Udostępnij za pośrednictwem

Wykrywanie zagrożeń w usłudze Microsoft Sentinel

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Po skonfigurowaniu usługi Microsoft Sentinel w celu zbierania danych z całej organizacji należy stale przeglądać wszystkie te dane w celu wykrywania zagrożeń bezpieczeństwa w danym środowisku. Aby wykonać to zadanie, usługa Microsoft Sentinel udostępnia reguły wykrywania zagrożeń, które są uruchamiane regularnie, odpytując zebrane dane i analizując je w celu wykrycia zagrożeń. Te reguły mają kilka różnych odmian i są wspólnie znane jako reguły analizy.

Te reguły można utworzyć od podstaw za pomocą wbudowanego kreatora reguł analizy. Firma Microsoft zdecydowanie zachęca jednak do korzystania z szerokiej gamy szablonów reguł analitycznych dostępnych w wielu rozwiązaniach usługi Microsoft Sentinel dostępnych w centrum zawartości. Te szablony są wstępnie utworzonymi prototypami reguł zaprojektowanymi przez zespoły ekspertów ds. zabezpieczeń i analityków w oparciu o ich wiedzę na temat znanych zagrożeń, typowych wektorów ataków i łańcuchów eskalacji podejrzanych działań. Reguły z tych szablonów można aktywować w celu automatycznego wyszukiwania w całym środowisku pod kątem wszelkich działań, które wyglądają podejrzanie. Wiele szablonów można dostosować do wyszukiwania określonych typów zdarzeń lub odfiltrować je zgodnie z potrzebami.

Te reguły generują alerty po znalezieniu szukanych elementów. Alerty zawierają informacje o wykrytych zdarzeniach, takich jak jednostki (użytkownicy, urządzenia, adresy i inne elementy). Alerty są agregowane i skorelowane ze zdarzeniami — plikami przypadków — które można przypisać i zbadać, aby poznać pełny zakres wykrytego zagrożenia i odpowiednio reagować.

Ten artykuł pomaga zrozumieć, jak usługa Microsoft Sentinel wykrywa zagrożenia i co się dzieje dalej.

Ważne

Usługa Microsoft Sentinel jest dostępna jako część ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Usługa Microsoft Sentinel w portalu usługi Defender jest teraz obsługiwana do użytku produkcyjnego. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Typy reguł analizy

Możesz wyświetlić dostępne reguły i szablony analizy na stronie Analiza menu Konfiguracja w usłudze Microsoft Sentinel. Obecnie aktywne reguły są widoczne na jednej karcie, a szablony do tworzenia nowych reguł na innej karcie. Na trzeciej karcie są wyświetlane anomalie, specjalny typ reguły opisany w dalszej części tego artykułu.

Aby znaleźć więcej szablonów reguł niż są obecnie wyświetlane, przejdź do centrum zawartości w usłudze Microsoft Sentinel, aby zainstalować powiązane rozwiązania produktów lub zawartość autonomiczną. Szablony reguł analizy są dostępne w prawie każdym rozwiązaniu produktu w centrum zawartości.

W usłudze Microsoft Sentinel są dostępne następujące typy reguł analizy i szablonów reguł:

Oprócz powyższych typów reguł istnieją inne wyspecjalizowane typy szablonów, które mogą tworzyć jedno wystąpienie reguły z ograniczonymi opcjami konfiguracji:

Reguły zaplanowane

Zdecydowanie najbardziej typowym typem reguły analizy zaplanowane reguły są oparte na zapytaniach Kusto, które są skonfigurowane do uruchamiania w regularnych odstępach czasu i badają nieprzetworzone dane z zdefiniowanego okresu "lookback". Jeśli liczba wyników przechwyconych przez zapytanie przekroczy próg skonfigurowany w regule, reguła generuje alert.

Zapytania w zaplanowanych szablonach reguł zostały napisane przez ekspertów ds. zabezpieczeń i nauki o danych od firmy Microsoft lub od dostawcy rozwiązania dostarczającego szablon. Zapytania mogą wykonywać złożone operacje statystyczne na danych docelowych, ujawniając punkty odniesienia i wartości odstające w grupach zdarzeń.

Logika zapytania jest wyświetlana w konfiguracji reguły. Możesz użyć logiki zapytań oraz ustawień planowania i wyszukiwania wstecznego zgodnie z definicją w szablonie lub dostosować je do tworzenia nowych reguł.

