Tworzenie niestandardowych reguł analizy do wykrywania zagrożeń

Po połączeniu źródeł danych z usługą Microsoft Sentinel utwórz niestandardowe reguły analizy, aby ułatwić odnajdywanie zagrożeń i nietypowych zachowań w środowisku.

Reguły analizy wyszukują określone zdarzenia lub zestawy zdarzeń w całym środowisku, ostrzegają o osiągnięciu określonych progów lub warunków zdarzeń, generowaniu zdarzeń dla soC w celu klasyfikacji i badania zagrożeń oraz reagowania na nie za pomocą zautomatyzowanych procesów śledzenia i korygowania.

Napiwek

Podczas tworzenia reguł niestandardowych użyj istniejących reguł jako szablonów lub odwołań. Użycie istniejących reguł jako punktu odniesienia pomaga w tworzeniu większości logiki przed wprowadzeniem wymaganych zmian.

  • Tworzenie reguł analizy
  • Definiowanie sposobu przetwarzania zdarzeń i alertów
  • Definiowanie sposobu generowania alertów i zdarzeń
  • Wybieranie automatycznych odpowiedzi na zagrożenia dla reguł

Tworzenie niestandardowej reguły analizy z zaplanowanym zapytaniem

  1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.

  2. Na pasku akcji u góry wybierz pozycję +Utwórz i wybierz pozycję Zaplanowana reguła zapytania. Spowoduje to otwarcie kreatora reguły analizy.

    Create scheduled query

Kreator reguł analizy — karta Ogólne

  • Podaj unikatową nazwę i opis.

  • W polu Taktyka i techniki można wybrać spośród kategorii ataków, według których ma być klasyfikowana reguła. Są one oparte na taktyki i technikach struktury MITRE ATT&CK .

    Zdarzenia utworzone na podstawie alertów wykrywanych przez reguły mapowane na taktykę MITRE ATT&CK i techniki automatycznie dziedziczą mapowanie reguły.

  • Ustaw odpowiednio ważność alertu, pasując do wpływu działania wyzwalającego regułę na środowisko docelowe, jeśli reguła będzie prawdziwie dodatnia.

    • Informacyjny. Brak wpływu na system, ale informacje mogą wskazywać na przyszłe kroki planowane przez aktora zagrożeń.
    • Niski. Natychmiastowy wpływ byłby minimalny. Aktor zagrożeń prawdopodobnie będzie musiał wykonać wiele kroków przed osiągnięciem wpływu na środowisko.
    • Średni. Aktor zagrożenia może mieć pewien wpływ na środowisko z tym działaniem, ale byłoby ograniczone w zakresie lub wymagałoby dodatkowej aktywności.
    • Wysoki. Zidentyfikowane działanie zapewnia aktorowi zagrożeń szeroki dostęp do wykonywania działań w środowisku lub jest wyzwalany przez wpływ na środowisko.

    Wartości domyślne na poziomie ważności nie są gwarancją bieżącego lub poziomu wpływu na środowisko. Dostosuj szczegóły alertu, aby dostosować ważność, taktykę i inne właściwości danego wystąpienia alertu przy użyciu wartości dowolnych odpowiednich pól z danych wyjściowych zapytania.

    Definicje ważności szablonów reguł analizy usługi Microsoft Sentinel są istotne tylko dla alertów utworzonych przez reguły analizy. W przypadku alertów pozyskiwanych z innych usług ważność jest definiowana przez źródłową usługę zabezpieczeń.

  • Po utworzeniu reguły jej stan jest domyślnie włączony , co oznacza, że zostanie uruchomiony natychmiast po zakończeniu jego tworzenia. Jeśli nie chcesz, aby był uruchamiany natychmiast, wybierz pozycję Wyłączone, a reguła zostanie dodana do karty Aktywne reguły i będzie można ją włączyć z tego miejsca, gdy będzie potrzebna.

    Start creating a custom analytics rule

Definiowanie logiki zapytania reguły i konfigurowanie ustawień

Na karcie Ustaw logikę reguły możesz napisać zapytanie bezpośrednio w polu Zapytanie reguły lub utworzyć zapytanie w usłudze Log Analytics, a następnie skopiować i wkleić je tutaj.

  • Zapytania są pisane w języku KQL (Kusto Query Language). Dowiedz się więcej na temat pojęć i zapytań języka KQL oraz zapoznaj się z tym przydatnym przewodnikiem szybkim dokumentacji.

