Opprette en regel for planlagt analyse fra grunnen av

  • Gjelder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Du har konfigurert koblinger og andre metoder for å samle inn aktivitetsdata på tvers av den digitale eiendommen. Nå må du se gjennom alle disse dataene for å oppdage aktivitetsmønstre og oppdage aktiviteter som ikke passer til disse mønstrene, og som kan representere en sikkerhetstrussel.

Microsoft Sentinel og dets mange løsninger i innholdshuben tilbyr maler for de mest brukte typene analyseregler, og du oppfordres sterkt til å benytte disse malene, og tilpasse dem slik at de passer til dine spesifikke scenarioer. Det er imidlertid mulig at du trenger noe helt annet, så i så fall kan du opprette en regel fra grunnen av ved hjelp av veiviseren for analyseregel.

Obs!

Hvis du ser gjennom detaljene for en soc-optimaliseringsanbefaling på soc-optimaliseringssiden og fulgte Mer informasjon kobling til denne siden, ser du kanskje etter listen over foreslåtte analyseregler. I dette tilfellet blar du til bunnen av fanen for optimaliseringsdetaljer og velger Gå til innholdshub for å finne og installere de anbefalte reglene som er spesifikke for denne anbefalingen. Hvis du vil ha mer informasjon, kan du se bruksflyt for SOC-optimalisering.

Denne artikkelen beskriver prosessen med å opprette en analyseregel fra grunnen av, inkludert bruk av veiviseren for analyseregel. Den inneholder skjermbilder og veibeskrivelser for å få tilgang til veiviseren både i Azure Portal og Defender-portalen.

Viktig

Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen.

Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender.

Forutsetninger

  • Du må ha rollen Microsoft Sentinel bidragsyter, eller en annen rolle eller et annet sett med tillatelser som inneholder skrivetillatelser på Log Analytics-arbeidsområdet og ressursgruppen.

  • Du bør i det minste ha en grunnleggende kjennskap til datavitenskap og analyse og Kusto-spørringsspråket.

  • Du bør gjøre deg kjent med veiviseren for analyseregel og alle konfigurasjonsalternativene som er tilgjengelige. Hvis du vil ha mer informasjon, kan du se regler for planlagt analyse i Microsoft Sentinel.

Utforme og bygge spørringen

Før du gjør noe annet, bør du utforme og bygge en spørring i Kusto Query Language (KQL) som regelen skal bruke til å spørre én eller flere tabeller i Log Analytics-arbeidsområdet.

  1. Finn en datakilde, eller et sett med datakilder, som du vil søke etter for å oppdage uvanlig eller mistenkelig aktivitet. Finn navnet på Log Analytics-tabellen der data fra disse kildene blir inntatt. Du finner tabellnavnet på siden til datakoblingen for kilden. Bruk dette tabellnavnet (eller en funksjon basert på den) som grunnlag for spørringen.

  2. Bestem hvilken type analyse du vil at denne spørringen skal utføre på tabellen. Denne beslutningen bestemmer hvilke kommandoer og funksjoner du skal bruke i spørringen.

  3. Bestem hvilke dataelementer (felt, kolonner) du vil ha fra spørringsresultatene. Denne beslutningen bestemmer hvordan du strukturerer utdataene for spørringen.

    Viktig

    Kontroller at spørringen TimeGenerated returnerer kolonnen, da planlagte analyseregler bruker den som referanse for tilbakeslagsperioden. Dette betyr at regelen bare evaluerer poster der TimeGenerated verdien er innenfor det angitte tilbakeslagsvinduet.

  4. Bygg og test spørringene i Logger-skjermen . Når du er fornøyd, lagrer du spørringen for bruk i regelen.

Hvis du vil ha mer informasjon, kan du se:

Opprett analyseregelen

Denne delen beskriver hvordan du oppretter en regel ved hjelp av Azure- eller Defender-portalene.

Kom i gang med å opprette en planlagt spørringsregel

Kom i gang ved å gå til Analyse-siden i Microsoft Sentinel for å opprette en planlagt analyseregel.

