Tworzenie reguły zaplanowanej analizy od podstaw

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Skonfigurowano łączniki i inne sposoby zbierania danych aktywności w całej infrastrukturze cyfrowej. Teraz musisz przeglądać wszystkie te dane, aby wykrywać wzorce aktywności i odnajdywać działania, które nie pasują do tych wzorców i które mogą stanowić zagrożenie dla bezpieczeństwa.

Microsoft Sentinel i jego wiele rozwiązań dostępnych w szablonach oferty Centrum zawartości dla najczęściej używanych typów reguł analizy i zdecydowanie zachęcamy do korzystania z tych szablonów, dostosowując je do konkretnych scenariuszy. Możliwe jednak, że będziesz potrzebować czegoś zupełnie innego, więc w takim przypadku możesz utworzyć regułę od podstaw przy użyciu kreatora reguł analizy.

Uwaga

Jeśli przeglądasz szczegóły zalecenia optymalizacji SOC na stronie optymalizacji SOC i korzystasz z linku Dowiedz się więcej na tej stronie, możesz szukać listy sugerowanych reguł analizy. W takim przypadku przewiń do dołu karty szczegóły optymalizacji i wybierz pozycję Przejdź do centrum zawartości , aby znaleźć i zainstalować zalecane reguły specyficzne dla tego zalecenia. Aby uzyskać więcej informacji, zobacz Przepływ użycia optymalizacji SOC.

W tym artykule opisano proces tworzenia reguły analizy od podstaw, w tym przy użyciu kreatora reguł analizy. Zawiera zrzuty ekranu i wskazówki umożliwiające dostęp do kreatora zarówno w Azure Portal, jak i w portalu usługi Defender.

Ważna

Po 31 marca 2027 r. Microsoft Sentinel nie będą już obsługiwane w Azure Portal i będą dostępne tylko w portalu Microsoft Defender. Wszyscy klienci korzystający z Microsoft Sentinel w Azure Portal zostaną przekierowane do portalu usługi Defender i będą używać Microsoft Sentinel tylko w portalu usługi Defender.

Jeśli nadal używasz Microsoft Sentinel w Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia płynnego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez Microsoft Defender.

Wymagania wstępne

  • Musisz mieć rolę współautora Microsoft Sentinel lub dowolną inną rolę lub zestaw uprawnień, który obejmuje uprawnienia do zapisu w obszarze roboczym usługi Log Analytics i jego grupie zasobów.

  • Należy mieć co najmniej podstawową znajomość nauki o danych i analizy oraz język zapytań Kusto.

  • Należy zapoznać się z kreatorem reguł analizy i wszystkimi dostępnymi opcjami konfiguracji. Aby uzyskać więcej informacji, zobacz Zaplanowane reguły analizy w Microsoft Sentinel.

Projektowanie i tworzenie zapytania

Zanim zrobisz cokolwiek innego, należy zaprojektować i utworzyć zapytanie w język zapytań Kusto (KQL), którego reguła będzie używać do wykonywania zapytań o co najmniej jedną tabelę w obszarze roboczym usługi Log Analytics.

  1. Określ źródło danych lub zestaw źródeł danych, które chcesz wyszukać w celu wykrycia nietypowych lub podejrzanych działań. Znajdź nazwę tabeli usługi Log Analytics, do której są pozyskiwane dane z tych źródeł. Nazwę tabeli można znaleźć na stronie łącznika danych dla tego źródła. Użyj tej nazwy tabeli (lub funkcji na jej podstawie) jako podstawy zapytania.

  2. Zdecyduj, jakiego rodzaju analizę ma wykonać to zapytanie w tabeli. Ta decyzja określa, których poleceń i funkcji należy użyć w zapytaniu.

  3. Zdecyduj, które elementy danych (pola, kolumny) mają pochodzić z wyników zapytania. Ta decyzja określa strukturę danych wyjściowych zapytania.

