Wykrywanie zagrożeń w Microsoft Sentinel

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Ważna

Wykrywanie niestandardowe jest teraz najlepszym sposobem tworzenia nowych reguł w Microsoft Sentinel Microsoft Defender XDR SIEM. Dzięki wykrywaniu niestandardowemu można zmniejszyć koszty pozyskiwania, uzyskać nieograniczoną liczbę wykrywania w czasie rzeczywistym i korzystać z bezproblemowej integracji z Defender XDR danych, funkcji i akcji korygowania z automatycznym mapowaniem jednostek. Aby uzyskać więcej informacji, przeczytaj ten blog.

Po skonfigurowaniu Microsoft Sentinel do zbierania danych z całej organizacji należy stale przeglądać wszystkie te dane, aby wykrywać zagrożenia bezpieczeństwa środowiska. Aby wykonać to zadanie, Microsoft Sentinel udostępnia reguły wykrywania zagrożeń, które są regularnie uruchamiane, odpytywanie zebranych danych i analizowanie ich w celu wykrycia zagrożeń. Reguły te mają kilka różnych smaków i są wspólnie nazywane regułami analizy.

Te reguły generują alerty , gdy znajdą to, czego szukają. Alerty zawierają informacje o wykrytych zdarzeniach, takie jak jednostki (użytkownicy, urządzenia, adresy i inne elementy). Alerty są agregowane i skorelowane ze zdarzeniami — plikami spraw — które można przypisać i zbadać , aby poznać pełny zakres wykrytego zagrożenia i odpowiednio zareagować. Można również tworzyć wstępnie określone, zautomatyzowane odpowiedzi do własnej konfiguracji reguł.

Te reguły można tworzyć od podstaw przy użyciu wbudowanego kreatora reguł analizy. Firma Microsoft zdecydowanie zachęca jednak do korzystania z szerokiej gamy szablonów reguł analizy dostępnych za pośrednictwem wielu rozwiązań dla Microsoft Sentinel udostępnianych w centrum zawartości. Te szablony są wstępnie utworzonymi prototypami reguł zaprojektowanymi przez zespoły ekspertów i analityków ds. zabezpieczeń na podstawie ich wiedzy na temat znanych zagrożeń, typowych wektorów ataków i łańcuchów eskalacji podejrzanych działań. Uaktywniasz reguły z tych szablonów, aby automatycznie wyszukiwać w środowisku wszelkie działania, które wyglądają podejrzanie. Wiele szablonów można dostosować do wyszukiwania określonych typów zdarzeń lub filtrowania ich zgodnie z potrzebami.

Ten artykuł pomaga zrozumieć, w jaki sposób Microsoft Sentinel wykrywa zagrożenia i co będzie dalej.

Ważna

Po 31 marca 2027 r. Microsoft Sentinel nie będą już obsługiwane w Azure Portal i będą dostępne tylko w portalu Microsoft Defender. Wszyscy klienci korzystający z Microsoft Sentinel w Azure Portal zostaną przekierowane do portalu usługi Defender i będą używać Microsoft Sentinel tylko w portalu usługi Defender.

Jeśli nadal używasz Microsoft Sentinel w Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia płynnego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez Microsoft Defender.

Typy reguł analizy

Możesz wyświetlić reguły analizy i szablony dostępne do użycia na stronie Analiza w menu Konfiguracja w Microsoft Sentinel. Aktualnie aktywne reguły są widoczne na jednej karcie, a szablony do tworzenia nowych reguł na innej karcie. Na trzeciej karcie są wyświetlane anomalie— specjalny typ reguły opisany w dalszej części tego artykułu.

Aby znaleźć więcej szablonów reguł niż jest obecnie wyświetlanych, przejdź do centrum zawartości w Microsoft Sentinel, aby zainstalować powiązane rozwiązania produktów lub zawartość autonomiczną. Szablony reguł analizy są dostępne w prawie każdym rozwiązaniu produktu w centrum zawartości.

Następujące typy reguł analizy i szablonów reguł są dostępne w Microsoft Sentinel:

Oprócz powyższych typów reguł istnieją inne wyspecjalizowane typy szablonów, które mogą tworzyć jedno wystąpienie reguły z ograniczonymi opcjami konfiguracji:

Reguły zaplanowane

Zdecydowanie najbardziej typowy typ reguły analizy , zaplanowane reguły są oparte na zapytaniach Kusto , które są skonfigurowane do uruchamiania w regularnych odstępach czasu i badania nieprzetworzonych danych ze zdefiniowanego okresu "lookback". Jeśli liczba wyników przechwyconych przez zapytanie przekroczy próg skonfigurowany w regule, reguła generuje alert.