  1. Velg Microsoft Sentinel Configuration>Analytics for Microsoft Sentinel> i Defender-portalen. Velg Analyse under Konfigurasjon for Microsoft Sentinel i Azure Portal.

  2. Velg +Opprett , og velg planlagt spørringsregel.

Gi navn til regelen og definer generell informasjon

I Azure Portal vises faser som faner. I Defender-portalen vises de som milepæler på en tidslinje.

  1. Skriv inn følgende informasjon for regelen.

    Felt Beskrivelse
    Navn Et unikt navn for regelen. Dette feltet støtter bare ren tekst. Eventuelle URL-adresser som er inkludert i navnet, bør følge prosentkodingsformatet for at de skal vises riktig.
    Beskrivelse En fritekstbeskrivelse for regelen.
    Hvis Microsoft Sentinel er innebygd i Defender-portalen, støtter dette feltet bare ren tekst. Eventuelle URL-adresser som er inkludert i beskrivelsen, bør følge prosentkodingsformatet for at de skal vises riktig.
    Alvorlighetsgraden Samsvar med virkningen aktiviteten som utløser regelen, kan ha på målmiljøet, hvis regelen er en sann positiv.

    Informasjon: Ingen innvirkning på systemet, men informasjonen kan være et tegn på fremtidige trinn planlagt av en trusselaktør.
    Lav: Den umiddelbare virkningen er minimal. En trusselaktør må sannsynligvis utføre flere trinn før han oppnår en innvirkning på et miljø.
    Medium: Trusselaktøren kan ha en viss innvirkning på miljøet med denne aktiviteten, men det vil være begrenset i omfang eller kreve ytterligere aktivitet.
    Høy: Aktiviteten som identifiseres gir trusselaktøren bred tilgang til å utføre handlinger på miljøet eller utløses av innvirkning på miljøet.
    MITRE ATT&CK Velg trusselaktivitetene som gjelder for regelen. Velg blant MITRE ATT&CK taktikk og teknikker presentert i rullegardinlisten. Du kan foreta flere valg.

    Hvis du vil ha mer informasjon om hvordan du maksimerer dekningen av MITRE ATT-&CK-trussellandskapet, kan du se Forstå sikkerhetsdekningen av MITRE ATT-&CK-rammeverket®.
    Status Aktivert: Regelen kjøres umiddelbart etter oppretting, eller på den bestemte datoen og klokkeslettet du velger å planlegge den (for øyeblikket i FORHÅNDSVISNING).
    Deaktivert: Regelen opprettes, men kjører ikke. Aktiver den senere fra Aktive regler-fanen når du trenger den.

  2. Velg Neste: Angi regellogikk.

Definer regellogikken

Det neste trinnet er å angi regellogikken, som inkluderer å legge til Kusto-spørringen du opprettet.

  1. Skriv inn konfigurasjonen for regelspørring og varselforbedring.

    Innstilling Beskrivelse
    Regelspørring Lim inn spørringen du utformet, bygget og testet i regelspørringsvinduet . Hver endring du gjør i dette vinduet, valideres umiddelbart, så hvis det er noen feil, ser du en indikasjon rett under vinduet.
    Tilordne enheter Utvid enhetstilordningen og definer opptil 10 enhetstyper som gjenkjennes av Microsoft Sentinel på felt i spørringsresultatene. Denne tilordningen integrerer de identifiserte enhetene i Enheter-feltet i varselskjemaet.

    Hvis du vil ha fullstendige instruksjoner om tilordning av enheter, kan du se Tilordne datafelt til enheter i Microsoft Sentinel.
    Tilpassede detaljer for Surface i varslene dine Utvid egendefinerte detaljer , og definer eventuelle felt i spørringsresultatene du vil vise i varslene som egendefinerte detaljer. Disse feltene vises også i alle hendelser som resulterer.

    Hvis du vil ha fullstendige instruksjoner om hvordan du viser egendefinerte detaljer, kan du se detaljer om egendefinerte Surface-hendelser i varsler i Microsoft Sentinel.
    Tilpass varseldetaljer Utvid varseldetaljer og tilpass ellers standard varslingsegenskaper i henhold til innholdet i ulike felt i hvert enkelt varsel. Du kan for eksempel tilpasse varselnavnet eller beskrivelsen for å inkludere et brukernavn eller en IP-adresse som er utvalgt i varselet.