    Ważna

    Upewnij się, że zapytanie zwraca kolumnę TimeGenerated , ponieważ reguły zaplanowanej analizy używają jej jako odwołania do okresu wyszukiwania wstecznego. Oznacza to, że reguła ocenia tylko rekordy, w TimeGenerated których wartość mieści się w określonym oknie odnośnika.

  4. Skompiluj i przetestuj zapytania na ekranie Dzienniki . Gdy będziesz zadowolony, zapisz zapytanie do użycia w regule.

Więcej informacji można znaleźć w następujących artykułach:

Tworzenie reguły analizy

W tej sekcji opisano sposób tworzenia reguły przy użyciu portali Azure lub Defender.

Wprowadzenie do tworzenia reguły zaplanowanego zapytania

Aby rozpocząć, przejdź do strony Analiza w Microsoft Sentinel, aby utworzyć regułę zaplanowanej analizy.

  1. W przypadku Microsoft Sentinel w portalu usługi Defender wybierz pozycję Microsoft Sentinel>Konfiguracja Analytics>. W Microsoft Sentinel w Azure Portal w obszarze Konfiguracja wybierz pozycję Analiza.

  2. Wybierz pozycję +Utwórz i wybierz pozycję Reguła zaplanowanego zapytania.

Nadaj regułze nazwę i zdefiniuj informacje ogólne

W Azure Portal etapy są wyświetlane jako karty. W portalu usługi Defender są one wyświetlane jako punkty kontrolne na osi czasu.

  1. Wprowadź następujące informacje dotyczące reguły.

    Pole Opis
    Nazwa Unikatowa nazwa reguły. To pole obsługuje tylko zwykły tekst. Wszystkie adresy URL zawarte w nazwie powinny być zgodne z formatem kodowania procentowego , aby były wyświetlane prawidłowo.
    Opis Dowolny tekst opis reguły.
    Jeśli Microsoft Sentinel jest dołączony do portalu usługi Defender, to pole obsługuje tylko zwykły tekst. Wszystkie adresy URL zawarte w opisie powinny być zgodne z formatem kodowania procentowego, aby były wyświetlane prawidłowo.
    Ważności Dopasuj wpływ działania wyzwalającego regułę na środowisko docelowe, jeśli reguła jest prawdziwie dodatnia.

    Informacje: Brak wpływu na system, ale informacje mogą wskazywać na przyszłe kroki planowane przez aktora zagrożeń.
    Niski: bezpośredni wpływ jest minimalny. Aktor zagrożeń prawdopodobnie będzie musiał wykonać wiele kroków przed uzyskaniem wpływu na środowisko.
    Średni: aktor zagrożeń może mieć pewien wpływ na środowisko z tym działaniem, ale będzie on ograniczony zakresem lub wymaga dodatkowej aktywności.
    Wysoki: Zidentyfikowane działanie zapewnia aktorowi zagrożeń szeroki dostęp do prowadzenia akcji w środowisku lub jest wyzwalane przez wpływ na środowisko.
    MITRE ATT&CK Wybierz te działania dotyczące zagrożeń, które mają zastosowanie do twojej reguły. Wybierz spośród taktyk i technik mitre att&CK przedstawionych na liście rozwijanej. Możesz dokonać wielu wyborów.

    Aby uzyskać więcej informacji na temat maksymalizacji zasięgu rozwiązania MITRE ATT&krajobrazu zagrożeń CK, zobacz Omówienie pokrycia zabezpieczeń przez platformę MITRE ATT&CK®.
    Stan Włączone: reguła jest uruchamiana natychmiast po utworzeniu lub w określonym dniu i godzinie, w którą chcesz ją zaplanować (obecnie w wersji zapoznawczej).
    Wyłączone: reguła jest tworzona, ale nie jest uruchamiana. Włącz ją później na karcie Aktywne reguły , gdy będzie ona potrzebna.

  2. Wybierz pozycję Dalej: Ustaw logikę reguły.

Definiowanie logiki reguły

Następnym krokiem jest ustawienie logiki reguły, która obejmuje dodanie utworzonego zapytania Kusto.