Dowiedz się więcej o regułach analizy zaplanowanej w usłudze Microsoft Sentinel.

Reguły niemal w czasie rzeczywistym (NRT)

Reguły NRT są ograniczonym podzestawem zaplanowanych reguł. Są one przeznaczone do uruchamiania raz na minutę, aby dostarczyć informacje tak do minuty, jak to możliwe.

Działają one głównie jak zaplanowane reguły i są skonfigurowane podobnie, z pewnymi ograniczeniami.

Dowiedz się więcej na temat szybkiego wykrywania zagrożeń za pomocą reguł analizy niemal w czasie rzeczywistym (NRT) w usłudze Microsoft Sentinel.

Reguły anomalii

Reguły anomalii używają uczenia maszynowego do obserwowania określonych typów zachowań w danym okresie w celu określenia punktu odniesienia. Każda reguła ma własne unikatowe parametry i progi, odpowiednie dla analizowanego zachowania. Po zakończeniu okresu obserwacji zostanie ustawiony punkt odniesienia. Gdy reguła obserwuje zachowania przekraczające granice ustawione w punkcie odniesienia, flaguje te wystąpienia jako nietypowe.

Chociaż nie można zmienić ani dostosować konfiguracji wbudowanych reguł, można zduplikować regułę, a następnie zmienić i dostosować duplikat. W takich przypadkach uruchom duplikat w trybie flightingu i oryginalnie współbieżnie w trybie produkcyjnym . Następnie porównaj wyniki i przełącz duplikat na Wartość produkcyjna , jeśli i kiedy jego dostrajanie jest odpowiednie.

Anomalie nie muszą wskazywać złośliwych, a nawet podejrzanych zachowań. W związku z tym reguły anomalii nie generują własnych alertów. Zamiast tego rejestrują wyniki analizy — wykryte anomalie — w tabeli Anomalie . Możesz wykonać zapytanie względem tej tabeli, aby zapewnić kontekst, który usprawnia wykrywanie, badania i wyszukiwanie zagrożeń.

Aby uzyskać więcej informacji, zobacz Używanie dostosowywalnych anomalii do wykrywania zagrożeń w usłudze Microsoft Sentinel i Praca z regułami analizy wykrywania anomalii w usłudze Microsoft Sentinel.

Reguły zabezpieczeń firmy Microsoft

Podczas gdy reguły zaplanowane i REGUŁY NRT automatycznie tworzą zdarzenia dla generowanych alertów, alerty generowane w usługach zewnętrznych i pozyskiwane do usługi Microsoft Sentinel nie tworzą własnych zdarzeń. Reguły zabezpieczeń firmy Microsoft automatycznie tworzą zdarzenia usługi Microsoft Sentinel na podstawie alertów generowanych w innych rozwiązaniach zabezpieczeń firmy Microsoft w czasie rzeczywistym. Szablony zabezpieczeń firmy Microsoft umożliwiają tworzenie nowych reguł z podobną logiką.

Ważne

Jeśli masz następujące reguły zabezpieczeń firmy Microsoft, nie są dostępne :

  • Włączono integrację z incydentami XDR w usłudze Microsoft Defender lub
  • Dołączono usługę Microsoft Sentinel do ujednoliconej platformy operacji zabezpieczeń.

W tych scenariuszach usługa Microsoft Defender XDR tworzy zamiast tego zdarzenia.

Wszystkie takie reguły, które zostały zdefiniowane wcześniej, są automatycznie wyłączone.

Aby uzyskać więcej informacji na temat reguł tworzenia zdarzeń zabezpieczeń firmy Microsoft, zobacz Automatyczne tworzenie zdarzeń na podstawie alertów zabezpieczeń firmy Microsoft.

Analiza zagrożeń

Skorzystaj z analizy zagrożeń opracowanej przez firmę Microsoft, aby wygenerować alerty i zdarzenia o wysokiej wierności za pomocą reguły analizy zagrożeń firmy Microsoft. Ta unikatowa reguła nie jest dostosowywalna, ale po włączeniu automatycznie dopasowuje dzienniki common Event Format (CEF), dane dziennika systemowego lub zdarzenia DNS systemu Windows ze wskaźnikami zagrożenia domeny, adresu IP i adresu URL z analizy zagrożeń firmy Microsoft. Niektóre wskaźniki zawierają więcej informacji kontekstowych za pośrednictwem usługi MDTI (Microsoft Defender Threat Intelligence).