Zapytania w szablonach reguł zaplanowanych zostały napisane przez ekspertów ds . zabezpieczeń i nauki o danych od firmy Microsoft lub od dostawcy rozwiązania dostarczającego szablon. Zapytania mogą wykonywać złożone operacje statystyczne na danych docelowych, ujawniając punkty odniesienia i wartości odstające w grupach zdarzeń.

Logika zapytania jest wyświetlana w konfiguracji reguły. Możesz użyć logiki zapytania oraz ustawień planowania i wyszukiwania wstecz zgodnie z definicją w szablonie lub dostosować je do tworzenia nowych reguł. Alternatywnie można utworzyć zupełnie nowe reguły od podstaw.

Dowiedz się więcej o regułach zaplanowanej analizy w Microsoft Sentinel.

Reguły niemal w czasie rzeczywistym (NRT)

Reguły NRT są ograniczonym podzestawem zaplanowanych reguł. Są one przeznaczone do uruchamiania raz na minutę, aby dostarczać informacje jak najbardziej aktualne.

Działają one głównie tak jak zaplanowane reguły i są skonfigurowane podobnie, z pewnymi ograniczeniami.

Dowiedz się więcej na temat szybkiego wykrywania zagrożeń przy użyciu reguł analizy niemal w czasie rzeczywistym (NRT) w Microsoft Sentinel.

Reguły anomalii

Reguły anomalii używają uczenia maszynowego do obserwowania określonych typów zachowań w danym okresie czasu w celu określenia punktu odniesienia. Każda reguła ma własne unikatowe parametry i progi, odpowiednie do analizowanego zachowania. Po zakończeniu okresu obserwacji zostanie ustawiony punkt odniesienia. Gdy reguła obserwuje zachowania przekraczające granice ustawione w punkcie odniesienia, oznacza to, że te wystąpienia są oznaczane jako nietypowe.

Nie można zmieniać ani dostrajać konfiguracji wbudowanych reguł, ale można zduplikować regułę, a następnie zmienić i dostosować duplikat. W takich przypadkach uruchom duplikat w trybie flighting i oryginalny jednocześnie w trybie produkcyjnym . Następnie porównaj wyniki i przełącz duplikat na Środowisko produkcyjne , jeśli i kiedy jego dostrajanie jest odpowiednie.

Anomalie niekoniecznie same wskazują na złośliwe, a nawet podejrzane zachowanie. W związku z tym reguły anomalii nie generują własnych alertów. Zamiast tego rejestrują wyniki analizy — wykryte anomalie — w tabeli Anomalie . Możesz wysłać zapytanie do tej tabeli, aby podać kontekst, który usprawnia wykrywanie, badania i wyszukiwanie zagrożeń.

Aby uzyskać więcej informacji, zobacz Use customizable anomalies to detect threats in Microsoft Sentinel and Work with anomaly detection analytics rules in Microsoft Sentinel (Używanie anomalii dostosowywalnych do wykrywania zagrożeń w Microsoft Sentinel i praca z regułami analizy wykrywania anomalii w Microsoft Sentinel).

Reguły zabezpieczeń firmy Microsoft

Reguły zaplanowane i NRT automatycznie tworzą zdarzenia dla generowanych alertów, ale alerty generowane w usługach zewnętrznych i pozyskiwane do Microsoft Sentinel nie tworzą własnych zdarzeń. Reguły zabezpieczeń firmy Microsoft automatycznie tworzą zdarzenia Microsoft Sentinel na podstawie alertów generowanych w innych rozwiązaniach zabezpieczeń firmy Microsoft w czasie rzeczywistym. Szablony zabezpieczeń firmy Microsoft umożliwiają tworzenie nowych reguł z podobną logiką.

Ważna

Reguły zabezpieczeń firmy Microsoft są niedostępne , jeśli masz następujące elementy:

W tych scenariuszach Microsoft Defender XDR zamiast tego tworzy zdarzenia.

Wszystkie zdefiniowane wcześniej reguły są automatycznie wyłączone.

Aby uzyskać więcej informacji na temat reguł tworzenia zdarzeń zabezpieczeń firmy Microsoft , zobacz Automatyczne tworzenie zdarzeń z alertów zabezpieczeń firmy Microsoft.

Analiza zagrożeń

Skorzystaj z analizy zagrożeń opracowanej przez firmę Microsoft, aby wygenerować alerty i zdarzenia o wysokiej wierności za pomocą reguły analizy zagrożeń firmy Microsoft . Ta unikatowa reguła nie jest dostosowywalna, ale po włączeniu automatycznie dopasowuje dzienniki common event format (CEF), dane dziennika systemu Windows lub zdarzenia DNS systemu Windows ze wskaźnikami zagrożeń domeny, adresu IP i adresu URL z usługi Microsoft Threat Intelligence. Niektóre wskaźniki zawierają więcej informacji kontekstowych za pośrednictwem rozwiązania MDTI (Microsoft Defender Threat Intelligence).