  1. Wprowadź konfigurację rozszerzenia zapytania reguły i alertu.

    Ustawienie Opis
    Zapytanie reguły Wklej zapytanie, które zostało zaprojektowane, skompilowane i przetestowane w oknie zapytania Reguła . Każda zmiana w tym oknie jest natychmiast weryfikowana, więc jeśli wystąpią jakieś błędy, tuż pod oknem zostanie wyświetlone wskazanie.
    Mapowanie jednostek Rozwiń węzeł Mapowanie jednostek i zdefiniuj maksymalnie 10 typów jednostek rozpoznawanych przez Microsoft Sentinel na polach w wynikach zapytania. To mapowanie integruje zidentyfikowane jednostki z polem Jednostki w schemacie alertu.

    Aby uzyskać pełne instrukcje dotyczące mapowania jednostek, zobacz Mapowanie pól danych na jednostki w Microsoft Sentinel.
    Szczegóły niestandardowe powierzchni w alertach Rozwiń węzeł Szczegóły niestandardowe i zdefiniuj wszystkie pola w wynikach zapytania, które chcesz wyświetlić w alertach jako szczegóły niestandardowe. Te pola są również wyświetlane w przypadku wszystkich zdarzeń, które również są wynikiem.

    Aby uzyskać pełne instrukcje dotyczące uzyskiwania szczegółowych informacji niestandardowych, zobacz Szczegóły zdarzenia niestandardowego urządzenia Surface w alertach w Microsoft Sentinel.
    Dostosowywanie szczegółów alertu Rozwiń węzeł Szczegóły alertu i dostosuj właściwości alertów innych niż standardowe zgodnie z zawartością różnych pól w poszczególnych alertach. Na przykład dostosuj nazwę lub opis alertu, aby uwzględnić nazwę użytkownika lub adres IP polecany w alercie.

    Aby uzyskać pełne instrukcje dotyczące dostosowywania szczegółów alertów, zobacz Dostosowywanie szczegółów alertów w Microsoft Sentinel.

  2. Planowanie i określanie zakresu zapytania. Ustaw następujące parametry w sekcji Planowanie zapytań :

    Ustawienie Opis/opcje
    Uruchamiaj zapytanie co Steruje interwałem zapytań: jak często jest uruchamiane zapytanie.
    Dozwolony zakres: od 5 minut do 14 dni.
    Wyszukiwanie danych z ostatniego Określa okres wyszukiwania wstecz: okres objęty zapytaniem.
    Dozwolony zakres: od 5 minut do 14 dni.
    Musi być dłuższa lub równa interwałowi zapytania.
    Rozpocznij uruchamianie Automatycznie: reguła jest uruchamiana po raz pierwszy natychmiast po utworzeniu, a następnie w interwale zapytania.
    O określonej godzinie (wersja zapoznawcza): ustaw datę i godzinę pierwszego uruchomienia reguły, po której jest uruchamiana w interwale zapytania.
    Dozwolony zakres: od 10 minut do 30 dni po czasie tworzenia reguły (lub włączenia).

  3. Ustaw próg tworzenia alertów.

    Użyj sekcji Próg alertu , aby zdefiniować poziom poufności reguły. Na przykład ustaw minimalny próg 100:

    Ustawienie Opis
    Generowanie alertu, gdy liczba wyników zapytania Jest większa niż
    Liczba zdarzeń 100

    Jeśli nie chcesz ustawiać progu, wprowadź 0 wartość w polu liczba.