    Hvis du vil ha fullstendige instruksjoner om hvordan du tilpasser varseldetaljer, kan du se Tilpasse varseldetaljer i Microsoft Sentinel.

  2. Planlegg og omfang for spørringen. Angi følgende parametere i spørringsplanleggingsdelen :

    Innstilling Beskrivelse/alternativer
    Kjør spørring hver Kontrollerer spørringsintervallet: hvor ofte spørringen kjører.
    Tillatt område: 5 minutter til 14 dager.
    Oppslagsdata fra siste Bestemmer tilbakeslagsperioden: tidsperioden som dekkes av spørringen.
    Tillatt område: 5 minutter til 14 dager.
    Må være lengre enn eller lik spørringsintervallet.
    Begynn å kjøre Automatisk: Regelen kjøres for første gang umiddelbart etter oppretting, og etter dette ved spørringsintervallet.
    På et bestemt tidspunkt (forhåndsvisning): Angi dato og klokkeslett for første kjøring av regelen, og deretter kjøres den i spørringsintervallet.
    Tillatt område: 10 minutter til 30 dager etter at regelen ble opprettet (eller aktivert).

  3. Angi terskelen for oppretting av varsler.

    Bruk terskeldelen for varsel til å definere følsomhetsnivået for regelen. Du kan for eksempel angi en minimumsterskel på 100:

    Innstilling Beskrivelse
    Generer varsel når antall spørringsresultater Er større enn
    Antall hendelser 100

    Hvis du ikke vil angi en terskel, angir 0 du i tallfeltet.

  4. Angi innstillinger for hendelsesgruppering.

    Under Hendelsesgruppering velger du én av to måter å håndtere gruppering av hendelser på i varsler:

    Innstilling Virkemåte
    Grupper alle hendelser i ett enkelt varsel
    (standard)    		 Regelen genererer ett enkelt varsel hver gang den kjøres, så lenge spørringen returnerer flere resultater enn den angitte varslingsterskelen ovenfor. Dette enkle varselet oppsummerer alle hendelsene som returneres i spørringsresultatene.
    Utløse et varsel for hver hendelse Regelen genererer et unikt varsel for hver hendelse som returneres av spørringen. Dette alternativet er nyttig hvis du vil at hendelser skal vises enkeltvis, eller hvis du vil gruppere dem etter bestemte parametere, etter bruker, vertsnavn eller noe annet. Du kan definere disse parameterne i spørringen.

  5. Skjul regelen midlertidig etter at et varsel er generert.

    Hvis du vil undertrykke en regel utover neste kjøretid hvis et varsel genereres, kan du slå av innstillingenStopp kjøring av spørring etter at varselet er generert. Hvis du aktiverer dette, angir du Stopp kjøring av spørring for hvor lang tid spørringen skal slutte å kjøre, opptil 24 timer.

  6. Simuler resultatene av spørrings- og logikkinnstillingene.

    Velg Test med gjeldende data i resultatsimuleringsområdet for å se hvordan regelresultatene ville se ut hvis de hadde kjørt på gjeldende data. Microsoft Sentinel simulerer kjøring av regelen 50 ganger på gjeldende data ved hjelp av den definerte tidsplanen, og viser deg en graf over resultatene (logghendelser). Hvis du endrer spørringen, velger du Test med gjeldende data på nytt for å oppdatere grafen. Grafen viser antall resultater over tidsperioden som er definert av innstillingene i spørringsplanleggingsdelen .

  7. Velg Neste: Hendelsesinnstillinger.

Konfigurer innstillingene for oppretting av hendelser

I kategorien Hendelsesinnstillinger velger du om Microsoft Sentinel gjør varsler om til handlingshendelser, og om og hvordan varsler grupperes sammen i hendelser.

