Tworzenie reguły zaplanowanej analizy od podstaw
Skonfigurowaliśmy łączniki i inne sposoby zbierania danych aktywności w infrastrukturze cyfrowej. Teraz musisz przejrzeć wszystkie te dane, aby wykrywać wzorce aktywności i odnajdywać działania, które nie pasują do tych wzorców i które mogą stanowić zagrożenie bezpieczeństwa.
Microsoft Sentinel i jego wiele rozwiązań dostępnych w szablonach ofert centrum zawartości dla najczęściej używanych typów reguł analizy i zdecydowanie zachęcamy do korzystania z tych szablonów, dostosowując je do konkretnych scenariuszy. Jednak może być konieczne coś zupełnie innego, więc w takim przypadku możesz utworzyć regułę od podstaw przy użyciu kreatora reguły analizy.
W tym artykule opisano proces tworzenia reguły analizy od podstaw, w tym przy użyciu kreatora reguł analizy. Towarzyszy mu zrzuty ekranu i wskazówki dotyczące uzyskiwania dostępu do kreatora w witrynie Azure Portal dla użytkowników usługi Microsoft Sentinel, którzy nie są również subskrybentami usługi Microsoft Defender i portalem Defender dla użytkowników ujednoliconej platformy operacji zabezpieczeń w usłudze Microsoft Defender.
Ważne
Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie Ujednolicone operacje zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Wymagania wstępne
Musisz mieć rolę Współautor usługi Microsoft Sentinel lub dowolną inną rolę lub zestaw uprawnień, które obejmują uprawnienia do zapisu w obszarze roboczym usługi Log Analytics i jej grupie zasobów.
Musisz mieć co najmniej podstawową znajomość nauki o danych i analizy oraz język zapytań Kusto.
Zapoznaj się z kreatorem reguł analizy i wszystkimi dostępnymi opcjami konfiguracji. Aby uzyskać więcej informacji, zobacz Reguły zaplanowanej analizy w usłudze Microsoft Sentinel.
Projektowanie i tworzenie zapytania
Przed wykonaniem niczego innego należy zaprojektować i skompilować zapytanie w język zapytań Kusto (KQL), które będzie używane przez regułę do wykonywania zapytań względem co najmniej jednej tabeli w obszarze roboczym usługi Log Analytics.
Określ źródło danych lub zestaw źródeł danych, które chcesz wyszukać w celu wykrycia nietypowych lub podejrzanych działań. Znajdź nazwę tabeli usługi Log Analytics, do której pozyskiwane są dane z tych źródeł. Nazwę tabeli można znaleźć na stronie łącznika danych dla tego źródła. Użyj tej nazwy tabeli (lub funkcji opartej na niej) jako podstawy zapytania.
Zdecyduj, jakiego rodzaju analizę chcesz wykonać w tabeli. Ta decyzja określi, które polecenia i funkcje należy użyć w zapytaniu.
Zdecyduj, które elementy danych (pola, kolumny) chcesz uzyskać z wyników zapytania. Ta decyzja określi, jak strukturę danych wyjściowych zapytania.
Skompiluj i przetestuj zapytania na ekranie Dzienniki . Jeśli masz pewność, zapisz zapytanie do użycia w regule.
Aby uzyskać przydatne porady dotyczące tworzenia zapytań Kusto, zobacz Najlepsze rozwiązania dotyczące zapytań reguł analizy.
Aby uzyskać więcej informacji na temat tworzenia zapytań Kusto, zobacz język zapytań Kusto w usłudze Microsoft Sentinel i Najlepsze rozwiązania dotyczące zapytań język zapytań Kusto.
Tworzenie reguły analizy
W tej sekcji opisano sposób tworzenia reguły przy użyciu portali azure lub Defender.
Wprowadzenie do tworzenia reguły zaplanowanego zapytania
Aby rozpocząć, przejdź do strony Analiza w usłudze Microsoft Sentinel, aby utworzyć zaplanowaną regułę analizy.
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Konfiguracja wybierz pozycję Analiza.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Analiza konfiguracji> usługi Microsoft Sentinel.>Wybierz pozycję +Utwórz i wybierz pozycję Reguła zaplanowanego zapytania.