  4. Ustaw ustawienia grupowania zdarzeń.

    W obszarze Grupowanie zdarzeń wybierz jeden z dwóch sposobów obsługi grupowania zdarzeń w alerty:

    Ustawienie Zachowanie
    Grupowanie wszystkich zdarzeń w pojedynczy alert
    (wartość domyślna)    		 Reguła generuje pojedynczy alert za każdym razem, gdy jest uruchamiany, o ile zapytanie zwraca więcej wyników niż określony próg alertu powyżej. Ten pojedynczy alert zawiera podsumowanie wszystkich zdarzeń zwróconych w wynikach zapytania.
    Wyzwalanie alertu dla każdego zdarzenia Reguła generuje unikatowy alert dla każdego zdarzenia zwróconego przez zapytanie. Ta opcja jest przydatna, jeśli chcesz, aby zdarzenia były wyświetlane indywidualnie lub jeśli chcesz grupować je według określonych parametrów — według użytkownika, nazwy hosta lub innego. Te parametry można zdefiniować w zapytaniu.

  5. Tymczasowo pomiń regułę po wygenerowaniu alertu.

    Aby pominąć regułę poza następnym czasem wykonywania, jeśli zostanie wygenerowany alert, włącz ustawienie Zatrzymaj uruchamianie zapytania po wygenerowaniu alertuWłączone. Jeśli to włączysz, ustaw ustawienie Zatrzymaj uruchamianie zapytania na czas, przez który zapytanie powinno przestać działać, do 24 godzin.

  6. Symuluj wyniki ustawień zapytania i logiki.

    W obszarze Symulacja wyników wybierz pozycję Testuj z bieżącymi danymi , aby zobaczyć, jak wyglądałyby wyniki reguły, gdyby były uruchomione na bieżących danych. Microsoft Sentinel symuluje uruchamianie reguły 50 razy na bieżących danych przy użyciu zdefiniowanego harmonogramu i przedstawia wykres wyników (zdarzeń dziennika). Jeśli zmodyfikujesz zapytanie, wybierz ponownie pozycję Testuj z bieżącymi danymi , aby zaktualizować graf. Wykres przedstawia liczbę wyników w okresie zdefiniowanym przez ustawienia w sekcji Planowanie zapytań .

  7. Wybierz pozycję Dalej: Ustawienia zdarzenia.

Konfigurowanie ustawień tworzenia zdarzenia

Na karcie Ustawienia zdarzenia wybierz, czy Microsoft Sentinel przekształca alerty w zdarzenia z możliwością działania oraz czy i jak alerty są grupowane razem w zdarzeniach.

  1. Włącz tworzenie zdarzeń.

    W sekcji Ustawienia incydentu ustawienie Utwórz zdarzenia na podstawie alertów wyzwalanych przez tę regułę analizy jest domyślnie ustawione na wartość Włączone, co oznacza, że Microsoft Sentinel tworzy pojedyncze, oddzielne zdarzenie od każdego alertu wyzwalanego przez regułę.

    • Jeśli nie chcesz, aby ta reguła tworzyła zdarzenia (na przykład jeśli ta reguła służy tylko do zbierania informacji do późniejszej analizy), ustaw tę opcję na Wyłączone.

      Ważna

      Jeśli dołączono Microsoft Sentinel do portalu Microsoft Defender, pozostaw to ustawienie Włączone.

      • W tym scenariuszu Microsoft Defender XDR tworzy zdarzenia, a nie Microsoft Sentinel.
      • Te zdarzenia są wyświetlane w kolejce zdarzeń zarówno w portalach Azure, jak i Defender.
      • W Azure Portal nowe zdarzenia są wyświetlane z nazwą dostawcy zdarzenia "Microsoft XDR".

    • Jeśli chcesz utworzyć pojedyncze zdarzenie na podstawie grupy alertów, zamiast jednego dla każdego pojedynczego alertu, zobacz następny krok.

  2. Ustaw ustawienia grupowania alertów.

    W sekcji Grupowanie alertów , jeśli chcesz wygenerować pojedyncze zdarzenie z grupy do 150 podobnych lub cyklicznych alertów (zobacz uwaga), ustaw alerty związane z grupą wyzwalane przez tę regułę analizy na wartość Włączone i ustaw następujące parametry.

    1. Ogranicz grupę do alertów utworzonych w wybranym przedziale czasu: ustaw przedział czasu, w którym podobne lub cykliczne alerty są grupowane razem. Alerty spoza tego przedziału czasu generują oddzielne zdarzenie lub zestaw zdarzeń.