  1. Aktiver oppretting av hendelse.

    Opprett hendelser fra varsler som utløses av denne analyseregelen, er som standard satt til Aktivert, noe som betyr at Microsoft Sentinel oppretter én enkelt, separat hendelse fra hvert varsel som utløses av regelen.

    • Hvis du ikke vil at denne regelen skal opprette hendelser (for eksempel hvis denne regelen bare skal samle inn informasjon for etterfølgende analyse), kan du angi dette alternativet til Deaktivert.

      Viktig

      Hvis du har koblet Microsoft Sentinel til Microsoft Defender-portalen, lar du denne innstillingen være aktivert.

      • I dette scenarioet oppretter Microsoft Defender XDR hendelser, ikke Microsoft Sentinel.
      • Disse hendelsene vises i hendelseskøen i både Azure- og Defender-portalene.
      • I Azure Portal vises nye hendelser med «Microsoft XDR» som navnet på hendelsesleverandøren.

    • Hvis du vil at én enkelt hendelse skal opprettes fra en gruppe varsler, kan du se neste trinn i stedet for én for hvert enkelt varsel.

  2. Angi innstillinger for varslingsgruppering.

    Hvis du vil at én enkelt hendelse skal genereres fra en gruppe på opptil 150 lignende eller regelmessige varsler (se notat), angir du grupperelaterte varsler, utløst av denne analyseregelen, til hendelser til Aktivert, og angir følgende parametere.

    1. Begrens gruppen til varsler som er opprettet innenfor den valgte tidsrammen: Angi tidsrammen der lignende eller regelmessige varsler grupperes sammen. Varsler utenfor denne tidsrammen genererer en separat hendelse eller et sett med hendelser.

    2. Gruppevarsler utløst av denne analyseregelen i én enkelt hendelse av: Velg hvordan varsler grupperes sammen:

      Alternativ Beskrivelse
      Gruppevarsler i én enkelt hendelse hvis alle enhetene samsvarer Varsler grupperes sammen hvis de deler identiske verdier for hver av de tilordnede enhetene (definert i fanen Angi regellogikk ovenfor). Dette er den anbefalte innstillingen.
      Grupper alle varsler utløst av denne regelen i én enkelt hendelse Alle varslene som genereres av denne regelen, grupperes sammen selv om de ikke deler identiske verdier.
      Gruppevarsler i én enkelt hendelse hvis de valgte enhetene og detaljene samsvarer Varsler grupperes sammen hvis de deler identiske verdier for alle de tilordnede enhetene, varseldetaljene og egendefinerte detaljer som er valgt fra de respektive rullegardinlistene.

    3. Åpne lukkede samsvarende hendelser på nytt: Hvis en hendelse løses og lukkes, og senere genereres det et annet varsel som skal tilhøre denne hendelsen, angi denne innstillingen til Aktivert hvis du vil at den lukkede hendelsen skal åpnes på nytt, og la stå som Deaktivert hvis du vil at varselet skal opprette en ny hendelse.

      Dette alternativet er ikke tilgjengelig når Microsoft Sentinel er innebygd i Microsoft Defender-portalen.

    Viktig

    Hvis du tavler Microsoft Sentinel til Microsoft Defender-portalen, trer innstillingene for varslingsgruppering bare i kraft når hendelsen opprettes.

    Siden korrelasjonsmotoren for Defender-portalen er ansvarlig for varslingskorrelasjon i dette scenarioet, godtar den disse innstillingene som innledende instruksjoner, men det kan også ta avgjørelser om varslingskorrelasjon som ikke tar hensyn til disse innstillingene.

    Måten varsler grupperes på, kan derfor ofte være annerledes enn forventet basert på disse innstillingene.

    Obs!

    Opptil 150 varsler kan grupperes i én enkelt hendelse.

    • Hendelsen opprettes først etter at alle varslene er generert. Alle varslene legges til hendelsen umiddelbart etter opprettelsen.

    • Hvis mer enn 150 varsler genereres av en regel som grupperer dem i én enkelt hendelse, genereres en ny hendelse med de samme hendelsesdetaljene som originalen, og de overflødige varslene grupperes i den nye hendelsen.