Nazwij regułę i zdefiniuj ogólne informacje
W witrynie Azure Portal etapy są reprezentowane wizualnie jako karty. W portalu usługi Defender są one reprezentowane wizualnie jako punkty kontrolne na osi czasu.
Wprowadź następujące informacje dotyczące reguły.
Pole Opis Nazwa/nazwisko Unikatowa nazwa reguły. Opis Opis wolnego tekstu reguły. Ważność Dopasuj wpływ działania wyzwalającego regułę na środowisko docelowe, jeśli reguła będzie prawdziwie dodatnia.
Informacje: brak wpływu na system, ale informacje mogą wskazywać na przyszłe kroki planowane przez aktora zagrożeń.
Niski: bezpośredni wpływ byłby minimalny. Aktor zagrożeń prawdopodobnie będzie musiał wykonać wiele kroków przed osiągnięciem wpływu na środowisko.
Średni: aktor zagrożenia może mieć pewien wpływ na środowisko z tym działaniem, ale byłby ograniczony w zakresie lub wymagał dodatkowej aktywności.
Wysoki: Zidentyfikowane działanie zapewnia aktorowi zagrożeń szeroki dostęp do przeprowadzania akcji w środowisku lub jest wyzwalany przez wpływ na środowisko.MITRE ATT&CK Wybierz te działania zagrożeń, które mają zastosowanie do reguły. Wybierz spośród taktyki i technik MITRE ATT&CK przedstawionych na liście rozwijanej. Możesz dokonać wielu wyborów.
Aby uzyskać więcej informacji na temat maksymalizacji zasięgu środowiska zagrożeń MITRE ATT&CK, zobacz Omówienie pokrycia zabezpieczeń przez strukturę MITRE ATT&CK®.Stan Włączone: reguła jest uruchamiana natychmiast po utworzeniu lub o określonej dacie i godzinie, która ma zostać zaplanowana (obecnie w wersji zapoznawczej).
Wyłączone: reguła jest tworzona, ale nie jest uruchamiana. Włącz ją później na karcie Aktywne reguły , gdy będzie ona potrzebna.Wybierz pozycję Dalej: ustaw logikę reguły.
Definiowanie logiki reguły
Następnym krokiem jest ustawienie logiki reguły, która obejmuje dodawanie utworzonego zapytania Kusto.
Wprowadź zapytanie reguły i konfigurację ulepszenia alertu.
Ustawienie opis Zapytanie reguły Wklej zapytanie zaprojektowane, skompilowane i przetestowane w oknie Zapytania reguły. Każda zmiana w tym oknie jest natychmiast weryfikowana, więc jeśli wystąpią jakieś błędy, zobaczysz wskazanie tuż pod oknem. Mapowanie jednostek Rozwiń węzeł Mapowanie jednostek i zdefiniuj maksymalnie 10 typów jednostek rozpoznawanych przez usługę Microsoft Sentinel na pola w wynikach zapytania. To mapowanie integruje zidentyfikowane jednostki z polem Jednostki w schemacie alertu.
Aby uzyskać pełne instrukcje dotyczące mapowania jednostek, zobacz Mapowanie pól danych na jednostki w usłudze Microsoft Sentinel.Szczegóły niestandardowe urządzenia Surface w alertach Rozwiń węzeł Szczegóły niestandardowe i zdefiniuj wszystkie pola w wynikach zapytania, które mają być udostępniane w alertach jako szczegóły niestandardowe. Te pola są również wyświetlane we wszystkich zdarzeniach, które również powodują.
Aby uzyskać pełne instrukcje dotyczące przeglądania szczegółów niestandardowych, zobacz Temat Surface custom event details in Alerts in Microsoft Sentinel (Szczegóły zdarzeń niestandardowych na urządzeniu Surface w alertach w usłudze Microsoft Sentinel).Dostosowywanie szczegółów alertu Rozwiń węzeł Szczegóły alertu i dostosuj w inny sposób standardowe właściwości alertu zgodnie z zawartością różnych pól w poszczególnych alertach. Na przykład dostosuj nazwę alertu lub opis, aby uwzględnić nazwę użytkownika lub adres IP proponowany w alercie.