  • Przykład pokazany na tym zrzucie ekranu wysyła zapytanie do tabeli SecurityEvent, aby wyświetlić typ zdarzeń logowania systemu Windows, które zakończyły się niepowodzeniem.

    Configure query rule logic and settings

  • Oto inne przykładowe zapytanie, które będzie otrzymywać alerty po utworzeniu nietypowej liczby zasobów w działaniu platformy Azure.

    AzureActivity
    | where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/WRITE" or OperationNameValue == "MICROSOFT.RESOURCES/DEPLOYMENTS/WRITE"
    | where ActivityStatusValue == "Succeeded"
    | make-series dcount(ResourceId)  default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller
    

    Ważne

    Zalecamy użycie analizatora advanced Security Information Model (ASIM), a nie tabeli natywnej. Zapewni to obsługę dowolnego bieżącego lub przyszłego odpowiedniego źródła danych, a nie pojedynczego źródła danych.

    Uwaga

    Najlepsze rozwiązania dotyczące zapytań reguł:

    • Długość zapytania powinna wynosić od 1 do 10 000 znaków i nie może zawierać znaków "search *" lub "union *". Za pomocą funkcji zdefiniowanych przez użytkownika można przezwyciężyć ograniczenie długości zapytania.

    • Używanie funkcji ADX do tworzenia zapytań usługi Azure Data Explorer w oknie zapytania usługi Log Analytics nie jest obsługiwane.

    • Jeśli używasz bag_unpack funkcji w zapytaniu, jeśli rzutujesz kolumny jako pola przy użyciuproject field1 "", a kolumna nie istnieje, zapytanie zakończy się niepowodzeniem. Aby chronić się przed tym zdarzeniem, należy zaprojektować kolumnę w następujący sposób:

      • project field1 = column_ifexists("field1","")

Wzbogacanie alertów

  • Sekcja Konfiguracja mapowania jednostek umożliwia mapowanie parametrów z wyników zapytania na jednostki rozpoznane przez usługę Microsoft Sentinel. Jednostki wzbogacają dane wyjściowe reguł (alerty i zdarzenia) o podstawowe informacje, które służą jako bloki konstrukcyjne wszelkich procesów śledczych i działań naprawczych, które następują. Są to również kryteria, według których można grupować alerty razem w zdarzenia na karcie Ustawienia zdarzenia.

    Dowiedz się więcej o jednostkach w usłudze Microsoft Sentinel.

    Zobacz Mapowanie pól danych na jednostki w usłudze Microsoft Sentinel , aby uzyskać pełne instrukcje dotyczące mapowania jednostek wraz z ważnymi informacjami na temat ograniczeń i zgodności z poprzednimi wersjami.

  • Użyj sekcji Konfiguracja szczegółów niestandardowych, aby wyodrębnić elementy danych zdarzeń z zapytania i wyświetlić je w alertach generowanych przez tę regułę, co zapewnia bezpośredni wgląd w zawartość zdarzeń w alertach i zdarzeniach.

    Dowiedz się więcej o tworzeniu niestandardowych szczegółów w alertach i zobacz pełne instrukcje.

  • Użyj sekcji Konfiguracja szczegółów alertu, aby zastąpić wartości domyślne właściwości alertu szczegółami z podstawowych wyników zapytania. Szczegóły alertu umożliwiają wyświetlanie, na przykład adresu IP lub nazwy konta osoby atakującej w tytule samego alertu, dzięki czemu będzie ona wyświetlana w kolejce zdarzeń, zapewniając znacznie bogatszy i jaśniejszy obraz krajobrazu zagrożeń.

    Zobacz pełne instrukcje dotyczące dostosowywania szczegółów alertu.

Uwaga

Limit rozmiaru całego alertu wynosi 64 KB.

  • Alerty o rozmiarze większym niż 64 KB zostaną obcięte. W miarę identyfikowania jednostek są one dodawane do alertu jeden po drugim, dopóki rozmiar alertu nie osiągnie 64 KB, a pozostałe jednostki zostaną usunięte z alertu.

  • Inne wzbogacania alertów przyczyniają się również do rozmiaru alertu.

  • Aby zmniejszyć rozmiar alertu, użyj project-away operatora w zapytaniu, aby usunąć niepotrzebne pola. (Rozważ również operator, project jeśli istnieje tylko kilka pól, które należy zachować).