Aby uzyskać więcej informacji na temat włączania tej reguły, zobacz Używanie pasującej analizy do wykrywania zagrożeń.
Aby uzyskać więcej informacji na temat rozwiązania MDTI, zobacz Co to jest analiza zagrożeń w usłudze Microsoft Defender.

Zaawansowane wieloestowe wykrywanie ataków (Fusion)

Usługa Microsoft Sentinel używa aparatu korelacji fusion z skalowalnymi algorytmami uczenia maszynowego, aby wykrywać zaawansowane ataki wieloestowe, korelując wiele alertów i zdarzeń o niskiej wierności w wielu produktach w przypadku zdarzeń o wysokiej wierności i z możliwością działania. Domyślnie jest włączona reguła zaawansowanego wykrywania ataków wieloestanowych. Ponieważ logika jest ukryta i dlatego nie można jej dostosowywać, może istnieć tylko jedna reguła z tym szablonem.

Aparat fusion może również korelować alerty generowane przez zaplanowane reguły analizy z alertami z innych systemów, generując w rezultacie zdarzenia o wysokiej wierności.

Ważne

Typ reguły zaawansowanego wykrywania ataków wieloestanowych jest niedostępny , jeśli:

  • Włączono integrację z incydentami XDR w usłudze Microsoft Defender lub
  • Dołączono usługę Microsoft Sentinel do ujednoliconej platformy operacji zabezpieczeń.

W tych scenariuszach usługa Microsoft Defender XDR tworzy zamiast tego zdarzenia.

Ponadto niektóre szablony wykrywania łączenia są obecnie dostępne w wersji zapoznawczej (zobacz Zaawansowane wieloestowe wykrywanie ataków w usłudze Microsoft Sentinel , aby zobaczyć, które z nich). Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Analiza zachowań uczenia maszynowego

Korzystaj z zastrzeżonych algorytmów uczenia maszynowego firmy Microsoft w celu generowania alertów o wysokiej wierności i zdarzeń przy użyciu reguł analizy zachowań uczenia maszynowego. Te unikatowe reguły (obecnie w wersji zapoznawczej) nie są dostosowywalne, ale po włączeniu wykrywają konkretne nietypowe zachowania logowania SSH i RDP na podstawie informacji o adresach IP i geolokalizacji i historii użytkowników.

Uprawnienia dostępu do reguł analizy

Podczas tworzenia reguły analizy token uprawnień dostępu jest stosowany do reguły i zapisywany wraz z nią. Ten token gwarantuje, że reguła będzie mogła uzyskać dostęp do obszaru roboczego zawierającego dane, których dotyczy zapytanie reguły, i że ten dostęp jest utrzymywany nawet wtedy, gdy twórca reguły utraci dostęp do tego obszaru roboczego.

Istnieje jednak jeden wyjątek od tego dostępu: po utworzeniu reguły dostępu do obszarów roboczych w innych subskrypcjach lub dzierżawach, takich jak to, co się dzieje w przypadku programu MSSP, usługa Microsoft Sentinel podejmuje dodatkowe środki zabezpieczeń, aby zapobiec nieautoryzowanemu dostępowi do danych klienta. W przypadku tego rodzaju reguł poświadczenia użytkownika, który utworzył regułę, są stosowane do reguły zamiast niezależnego tokenu dostępu, dzięki czemu gdy użytkownik nie ma już dostępu do innej subskrypcji lub dzierżawy, reguła przestanie działać.

Jeśli korzystasz z usługi Microsoft Sentinel w scenariuszu między subskrypcjami lub między dzierżawami, gdy jeden z analityków lub inżynierów utraci dostęp do określonego obszaru roboczego, wszystkie reguły utworzone przez tego użytkownika przestaną działać. W takiej sytuacji zostanie wyświetlony komunikat monitorowania kondycji dotyczący "niewystarczającego dostępu do zasobu", a reguła jest automatycznie wyłączona po niepomyślnie określonym czasie.

Eksportowanie reguł do szablonu usługi ARM

Możesz łatwo wyeksportować regułę do szablonu usługi Azure Resource Manager (ARM), jeśli chcesz zarządzać regułami i wdrażać je jako kod. Reguły można również importować z plików szablonów, aby wyświetlać i edytować je w interfejsie użytkownika.

Następne kroki