Aby uzyskać pełne instrukcje dotyczące dostosowywania szczegółów alertu, zobacz Dostosowywanie szczegółów alertu w usłudze Microsoft Sentinel.Zaplanuj i określ zakres zapytania. Ustaw następujące parametry w sekcji Planowanie zapytań:
Ustawienie Opis/opcje Uruchamianie zapytania co Określa interwał zapytania: jak często jest uruchamiane zapytanie.
Dozwolony zakres: od 5 minut do 14 dni.Wyszukiwanie danych z ostatniego Określa okres wyszukiwania: okres objęty zapytaniem.
Dozwolony zakres: od 5 minut do 14 dni.
Musi być dłuższy lub równy interwałowi zapytania.Uruchamianie Automatycznie: reguła zostanie uruchomiona po raz pierwszy po utworzeniu i później w interwale zapytania.
W określonym czasie (wersja zapoznawcza): ustaw datę i godzinę, po której reguła zostanie uruchomiona w interwale zapytania.
Dozwolony zakres: od 10 minut do 30 dni od czasu utworzenia reguły (lub włączenia).-
Użyj sekcji Próg alertu, aby zdefiniować poziom poufności reguły. Na przykład ustaw minimalny próg wynoszący 100:
Ustawienie opis Generowanie alertu, gdy liczba wyników zapytania Jest większe niż Liczba zdarzeń 100
Jeśli nie chcesz ustawiać progu, wprowadź
0
wartość w polu liczba. Ustaw ustawienia grupowania zdarzeń.
W obszarze Grupowanie zdarzeń wybierz jeden z dwóch sposobów obsługi grupowania zdarzeń w alerty:
Ustawienie Zachowanie Grupowanie wszystkich zdarzeń w jeden alert
(domyślne)Reguła generuje pojedynczy alert za każdym razem, gdy jest uruchamiany, o ile zapytanie zwraca więcej wyników niż określony próg alertu powyżej. Ten pojedynczy alert zawiera podsumowanie wszystkich zdarzeń zwracanych w wynikach zapytania. Wyzwalanie alertu dla każdego zdarzenia Reguła generuje unikatowy alert dla każdego zdarzenia zwróconego przez zapytanie. Jest to przydatne, jeśli chcesz, aby zdarzenia były wyświetlane indywidualnie lub jeśli chcesz je zgrupować według określonych parametrów — według użytkownika, nazwy hosta lub innego elementu. Te parametry można zdefiniować w zapytaniu. Tymczasowo pomijaj regułę po wygenerowaniu alertu.
Aby pominąć regułę poza następnym czasem wykonywania, jeśli zostanie wygenerowany alert, włącz ustawienie Zatrzymaj uruchamianie zapytania po wygenerowaniu alertu. Jeśli to włączysz, ustaw opcję Zatrzymaj uruchamianie zapytania przez czas, przez który zapytanie powinno przestać działać, maksymalnie 24 godziny.
Symuluj wyniki ustawień zapytania i logiki.
W obszarze Symulacja wyników wybierz pozycję Testuj z bieżącymi danymi, aby zobaczyć, jak wyglądają wyniki reguły, gdyby były uruchomione na bieżących danych. Usługa Microsoft Sentinel symuluje uruchamianie reguły 50 razy na bieżących danych przy użyciu zdefiniowanego harmonogramu i wyświetla wykres wyników (zdarzenia dziennika). Jeśli zmodyfikujesz zapytanie, ponownie wybierz pozycję Testuj przy użyciu bieżących danych , aby zaktualizować graf. Wykres przedstawia liczbę wyników w okresie zdefiniowanym przez ustawienia w sekcji Planowanie zapytań.
Wybierz pozycję Dalej: ustawienia zdarzenia.
Konfigurowanie ustawień tworzenia incydentu
Na karcie Ustawienia zdarzenia wybierz, czy usługa Microsoft Sentinel zamienia alerty w zdarzenia umożliwiające podejmowanie działań oraz czy alerty są grupowane razem w zdarzeniach.
Włącz tworzenie zdarzeń.
W sekcji Ustawienia zdarzenia utwórz zdarzenia z alertów wyzwalanych przez tę regułę analizy jest domyślnie ustawiona na wartość Włączone, co oznacza, że usługa Microsoft Sentinel utworzy pojedynczy, oddzielny incydent od każdego alertu wyzwalanego przez regułę.