Planowanie zapytań i próg alertu

  • W sekcji Planowanie zapytań ustaw następujące parametry:

    Set query schedule and event grouping

    • Ustaw opcję Uruchom zapytanie co , aby kontrolować częstotliwość uruchamiania zapytania — tak często, jak co 5 minut lub tak często, jak raz na 14 dni.

    • Ustaw dane odnośnika z ostatniego , aby określić okres danych objętych zapytaniem — na przykład może wykonywać zapytania dotyczące ostatnich 10 minut danych lub z ostatnich 6 godzin. Maksymalna wartość to 14 dni.

    • Dla nowego ustawienia Rozpocznij uruchamianie (w wersji zapoznawczej):

      • Pozostaw wartość Automatycznie , aby kontynuować oryginalne zachowanie: reguła zostanie uruchomiona po raz pierwszy po utworzeniu, a następnie w interwale ustawionym w zapytaniu Uruchom każde ustawienie.

      • Przełącz przełącznik na W określonym czasie , jeśli chcesz określić, kiedy reguła jest uruchamiana po raz pierwszy, zamiast uruchamiać ją natychmiast. Następnie wybierz datę przy użyciu selektora kalendarza i wprowadź godzinę w formacie pokazanego przykładu.

        Screenshot of advanced scheduling toggle and settings.

        Przyszłe uruchomienia reguły będą występować w określonym interwale po pierwszym uruchomieniu.

      Wiersz tekstu w ustawieniu Rozpocznij uruchamianie (z ikoną informacji po lewej stronie) zawiera podsumowanie bieżących ustawień planowania zapytań i wyszukiwania zwrotnego.

      Uwaga

      Interwały zapytań i okres wyszukiwania

      Te dwa ustawienia są niezależne od siebie, aż do punktu. Zapytanie można uruchomić w krótkim przedziale czasu dłuższym niż interwał (w efekcie nakładające się zapytania), ale nie można uruchomić zapytania w odstępie czasu, który przekracza okres pokrycia, w przeciwnym razie będziesz mieć luki w ogólnym pokryciu zapytania.

      Opóźnienie pozyskiwania

      Aby uwzględnić opóźnienia , które mogą wystąpić między generowaniem zdarzenia w źródle i jego pozyskiwaniem do usługi Microsoft Sentinel, a także zapewnić pełne pokrycie bez duplikowania danych, usługa Microsoft Sentinel uruchamia zaplanowane reguły analizy w ciągu pięciu minut od zaplanowanego czasu.

      Aby uzyskać więcej informacji, zobacz Handle ingestion delay in scheduled analytics rules (Obsługa opóźnień pozyskiwania w zaplanowanych regułach analizy).

  • Użyj sekcji Próg alertu, aby zdefiniować poziom poufności reguły. Na przykład ustaw opcję Generuj alert, gdy liczba wyników zapytania jest większa niż i wprowadź liczbę 1000, jeśli chcesz, aby reguła wygenerowała alert tylko wtedy, gdy zapytanie zwraca więcej niż 1000 wyników przy każdym uruchomieniu. Jest to wymagane pole, więc jeśli nie chcesz ustawić progu — oznacza to, że jeśli chcesz, aby alert zarejestrował każde zdarzenie, wprowadź wartość 0 w polu liczba.

Symulacja wyników

W obszarze Symulacja wyników po prawej stronie kreatora wybierz pozycję Testuj z bieżącymi danymi, a usługa Microsoft Sentinel wyświetli wykres wyników (zdarzeń dziennika), które zapytanie wygenerowałoby w ciągu ostatnich 50 razy, zgodnie z aktualnie zdefiniowanym harmonogramem. Jeśli zmodyfikujesz zapytanie, ponownie wybierz pozycję Testuj przy użyciu bieżących danych , aby zaktualizować graf. Wykres przedstawia liczbę wyników w zdefiniowanym okresie, która jest określana przez ustawienia w sekcji Planowanie zapytań.

Oto, jak może wyglądać symulacja wyników dla zapytania na powyższym zrzucie ekranu. Lewa strona jest widokiem domyślnym, a po prawej stronie jest to, co widzisz po umieszczeniu wskaźnika myszy na punkcie w czasie na grafie.

Results simulation screenshots

Jeśli zobaczysz, że zapytanie wyzwoli zbyt wiele lub zbyt częste alerty, możesz poeksperymentować z ustawieniami w sekcjach Planowanie zapytań i Prógalertu, a następnie ponownie wybrać pozycję Testuj przy użyciu bieżących danych.