  3. Velg Neste: Automatisert svar.

Se gjennom eller legg til automatiserte svar

  1. Se automatiseringsreglene som vises i listen, i kategorien Automatiserte svar . Hvis du vil legge til svar som ikke allerede dekkes av eksisterende regler, har du to valg:

    • Rediger en eksisterende regel hvis du vil at svaret som er lagt til, skal gjelde for mange eller alle regler.
    • Velg Legg til ny for å opprette en ny automatiseringsregel som bare gjelder for denne analyseregelen.

    Hvis du vil lære mer om hva du kan bruke automatiseringsregler for, kan du se Automatiser trusselrespons i Microsoft Sentinel med automatiseringsregler.

    • Under Varselautomatisering (klassisk) nederst på skjermen ser du alle strategibøker du har konfigurert til å kjøre automatisk når et varsel genereres ved hjelp av den gamle metoden.

      • Per juni 2023 kan du ikke legge til strategiplan i denne listen. Playbooks som allerede er oppført her fortsetter å kjøre til denne metoden er avskrevet, med virkning fra mars 2026.

      • Hvis du fremdeles har noen avspillingsbøker oppført her, kan du opprette en automatiseringsregel basert på varselopprettet utløser og aktivere strategiplanen fra automatiseringsregelen. Når du har fullført dette trinnet, velger du ellipsen på slutten av linjen i strategiplanen som er oppført her, og velger Fjern. Se Overføre Microsoft Sentinel avspillingsbøker for varselutløser til automatiseringsregler for fullstendige instruksjoner.

  2. Velg Neste: Se gjennom og opprett for å se gjennom alle innstillingene for den nye analyseregelen.

Valider konfigurasjonen og opprett regelen

  1. Når meldingen «Validering sendt» vises, velger du Opprett.

  2. Hvis det vises en feil i stedet, finner og velger du den røde X-en på fanen i veiviseren der feilen oppstod.

  3. Rett feilen, og gå tilbake til Se gjennom og opprett-fanen for å kjøre valideringen på nytt.

Vis regelen og dens utdata

Vis regeldefinisjonen

Du finner den nyopprettede egendefinerte regelen (av typen «Planlagt») i tabellen under Kategorien Aktive regler på hovedskjermen i Analyse . Fra denne listen kan du aktivere, deaktivere eller slette hver regel.

Vise resultatene av regelen

Hvis du vil vise resultatene av analysereglene du oppretter i Defender-portalen, utvider du undersøkelse & svar i navigasjonsmenyen og deretter hendelser & varsler. Vis hendelser på Hendelser-siden , der du kan triage hendelser, undersøke dem og utbedre truslene. Vis individuelle varsler på Varsler-siden .

Skjermbilde av hendelsessiden i Azure Portal.

Justere regelen

Obs!

Varsler generert i Microsoft Sentinel er tilgjengelige via Microsoft Graph Security. Hvis du vil ha mer informasjon, kan du se dokumentasjonen for Microsoft Graph Security-varsler.

Eksportere regelen til en ARM-mal

Hvis du vil pakke regelen som skal behandles og distribueres som kode, kan du enkelt eksportere regelen til en Azure Resource Manager (ARM)-mal. Du kan også importere regler fra malfiler for å vise og redigere dem i brukergrensesnittet.

Neste trinn

Når du bruker analyseregler til å oppdage trusler fra Microsoft Sentinel, må du sørge for at du aktiverer alle regler som er knyttet til de tilkoblede datakildene, for å sikre full sikkerhetsdekning for miljøet ditt.

Hvis du vil automatisere regelaktivering, kan du sende regler til Microsoft Sentinel via API og PowerShell, selv om dette krever ekstra innsats. Når du bruker API eller PowerShell, må du først eksportere reglene til JSON før du aktiverer reglene. API eller PowerShell kan være nyttig når du aktiverer regler i flere forekomster av Microsoft Sentinel med identiske innstillinger i hver forekomst.

Hvis du vil ha mer informasjon, kan du se:

Lær også fra et eksempel på bruk av egendefinerte analyseregler når du overvåker Zoom med en egendefinert kobling.

  • Last updated on