Aby uzyskać więcej informacji na temat włączania tej reguły, zobacz Używanie analizy dopasowania do wykrywania zagrożeń.
Aby uzyskać więcej informacji na temat mdti, zobacz Co to jest Microsoft Defender Threat Intelligence.

Zaawansowane wieloetapowe wykrywanie ataków (Fusion)

Microsoft Sentinel używa aparatu korelacji fusion ze skalowalnymi algorytmami uczenia maszynowego do wykrywania zaawansowanych ataków wieloetapowych przez skorelowanie wielu alertów i zdarzeń o niskiej wierności w wielu produktach w zdarzenia o wysokiej wierności i możliwości działania. Reguła zaawansowanego wykrywania ataków wieloetapowych jest domyślnie włączona. Ponieważ logika jest ukryta i dlatego nie można jej dostosowywać, może istnieć tylko jedna reguła z tym szablonem.

Aparat fusion może również korelować alerty generowane przez reguły zaplanowanej analizy z alertami z innych systemów, co powoduje zdarzenia o wysokiej wierności.

Ważna

Typ reguły zaawansowanego wieloetapowego wykrywania atakówjest niedostępny , jeśli masz:

W tych scenariuszach Microsoft Defender XDR zamiast tego tworzy zdarzenia.

Ponadto niektóre szablony wykrywania fuzji są obecnie w wersji ZAPOZNAWCZEJ (zobacz Zaawansowane wieloetapowe wykrywanie ataków w Microsoft Sentinel, aby zobaczyć, które z nich). Aby uzyskać dodatkowe warunki prawne dotyczące funkcji Azure w wersji beta, wersji zapoznawczej lub w inny sposób, które nie zostały jeszcze udostępnione do ogólnej dostępności, zobacz Dodatkowe warunki użytkowania usługi Microsoft Azure Preview.

Analiza zachowania uczenia maszynowego

Skorzystaj z zastrzeżonych algorytmów uczenia maszynowego firmy Microsoft, aby generować alerty o wysokiej wierności i zdarzenia z regułami analizy zachowań uczenia maszynowego . Te unikatowe reguły (obecnie w wersji zapoznawczej) nie można dostosowywać, ale po włączeniu wykrywają określone nietypowe zachowania logowania SSH i RDP na podstawie adresów IP, geolokalizacji i historii użytkowników.

Uprawnienia dostępu do reguł analizy

Podczas tworzenia reguły analizy token uprawnień dostępu jest stosowany do reguły i zapisywany wraz z nią. Ten token gwarantuje, że reguła może uzyskiwać dostęp do obszaru roboczego zawierającego dane odpytywane przez regułę i że ten dostęp jest utrzymywany nawet wtedy, gdy twórca reguły utraci dostęp do tego obszaru roboczego.

Istnieje jednak jeden wyjątek od tego dostępu: gdy reguła jest tworzona w celu uzyskania dostępu do obszarów roboczych w innych subskrypcjach lub dzierżawach, takich jak to, co dzieje się w przypadku dostawcy mssp, Microsoft Sentinel podejmuje dodatkowe środki bezpieczeństwa, aby zapobiec nieautoryzowanemu dostępowi do danych klientów. W przypadku tego rodzaju reguł poświadczenia użytkownika, który utworzył regułę, są stosowane do reguły zamiast do niezależnego tokenu dostępu, dzięki czemu gdy użytkownik nie ma już dostępu do innej subskrypcji lub dzierżawy, reguła przestaje działać.

Jeśli działasz Microsoft Sentinel w scenariuszu obejmującym wiele subskrypcji lub między dzierżawami, gdy jeden z analityków lub inżynierów utraci dostęp do określonego obszaru roboczego, wszelkie reguły utworzone przez tego użytkownika przestaną działać. W takiej sytuacji zostanie wyświetlony komunikat monitorowania kondycji dotyczący "niewystarczającego dostępu do zasobu", a reguła zostanie automatycznie wyłączona po pewnym błędzie.

Eksportowanie reguł do szablonu usługi ARM

Regułę można łatwo wyeksportować do szablonu usługi Azure Resource Manager (ARM), jeśli chcesz zarządzać regułami i wdrażać je jako kod. Można również importować reguły z plików szablonów, aby wyświetlać i edytować je w interfejsie użytkownika.

Następne kroki

  • Last updated on