Grupowanie zdarzeń i pomijanie reguł

  • W obszarze Grupowanie zdarzeń wybierz jeden z dwóch sposobów obsługi grupowania zdarzeń w alerty:

    • Grupuj wszystkie zdarzenia w jeden alert (ustawienie domyślne). Reguła generuje pojedynczy alert za każdym razem, gdy jest uruchamiany, o ile zapytanie zwraca więcej wyników niż określony próg alertu powyżej. Alert zawiera podsumowanie wszystkich zdarzeń zwróconych w wynikach.

    • Wyzwalaj alert dla każdego zdarzenia. Reguła generuje unikatowy alert dla każdego zdarzenia zwróconego przez zapytanie. Jest to przydatne, jeśli chcesz, aby zdarzenia były wyświetlane indywidualnie lub jeśli chcesz je zgrupować według określonych parametrów — według użytkownika, nazwy hosta lub innego elementu. Te parametry można zdefiniować w zapytaniu.

      Obecnie liczba alertów, które może wygenerować reguła, jest ograniczona do 150. Jeśli w konkretnej regule ustawienie Grupowanie zdarzeń ma wartość Wyzwalanie alertu dla każdego zdarzenia, a zapytanie reguły zwraca więcej niż 150 zdarzeń, każde z pierwszych 149 zdarzeń spowoduje wygenerowanie unikatowego alertu, a 150 alert będzie podsumowywać cały zestaw zwracanych zdarzeń. Innymi słowy, alert 150., który zostałby wygenerowany w obszarze Grupuj wszystkie zdarzenia w jedną opcję alertu .

      Jeśli wybierzesz tę opcję, usługa Microsoft Sentinel doda nowe pole OriginalQuery do wyników zapytania. Poniżej przedstawiono porównanie istniejącego pola Zapytanie i nowego pola:

      Nazwa pola Contains Uruchamianie zapytania w tym polu
      wyniki...
      Zapytanie Skompresowany rekord zdarzenia, które wygenerowało to wystąpienie alertu Zdarzenie, które wygenerowało to wystąpienie alertu;
      ograniczone do 10240 bajtów
      OriginalQuery Oryginalne zapytanie zapisane w regule analizy Ostatnie zdarzenie w przedziale czasowym, w którym jest uruchamiane zapytanie, pasujące do parametrów zdefiniowanych przez zapytanie

      Innymi słowy, pole OriginalQuery zachowuje się tak, jak zwykle zachowuje się pole Zapytanie . Wynikiem tego dodatkowego pola jest to, że problem opisany przez pierwszy element w poniższej sekcji Rozwiązywanie problemów został rozwiązany.

    Uwaga

    Jaka jest różnica między zdarzeniami i alertami?

    • Zdarzenie to opis pojedynczego wystąpienia akcji. Na przykład pojedynczy wpis w pliku dziennika może być liczone jako zdarzenie. W tym kontekście zdarzenie odnosi się do pojedynczego wyniku zwróconego przez zapytanie w regule analizy.

    • Alert to zbiór zdarzeń, które są ze sobą istotne z punktu widzenia zabezpieczeń. Alert może zawierać jedno zdarzenie, jeśli zdarzenie miało znaczący wpływ na bezpieczeństwo — na przykład identyfikator logowania administracyjnego z obcego kraju/regionu poza godzinami pracy.

    • Co to są zdarzenia? Wewnętrzna logika usługi Microsoft Sentinel tworzy zdarzenia z alertów lub grup alertów. Kolejka zdarzeń jest centralnym punktem pracy analityków SOC — klasyfikacji, badania i korygowania.

    Usługa Microsoft Sentinel pozyskuje nieprzetworzone zdarzenia z niektórych źródeł danych i już przetworzone alerty od innych. Ważne jest, aby pamiętać, z którym w dowolnym momencie masz do czynienia.

  • W sekcji Pomijanie można włączyć ustawienie Zatrzymaj uruchamianie zapytania po wygenerowaniu alertu, jeśli po otrzymaniu alertu chcesz wstrzymać działanie tej reguły przez okres przekraczający interwał zapytania. Jeśli to ustawienie zostanie włączone, musisz ustawić opcję Zatrzymaj uruchamianie zapytania na czas, przez który zapytanie powinno przestać działać, maksymalnie 24 godziny.