Jeśli nie chcesz, aby ta reguła powodowała utworzenie jakichkolwiek zdarzeń (na przykład jeśli ta reguła służy tylko do zbierania informacji na potrzeby kolejnej analizy), ustaw tę opcję na wartość Wyłączone.
Ważne
Jeśli dołączono usługę Microsoft Sentinel do ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender, pozostaw to ustawienie włączone.
Jeśli chcesz utworzyć pojedyncze zdarzenie na podstawie grupy alertów, zamiast jednego dla każdego alertu, zobacz następną sekcję.
Ustaw ustawienia grupowania alertów.
W sekcji Grupowanie alertów, jeśli chcesz wygenerować pojedyncze zdarzenie z grupy do 150 podobnych lub cyklicznych alertów (zobacz uwaga), ustaw alerty powiązane z grupą, wyzwalane przez tę regułę analizy, na zdarzenia włączone i ustaw następujące parametry.
Ogranicz grupę do alertów utworzonych w wybranym przedziale czasu: ustaw przedział czasu, w którym są zgrupowane podobne lub cykliczne alerty. Alerty poza tym przedziałem czasu generują oddzielne zdarzenie lub zestaw zdarzeń.
Grupuj alerty wyzwalane przez tę regułę analizy w jeden incydent według: Wybierz sposób grupowania alertów:
Opcja Opis Grupuj alerty w jeden incydent, jeśli wszystkie jednostki są zgodne Alerty są grupowane razem, jeśli współużytkują identyczne wartości dla każdej z zamapowanych jednostek (zdefiniowanej na karcie Ustawianie logiki reguły powyżej). Jest to zalecane ustawienie. Grupuj wszystkie alerty wyzwalane przez tę regułę w jeden incydent Wszystkie alerty generowane przez tę regułę są grupowane razem, nawet jeśli nie mają identycznych wartości. Grupuj alerty w jeden incydent, jeśli wybrane jednostki i szczegóły są zgodne Alerty są grupowane razem, jeśli współdzielą identyczne wartości dla wszystkich mapowanych jednostek, szczegółów alertu i szczegółów niestandardowych wybranych z odpowiednich list rozwijanych. Otwórz ponownie zamknięte pasujące incydenty: jeśli zdarzenie zostało rozwiązane i zamknięte, a później zostanie wygenerowany inny alert, który powinien należeć do tego zdarzenia, ustaw to ustawienie na Włączone , jeśli chcesz, aby zamknięte zdarzenie zostało ponownie otwarte, i pozostaw wartość Wyłączone , jeśli chcesz, aby alert utworzył nowe zdarzenie.
Uwaga
Maksymalnie 150 alertów można zgrupować w jeden incydent.
Zdarzenie zostanie utworzone tylko po wygenerowaniu wszystkich alertów. Wszystkie alerty zostaną dodane do zdarzenia natychmiast po jego utworzeniu.
Jeśli więcej niż 150 alertów jest generowanych przez regułę, która grupuje je w pojedyncze zdarzenie, nowe zdarzenie zostanie wygenerowane z tymi samymi szczegółami zdarzenia co oryginał, a nadmiarowe alerty zostaną zgrupowane w nowym zdarzeniu.
Wybierz pozycję Dalej: Automatyczna odpowiedź.
Przeglądanie lub dodawanie automatycznych odpowiedzi
Na karcie Zautomatyzowane odpowiedzi zobacz reguły automatyzacji wyświetlane na liście. Jeśli chcesz dodać odpowiedzi, które nie są jeszcze objęte istniejącymi regułami, masz dwie opcje:
- Edytuj istniejącą regułę, jeśli chcesz, aby dodana odpowiedź miała być stosowana do wielu lub wszystkich reguł.
- Wybierz pozycję Dodaj nową , aby utworzyć nową regułę automatyzacji, która będzie stosowana tylko do tej reguły analizy.
Aby dowiedzieć się więcej o tym, co można używać reguł automatyzacji, zobacz Automatyzowanie reagowania na zagrożenia w usłudze Microsoft Sentinel przy użyciu reguł automatyzacji
- W obszarze Automatyzacja alertów (klasyczna) w dolnej części ekranu zobaczysz wszystkie podręczniki skonfigurowane do automatycznego uruchamiania po wygenerowaniu alertu przy użyciu starej metody.