    2. Grupuj alerty wyzwalane przez tę regułę analizy w pojedynczym zdarzeniu według: Wybierz sposób grupowania alertów:

      Opcja Opis
      Grupowanie alertów w pojedyncze zdarzenie, jeśli wszystkie jednostki są zgodne Alerty są grupowane razem, jeśli współużytkują identyczne wartości dla każdej z zamapowanych jednostek (zdefiniowanych na karcie Ustaw logikę reguły powyżej). Jest to zalecane ustawienie.
      Zgrupuj wszystkie alerty wyzwalane przez tę regułę w jeden incydent Wszystkie alerty wygenerowane przez tę regułę są grupowane razem, nawet jeśli nie mają identycznych wartości.
      Grupowanie alertów w pojedyncze zdarzenie, jeśli wybrane jednostki i szczegóły są zgodne Alerty są grupowane razem, jeśli mają identyczne wartości dla wszystkich zamapowanych jednostek, szczegółów alertów i niestandardowych szczegółów wybranych z odpowiednich list rozwijanych.

    3. Otwórz ponownie zamknięte pasujące zdarzenia: jeśli zdarzenie zostało rozwiązane i zamknięte, a później zostanie wygenerowany inny alert, który powinien należeć do tego zdarzenia, ustaw to ustawienie na Wartość Włączone , jeśli chcesz, aby zamknięte zdarzenie zostało ponownie otwarte, i pozostaw wartość Wyłączone , jeśli chcesz, aby alert utworzył nowe zdarzenie.

      Ta opcja nie jest dostępna, gdy Microsoft Sentinel jest dołączany do portalu Microsoft Defender.

    Ważna

    Jeśli dołączono Microsoft Sentinel do portalu Microsoft Defender, ustawienia grupowania alertów będą obowiązywać dopiero po utworzeniu zdarzenia.

    Ponieważ aparat korelacji portalu usługi Defender jest odpowiedzialny za korelację alertów w tym scenariuszu, akceptuje te ustawienia jako początkowe instrukcje, ale może również podejmować decyzje dotyczące korelacji alertów, które nie uwzględniają tych ustawień.

    W związku z tym sposób grupowania alertów w zdarzenia może często różnić się od oczekiwanego na podstawie tych ustawień.

    Uwaga

    Maksymalnie 150 alertów można pogrupować w pojedyncze zdarzenie.

    • Zdarzenie jest tworzone dopiero po wygenerowaniu wszystkich alertów. Wszystkie alerty są dodawane do zdarzenia natychmiast po jego utworzeniu.

    • Jeśli reguła zgrupuje więcej niż 150 alertów w pojedynczym zdarzeniu, zostanie wygenerowane nowe zdarzenie z tymi samymi szczegółami zdarzenia co oryginalne, a nadmiar alertów zostanie pogrupowany w nowe zdarzenie.

  3. Wybierz pozycję Dalej: Automatyczna odpowiedź.

Przeglądanie lub dodawanie automatycznych odpowiedzi

  1. Na karcie Zautomatyzowane odpowiedzi zobacz reguły automatyzacji wyświetlane na liście. Jeśli chcesz dodać odpowiedzi, które nie są jeszcze objęte istniejącymi regułami, masz dwie opcje:

    • Edytuj istniejącą regułę, jeśli chcesz, aby dodana odpowiedź miała zastosowanie do wielu lub wszystkich reguł.
    • Wybierz pozycję Dodaj nową , aby utworzyć nową regułę automatyzacji , która ma zastosowanie tylko do tej reguły analizy.

    Aby dowiedzieć się więcej o tym, do czego można używać reguł automatyzacji, zobacz Automatyzowanie reagowania na zagrożenia w Microsoft Sentinel za pomocą reguł automatyzacji.