Konfigurowanie ustawień tworzenia incydentu

Na karcie Zdarzenie Ustawienia możesz wybrać, czy i jak usługa Microsoft Sentinel zamienia alerty w zdarzenia z możliwością działania. Jeśli ta karta pozostanie sama, usługa Microsoft Sentinel utworzy pojedynczy, oddzielny incydent od każdego alertu. Możesz wybrać brak utworzonych zdarzeń lub zgrupować kilka alertów w jeden incydent, zmieniając ustawienia na tej karcie.

Na przykład:

Define the incident creation and alert grouping settings

Ustawienia zdarzenia

W sekcji Ustawienia zdarzenia utwórz zdarzenia z alertów wyzwalanych przez tę regułę analizy jest domyślnie ustawiona na wartość Włączone, co oznacza, że usługa Microsoft Sentinel utworzy pojedynczy, oddzielny incydent od każdego alertu wyzwalanego przez regułę.

  • Jeśli nie chcesz, aby ta reguła powodowała utworzenie jakichkolwiek zdarzeń (na przykład jeśli ta reguła służy tylko do zbierania informacji na potrzeby kolejnej analizy), ustaw tę opcję na wartość Wyłączone.

  • Jeśli chcesz utworzyć pojedyncze zdarzenie na podstawie grupy alertów, zamiast jednego dla każdego alertu, zobacz następną sekcję.

Grupowanie alertów

W sekcji Grupowanie alertów, jeśli chcesz wygenerować pojedyncze zdarzenie z grupy do 150 podobnych lub cyklicznych alertów (zobacz uwaga), ustaw alerty powiązane z grupą, wyzwalane przez tę regułę analizy, na zdarzenia włączone i ustaw następujące parametry.

  • Ogranicz grupę do alertów utworzonych w wybranym przedziale czasu: określ przedział czasu, w którym podobne lub cykliczne alerty zostaną zgrupowane razem. Wszystkie odpowiednie alerty w tym przedziale czasu będą łącznie generować zdarzenie lub zestaw zdarzeń (w zależności od poniższych ustawień grupowania). Alerty poza tym przedziałem czasu spowodują wygenerowanie oddzielnego zdarzenia lub zestawu zdarzeń.

  • Grupuj alerty wyzwalane przez tę regułę analizy w jeden incydent według: wybierz jedną grupę alertów:

    Opcja Opis
    Grupuj alerty w jeden incydent, jeśli wszystkie jednostki są zgodne Alerty są grupowane razem, jeśli współużytkują identyczne wartości dla każdej z zamapowanych jednostek (zdefiniowanej na karcie Ustawianie logiki reguły powyżej). Jest to zalecane ustawienie.
    Grupuj wszystkie alerty wyzwalane przez tę regułę w jeden incydent Wszystkie alerty generowane przez tę regułę są grupowane razem, nawet jeśli nie mają identycznych wartości.
    Grupuj alerty w jeden incydent, jeśli wybrane jednostki i szczegóły są zgodne Alerty są grupowane razem, jeśli współdzielą identyczne wartości dla wszystkich mapowanych jednostek, szczegółów alertu i szczegółów niestandardowych wybranych z odpowiednich list rozwijanych.

    Możesz użyć tego ustawienia, jeśli na przykład chcesz utworzyć oddzielne zdarzenia na podstawie źródłowych lub docelowych adresów IP, lub jeśli chcesz zgrupować alerty zgodne z określoną jednostką i ważnością.

    Uwaga: po wybraniu tej opcji musisz mieć co najmniej jeden typ jednostki lub pole wybrane dla reguły. W przeciwnym razie walidacja reguły zakończy się niepowodzeniem, a reguła nie zostanie utworzona.
  • Otwórz ponownie zamknięte pasujące incydenty: jeśli zdarzenie zostało rozwiązane i zamknięte, a później zostanie wygenerowany inny alert, który powinien należeć do tego zdarzenia, ustaw to ustawienie na Włączone , jeśli chcesz, aby zamknięte zdarzenie zostało ponownie otwarte, i pozostaw wartość Wyłączone , jeśli chcesz, aby alert utworzył nowe zdarzenie.

    Uwaga

    Maksymalnie 150 alertów można zgrupować w jeden incydent.

    • Zdarzenie zostanie utworzone tylko po wygenerowaniu wszystkich alertów. Wszystkie alerty zostaną dodane do zdarzenia natychmiast po jego utworzeniu.