Od czerwca 2023 r. nie można już dodawać podręczników do tej listy. Podręczniki już wymienione tutaj będą nadal działać, dopóki ta metoda nie zostanie wycofana, od marca 2026 r.
Jeśli nadal masz jakiekolwiek podręczniki wymienione tutaj, zamiast tego należy utworzyć regułę automatyzacji na podstawie utworzonego wyzwalacza alertu i wywołać podręcznik z reguły automatyzacji. Po wykonaniu tej czynności wybierz wielokropek na końcu wiersza podręcznika wymienionego tutaj, a następnie wybierz pozycję Usuń. Aby uzyskać pełne instrukcje, zobacz Migrowanie podręczników wyzwalacza alertów usługi Microsoft Sentinel do reguł automatyzacji.
- Wybierz pozycję Dalej: Przejrzyj i utwórz , aby przejrzeć wszystkie ustawienia nowej reguły analizy.
Weryfikowanie konfiguracji i tworzenie reguły
Po wyświetleniu komunikatu "Weryfikacja przekazana" wybierz pozycję Utwórz.
Jeśli zamiast tego pojawi się błąd, znajdź i wybierz czerwony X na karcie kreatora, w którym wystąpił błąd.
Popraw błąd i wróć do karty Przeglądanie i tworzenie , aby ponownie uruchomić walidację.
Wyświetlanie reguły i jej danych wyjściowych
Wyświetlanie definicji reguły
Nowo utworzoną regułę niestandardową (typu "Zaplanowane") można znaleźć w tabeli na karcie Aktywne reguły na głównym ekranie Analiza . Z tej listy można włączyć, wyłączyć lub usunąć każdą regułę.
Wyświetlanie wyników reguły
Aby wyświetlić wyniki reguł analizy utworzonych w witrynie Azure Portal, przejdź do strony Incydenty , gdzie można sklasyfikować zdarzenia, zbadać je i skorygować zagrożenia.
Dostrajanie reguły
- Możesz zaktualizować zapytanie reguły, aby wykluczyć wyniki fałszywie dodatnie. Aby uzyskać więcej informacji, zobacz Obsługa wyników fałszywie dodatnich w usłudze Microsoft Sentinel.
Uwaga
Alerty generowane w usłudze Microsoft Sentinel są dostępne za pośrednictwem zabezpieczeń programu Microsoft Graph. Aby uzyskać więcej informacji, zobacz dokumentację alertów zabezpieczeń programu Microsoft Graph.
Eksportowanie reguły do szablonu usługi ARM
Jeśli chcesz spakować regułę do zarządzania i wdrażania jako kodu, możesz łatwo wyeksportować regułę do szablonu usługi Azure Resource Manager (ARM). Reguły można również importować z plików szablonów, aby wyświetlać i edytować je w interfejsie użytkownika.
Następne kroki
W przypadku używania reguł analizy do wykrywania zagrożeń z usługi Microsoft Sentinel upewnij się, że wszystkie reguły skojarzone z połączonymi źródłami danych zapewniają pełne pokrycie zabezpieczeń dla danego środowiska.
Aby zautomatyzować włączanie reguł, reguły wypychania do usługi Microsoft Sentinel za pośrednictwem interfejsu API i programu PowerShell, chociaż wymaga to dodatkowego nakładu pracy. W przypadku korzystania z interfejsu API lub programu PowerShell należy najpierw wyeksportować reguły do formatu JSON przed włączeniem reguł. Interfejs API lub program PowerShell może być przydatny podczas włączania reguł w wielu wystąpieniach usługi Microsoft Sentinel z identycznymi ustawieniami w każdym wystąpieniu.
Aby uzyskać więcej informacji, zobacz:
- Rozwiązywanie problemów z regułami analizy w usłudze Microsoft Sentinel
- Nawigowanie po zdarzeniach i badanie ich w usłudze Microsoft Sentinel
- Jednostki w usłudze Microsoft Sentinel
- Samouczek: używanie podręczników z regułami automatyzacji w usłudze Microsoft Sentinel
Zapoznaj się również z przykładem używania niestandardowych reguł analizy podczas monitorowania funkcji Zoom przy użyciu łącznika niestandardowego.