea per salvarla. La regola di rilevamento personalizzata viene eseguita immediatamente. Viene eseguito di nuovo in base alla frequenza configurata per verificare le corrispondenze, generare avvisi ed eseguire azioni di risposta.

Importante

I rilevamenti personalizzati devono essere esaminati regolarmente per verificare l'efficienza e l'efficacia. Per assicurarsi di creare rilevamenti che attivano avvisi reali, esaminare i rilevamenti personalizzati esistenti seguendo la procedura descritta in Gestire le regole di rilevamento personalizzato esistenti.

Si mantiene il controllo sull'ampiezza o la specificità dei rilevamenti personalizzati, in modo che eventuali falsi avvisi generati dai rilevamenti personalizzati possano indicare la necessità di modificare determinati parametri delle regole.

Gestire le regole di rilevamento personalizzate esistenti

È possibile visualizzare l'elenco delle regole di rilevamento personalizzate esistenti, controllarne le esecuzioni precedenti ed esaminare gli avvisi attivati. È anche possibile eseguire una regola su richiesta e modificarla.

Consiglio

Gli avvisi generati dai rilevamenti personalizzati sono disponibili su avvisi e API degli eventi imprevisti. Per altre informazioni, vedere API Microsoft Defender XDR supportate.

Visualizzare le regole esistenti

Per visualizzare tutte le regole di rilevamento personalizzate esistenti, passare a Ricerca>regole di rilevamento personalizzate. Nella pagina sono elencate tutte le regole con le seguenti informazioni di esecuzione:

• Ultima esecuzione: quando è stata eseguita l'ultima regola per verificare la presenza di corrispondenze di query e generare avvisi
• Stato dell'ultima esecuzione: indica se una regola è stata eseguita correttamente
• Esecuzione successiva: l'esecuzione pianificata successiva
• Stato: se una regola è stata attivata o disattivata

Visualizzare i dettagli della regola, modificare la regola ed eseguire la regola

Per visualizzare informazioni complete su una regola di rilevamento personalizzata, passare aRegole di rilevamento personalizzate di ricerca> e quindi selezionare il nome della regola. È quindi possibile visualizzare informazioni generali sulla regola, incluse le informazioni, lo stato di esecuzione e l'ambito. Nella pagina è inoltre disponibile l'elenco degli avvisi e delle azioni attivati.

È inoltre possibile eseguire le azioni seguenti nella regola da questa pagina:

• Esegui: eseguire immediatamente la regola. In questo modo viene reimpostato anche l'intervallo per l'esecuzione successiva.
• Modifica: modificare la regola senza modificare la query
• Modifica query: modificare la query nella ricerca avanzata
• / AttivareDisattiva: abilitare la regola o impedirne l'esecuzione
• Elimina: disattiva la regola e rimuovila

Visualizzare e gestire gli avvisi attivati

Nella schermata dei dettagli della regola (Rilevamenti> personalizzati di ricerca>[nome regola]), passare a Avvisi attivati, che elenca gli avvisi generati da corrispondenze alla regola. Selezionare un avviso per visualizzare informazioni dettagliate ed eseguire le azioni seguenti:

• Gestire l'avviso impostandone lo stato e la classificazione (avviso vero o falso)
• Collegare l'avviso a un evento imprevisto
• Eseguire la query che ha attivato l'avviso per la ricerca avanzata

Esaminare le azioni

Nella schermata dei dettagli della regola (Rilevamenti> personalizzati di ricerca>[Nome regola]), passare a Azioni attivate, che elenca le azioni eseguite in base alle corrispondenze alla regola.

Consiglio

Per visualizzare rapidamente le informazioni ed eseguire azioni su un elemento di una tabella, usare la colonna di selezione [✓] a sinistra della tabella.

Nota

Alcune colonne di questo articolo potrebbero non essere disponibili in Microsoft Defender per endpoint. Attivare Microsoft Defender XDR per cercare le minacce usando più origini dati. È possibile spostare i flussi di lavoro di ricerca avanzati da Microsoft Defender per endpoint a Microsoft Defender XDR seguendo la procedura descritta in Eseguire la migrazione di query di ricerca avanzate da Microsoft Defender per endpoint.

Vedere anche

• Panoramica dei rilevamenti personalizzati
• Panoramica della rilevazione avanzata
• Scoprire il linguaggio delle query in Ricerca avanzata
• Eseguire la migrazione di query di ricerca avanzate da Microsoft Defender per endpoint
• API di sicurezza di Microsoft Graph per rilevamenti personalizzati

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.