    • Jeśli więcej niż 150 alertów jest generowanych przez regułę, która grupuje je w pojedyncze zdarzenie, nowe zdarzenie zostanie wygenerowane z tymi samymi szczegółami zdarzenia co oryginał, a nadmiarowe alerty zostaną zgrupowane w nowym zdarzeniu.

Ustawianie automatycznych odpowiedzi i tworzenie reguły

Na karcie Zautomatyzowane odpowiedzi można użyć reguł automatyzacji, aby ustawić automatyczne odpowiedzi, które mają wystąpić w dowolnym z trzech typów razy:

  • Po wygenerowaniu alertu przez tę regułę analizy.
  • Po utworzeniu zdarzenia z alertami wygenerowanymi przez tę regułę analizy.
  • Po zaktualizowaniu zdarzenia przy użyciu alertów generowanych przez tę regułę analizy.

Siatka wyświetlana w obszarze Reguły automatyzacji pokazuje reguły automatyzacji, które mają już zastosowanie do tej reguły analizy (na podstawie tego, że są spełnione warunki zdefiniowane w tych regułach). Możesz edytować dowolny z tych elementów, wybierając wielokropek na końcu każdego wiersza. Możesz też utworzyć nową regułę automatyzacji.

Reguły automatyzacji umożliwiają wykonywanie podstawowych klasyfikacji, przypisywania, przepływu pracy i zamykania zdarzeń.

Automatyzacja bardziej złożonych zadań i wywoływanie odpowiedzi z systemów zdalnych w celu skorygowania zagrożeń przez wywołanie podręczników z tych reguł automatyzacji. Można to zrobić w przypadku zdarzeń, a także dla poszczególnych alertów.

  • Aby uzyskać więcej informacji i instrukcji dotyczących tworzenia podręczników i reguł automatyzacji, zobacz Automatyzowanie odpowiedzi na zagrożenia.

  • Aby uzyskać więcej informacji o tym, kiedy używać wyzwalacza utworzonego zdarzenia, wyzwalacza zaktualizowanego zdarzenia lub wyzwalacza utworzonego alertu, zobacz Używanie wyzwalaczy i akcji w podręcznikach usługi Microsoft Sentinel.

    Define the automated response settings

  • W obszarze Automatyzacja alertów (klasyczna) w dolnej części ekranu zobaczysz wszystkie podręczniki skonfigurowane do automatycznego uruchamiania po wygenerowaniu alertu przy użyciu starej metody.

    • Od czerwca 2023 r. nie można już dodawać podręczników do tej listy. Podręczniki już wymienione tutaj będą nadal działać, dopóki ta metoda nie zostanie wycofana, od marca 2026 r.

    • Jeśli nadal masz jakiekolwiek podręczniki wymienione tutaj, zamiast tego należy utworzyć regułę automatyzacji na podstawie utworzonego wyzwalacza alertu i wywołać podręcznik z tego miejsca. Po wykonaniu tej czynności wybierz wielokropek na końcu wiersza podręcznika wymienionego tutaj, a następnie wybierz pozycję Usuń. Aby uzyskać pełne instrukcje, zobacz Migrowanie podręczników wyzwalacza alertów usługi Microsoft Sentinel do reguł automatyzacji.

Wybierz pozycję Przejrzyj i utwórz , aby przejrzeć wszystkie ustawienia nowej reguły analizy. Po wyświetleniu komunikatu "Weryfikacja przekazana" wybierz pozycję Utwórz.

Review all settings and create the rule

Wyświetlanie reguły i jej danych wyjściowych

  • Nowo utworzoną regułę niestandardową (typu "Zaplanowane") można znaleźć w tabeli na karcie Aktywne reguły na głównym ekranie Analiza . Z tej listy można włączyć, wyłączyć lub usunąć każdą regułę.

  • Aby wyświetlić wyniki utworzonych reguł analizy, przejdź do strony Incydenty , na której można sklasyfikować zdarzenia, zbadać je i skorygować zagrożenia.

  • Możesz zaktualizować zapytanie reguły, aby wykluczyć wyniki fałszywie dodatnie. Aby uzyskać więcej informacji, zobacz Obsługa wyników fałszywie dodatnich w usłudze Microsoft Sentinel.

Uwaga

Alerty generowane w usłudze Microsoft Sentinel są dostępne za pośrednictwem zabezpieczeń programu Microsoft Graph. Aby uzyskać więcej informacji, zobacz dokumentację alertów zabezpieczeń programu Microsoft Graph.