    • W obszarze Automatyzacja alertów (klasyczna) w dolnej części ekranu zobaczysz wszystkie podręczniki skonfigurowane do automatycznego uruchamiania po wygenerowaniu alertu przy użyciu starej metody.

      • Od czerwca 2023 r. nie można dodawać podręczników do tej listy. Podręczniki już wymienione w tym miejscu będą nadal działać do momentu wycofania tej metody z marca 2026 r.

      • Jeśli nadal masz jakieś podręczniki wymienione tutaj, utwórz regułę automatyzacji na podstawie wyzwalacza utworzonego alertu i wywołaj podręcznik z reguły automatyzacji. Po ukończeniu tego kroku wybierz wielokropek na końcu wiersza podręcznika wymienionego tutaj, a następnie wybierz pozycję Usuń. Aby uzyskać pełne instrukcje, zobacz Migrowanie Microsoft Sentinel podręczników wyzwalacza alertów do reguł automatyzacji.

  2. Wybierz pozycję Dalej: Przejrzyj i utwórz , aby przejrzeć wszystkie ustawienia nowej reguły analizy.

Weryfikowanie konfiguracji i tworzenie reguły

  1. Po wyświetleniu komunikatu "Weryfikacja przekazana" wybierz pozycję Utwórz.

  2. Jeśli zamiast tego pojawi się błąd, znajdź i wybierz czerwony znak X na karcie w kreatorze, w którym wystąpił błąd.

  3. Popraw błąd i wróć do karty Przeglądanie i tworzenie , aby ponownie uruchomić walidację.

Wyświetlanie reguły i jej danych wyjściowych

Wyświetlanie definicji reguły

Nowo utworzoną regułę niestandardową (typu "Zaplanowane") można znaleźć w tabeli na karcie Aktywne reguły na głównym ekranie analizy . Z tej listy można włączyć, wyłączyć lub usunąć każdą regułę.

Wyświetlanie wyników reguły

Aby wyświetlić wyniki reguł analizy utworzonych w portalu usługi Defender, rozwiń węzeł Badanie & odpowiedzi w menu nawigacji, a następnie Zdarzenia & alerty. Wyświetl zdarzenia na stronie Zdarzenia , gdzie można klasyfikować zdarzenia, badać je i korygować zagrożenia. Wyświetl poszczególne alerty na stronie Alerty .

Zrzut ekranu przedstawiający stronę zdarzeń w Azure Portal.

Dostrajanie reguły

Uwaga

Alerty generowane w Microsoft Sentinel są dostępne za pośrednictwem usługi Microsoft Graph Security. Aby uzyskać więcej informacji, zobacz dokumentację alertów zabezpieczeń programu Microsoft Graph.

Eksportowanie reguły do szablonu usługi ARM

Jeśli chcesz spakować regułę, która ma być zarządzana i wdrażana jako kod, możesz łatwo wyeksportować regułę do szablonu Azure Resource Manager (ARM). Można również importować reguły z plików szablonów, aby wyświetlać i edytować je w interfejsie użytkownika.

Następne kroki

W przypadku używania reguł analizy do wykrywania zagrożeń ze strony Microsoft Sentinel należy włączyć wszystkie reguły skojarzone z połączonymi źródłami danych w celu zapewnienia pełnego pokrycia zabezpieczeń środowiska.

Aby zautomatyzować włączanie reguł, wypychanie reguł do Microsoft Sentinel za pośrednictwem interfejsu API i programu PowerShell, mimo że wymaga to dodatkowego nakładu pracy. W przypadku korzystania z interfejsu API lub programu PowerShell należy najpierw wyeksportować reguły do formatu JSON przed włączeniem reguł. Interfejs API lub program PowerShell mogą być przydatne podczas włączania reguł w wielu wystąpieniach Microsoft Sentinel z identycznymi ustawieniami w każdym wystąpieniu.

Więcej informacji można znaleźć w następujących artykułach:

Dowiedz się również na podstawie przykładu używania niestandardowych reguł analizy podczas monitorowania powiększenia za pomocą łącznika niestandardowego.

  • Last updated on