Eksportowanie reguły do szablonu usługi ARM

Jeśli chcesz spakować regułę do zarządzania i wdrażania jako kodu, możesz łatwo wyeksportować regułę do szablonu usługi Azure Resource Manager (ARM). Reguły można również importować z plików szablonów, aby wyświetlać i edytować je w interfejsie użytkownika.

Rozwiązywanie problemów

Problem: Brak zdarzeń wyświetlanych w wynikach zapytania

Gdy ustawienie grupowania zdarzeń powoduje wyzwolenie alertu dla każdego zdarzenia, wyniki zapytania wyświetlane w późniejszym czasie mogą wydawać się brakujące lub inne niż oczekiwano. Na przykład możesz wyświetlić wyniki zapytania w późniejszym czasie, gdy powrócisz do wyników z powiązanego zdarzenia.

  • Wyniki są automatycznie zapisywane przy użyciu alertów. Jeśli jednak wyniki są zbyt duże, żadne wyniki nie zostaną zapisane, a następnie żadne dane nie będą wyświetlane podczas ponownego wyświetlania wyników zapytania.
  • W przypadkach, gdy występuje opóźnienie pozyskiwania lub zapytanie nie jest deterministyczne z powodu agregacji, wynik alertu może być inny niż wynik wyświetlany przez ręczne uruchomienie zapytania.

Uwaga

Ten problem został rozwiązany przez dodanie nowego pola OriginalQuery do wyników po wybraniu tej opcji grupowania zdarzeń. Zobacz powyższy opis.

Problem: Nie można uruchomić reguły planowania lub jest wyświetlana z dodanym elementem AUTO DISABLED do nazwy

Rzadko zdarza się, że nie można uruchomić zaplanowanej reguły zapytania, ale może się zdarzyć. Usługa Microsoft Sentinel klasyfikuje błędy z góry jako przejściowe lub trwałe na podstawie określonego typu awarii i okoliczności, które doprowadziły do niego.

Błąd przejściowy

Przejściowy błąd występuje z powodu okoliczności tymczasowych i wkrótce powróci do normalnego, w którym momencie wykonanie reguły powiedzie się. Oto kilka przykładów błędów klasyfikujących usługę Microsoft Sentinel jako przejściowych:

  • Zapytanie reguły trwa zbyt długo, aby uruchomić i upłynął limit czasu.
  • Połączenie problemy z wydajnością między źródłami danych a usługą Log Analytics lub między usługą Log Analytics i usługą Microsoft Sentinel.
  • Wszelkie inne nowe i nieznane błędy są uznawane za przejściowe.

W przypadku awarii przejściowej usługa Microsoft Sentinel nadal próbuje wykonać regułę ponownie po wstępnie określonych i stale rosnących interwałach do punktu. Następnie reguła zostanie uruchomiona ponownie tylko w następnym zaplanowanym czasie. Reguła nigdy nie zostanie wyłączona automatycznie z powodu błędu przejściowego.

Błąd trwały — automatyczne wyłączenie reguły

Trwałe niepowodzenie występuje z powodu zmiany warunków, które umożliwiają uruchomienie reguły, która bez interwencji człowieka nie powróci do ich byłego stanu. Poniżej przedstawiono kilka przykładów błędów sklasyfikowanych jako trwałe:

  • Docelowy obszar roboczy (na którym działa zapytanie reguły) został usunięty.
  • Tabela docelowa (na której działa zapytanie reguły) została usunięta.
  • Usługa Microsoft Sentinel została usunięta z docelowego obszaru roboczego.
  • Funkcja używana przez zapytanie reguły nie jest już prawidłowa; został zmodyfikowany lub usunięty.
  • Zmieniono uprawnienia do jednego ze źródeł danych zapytania reguły (zobacz przykład poniżej).
  • Usunięto jedno ze źródeł danych zapytania reguły.

W przypadku wstępnie określonej liczby kolejnych trwałych niepowodzeń tego samego typu i w tej samej regule usługa Microsoft Sentinel przestaje próbować wykonać regułę, a także wykonuje następujące czynności:

  • Wyłącza regułę.
  • Dodaje wyrazy "AUTO DISABLED" na początku nazwy reguły.
  • Dodaje przyczynę błędu (i wyłączenie) do opisu reguły.

Możesz łatwo określić obecność dowolnych reguł automatycznego wyłączania, sortując listę reguł według nazwy. Reguły automatycznego wyłączania będą znajdować się w górnej lub górnej części listy.

Menedżerowie SOC powinni regularnie sprawdzać listę reguł pod kątem obecności reguł automatycznego wyłączania.

Trwałe niepowodzenie z powodu opróżnienia zasobów

Inny rodzaj trwałej awarii występuje z powodu nieprawidłowo utworzonego zapytania , które powoduje, że reguła zużywa nadmierne zasoby obliczeniowe i stanowi drenaż wydajności w systemach. Gdy usługa Microsoft Sentinel zidentyfikuje taką regułę, wykonuje te same trzy kroki wymienione powyżej dla innych trwałych błędów — wyłącza regułę, poprzedza "AUTO DISABLED" nazwą reguły i dodaje przyczynę niepowodzenia opisu.

Aby ponownie włączyć regułę, należy rozwiązać problemy w zapytaniu, które powodują użycie zbyt wielu zasobów. Zapoznaj się z następującymi artykułami, aby uzyskać najlepsze rozwiązania dotyczące optymalizowania zapytań Kusto:

Aby uzyskać dalszą pomoc, zobacz Przydatne zasoby do pracy z język zapytań Kusto w usłudze Microsoft Sentinel.

Trwałe niepowodzenie z powodu utraty dostępu między subskrypcjami/dzierżawami

Jeden z konkretnych przykładów, kiedy może wystąpić trwałe niepowodzenie z powodu zmiany uprawnień w źródle danych (patrz powyżej) dotyczy przypadku programu MSSP — lub dowolnego innego scenariusza, w którym reguły analizy wysyłają zapytania dotyczące subskrypcji lub dzierżaw.

Podczas tworzenia reguły analizy token uprawnień dostępu jest stosowany do reguły i zapisywany wraz z nią. Ten token gwarantuje, że reguła będzie mogła uzyskiwać dostęp do obszaru roboczego zawierającego dane, do których są odpytywane przez regułę, i że ten dostęp zostanie zachowany, nawet jeśli twórca reguły utraci dostęp do tego obszaru roboczego.

Istnieje jednak jeden wyjątek: gdy reguła jest tworzona w celu uzyskiwania dostępu do obszarów roboczych w innych subskrypcjach lub dzierżawach, takich jak to, co się dzieje w przypadku programu MSSP, usługa Microsoft Sentinel podejmuje dodatkowe środki zabezpieczeń, aby zapobiec nieautoryzowanemu dostępowi do danych klienta. W przypadku tego rodzaju reguł poświadczenia użytkownika, który utworzył regułę, są stosowane do reguły zamiast niezależnego tokenu dostępu, dzięki czemu gdy użytkownik nie ma już dostępu do innej dzierżawy, reguła przestanie działać.

Jeśli korzystasz z usługi Microsoft Sentinel w scenariuszu między subskrypcjami lub między dzierżawami, pamiętaj, że jeśli jeden z analityków lub inżynierów utraci dostęp do określonego obszaru roboczego, wszystkie reguły utworzone przez tego użytkownika przestaną działać. Otrzymasz komunikat monitorowania kondycji dotyczący "niewystarczającego dostępu do zasobu", a reguła zostanie automatycznie wyłączona zgodnie z procedurą opisaną powyżej.

Następne kroki

W przypadku używania reguł analizy do wykrywania zagrożeń z usługi Microsoft Sentinel upewnij się, że wszystkie reguły skojarzone z połączonymi źródłami danych zapewniają pełne pokrycie zabezpieczeń dla danego środowiska.

Aby zautomatyzować włączanie reguł, reguły wypychania do usługi Microsoft Sentinel za pośrednictwem interfejsu API i programu PowerShell, chociaż wymaga to dodatkowego nakładu pracy. W przypadku korzystania z interfejsu API lub programu PowerShell należy najpierw wyeksportować reguły do formatu JSON przed włączeniem reguł. Interfejs API lub program PowerShell może być przydatny podczas włączania reguł w wielu wystąpieniach usługi Microsoft Sentinel z identycznymi ustawieniami w każdym wystąpieniu.

Aby uzyskać więcej informacji, zobacz:

Zapoznaj się również z przykładem używania niestandardowych reguł analizy podczas monitorowania funkcji Zoom przy użyciu łącznika niestandardowego.