Samouczek: wykrywanie zagrożeń przy użyciu reguł analizy w usłudze Microsoft Sentinel

  • Artykuł

Jako usługa zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM, Security Information and Event Management) usługa Microsoft Sentinel jest odpowiedzialna za wykrywanie zagrożeń bezpieczeństwa w organizacji. Robi to, analizując ogromne ilości danych generowanych przez wszystkie dzienniki systemów.

W tym samouczku dowiesz się, jak skonfigurować regułę analizy usługi Microsoft Sentinel z szablonu w celu wyszukiwania luk w zabezpieczeniach apache Log4j w środowisku. Reguła będzie oprawiać konta użytkowników i adresy IP znalezione w dziennikach jako jednostki do śledzenia, uwidoczną informacje w alertach generowanych przez reguły i alerty pakietu jako zdarzenia do zbadania.

Po ukończeniu tego samouczka będziesz mieć następujące możliwości:

  • Tworzenie reguły analizy na podstawie szablonu
  • Dostosowywanie zapytania i ustawień reguły
  • Konfigurowanie trzech typów wzbogacania alertów
  • Wybieranie automatycznych odpowiedzi na zagrożenia dla reguł

Wymagania wstępne

Aby ukończyć kroki tego samouczka, upewnij się, że dysponujesz następującymi elementami:

  • Subskrypcja Azure. Utwórz bezpłatne konto, jeśli jeszcze go nie masz.

  • Obszar roboczy usługi Log Analytics z wdrożonym rozwiązaniem usługi Microsoft Sentinel i pozyskiwanym do niego danymi.

  • Użytkownik platformy Azure z rolą Współautor usługi Microsoft Sentinel przypisany w obszarze roboczym usługi Log Analytics, w którym wdrożono usługę Microsoft Sentinel.

  • W tej regule odwołuje się następujące źródła danych. Większa liczba wdrożonych łączników, tym bardziej efektywna będzie reguła. Musisz mieć co najmniej jeden.

    Źródło danych Tabele usługi Log Analytics, do których odwołuje się odwołanie
    Office 365 OfficeActivity (SharePoint)
    OfficeActivity (Exchange)
    OfficeActivity (Teams)
    DNS DnsEvents
    Azure Monitor (Szczegółowe informacje maszyny wirtualnej) Maszyna wirtualna Połączenie ion
    Cisco ASA CommonSecurityLog (Cisco)
    Palo Alto Networks (Zapora) CommonSecurityLog (PaloAlto)
    Zdarzenia zabezpieczeń SecurityEvents
    Tożsamość Microsoft Entra SigninLogs
    AADNonInteractiveUserSignInLogs
    Azure Monitor (WireData) WireData
    Azure Monitor (IIS) W3CIISLog
    Działanie platformy Azure AzureActivity
    Amazon Web Services AWSCloudTrail
    Microsoft Defender XDR DeviceNetworkEvents
    Azure Firewall AzureDiagnostics (Azure Firewall)

Zaloguj się do witryny Azure Portal i usługi Microsoft Sentinel

  1. Zaloguj się w witrynie Azure Portal.

  2. Na pasku wyszukiwania wyszukaj i wybierz pozycję Microsoft Sentinel.

  3. Wyszukaj i wybierz swój obszar roboczy z listy dostępnych obszarów roboczych usługi Microsoft Sentinel.

Instalowanie rozwiązania z centrum zawartości

  1. W usłudze Microsoft Sentinel w menu po lewej stronie w obszarze Zarządzanie zawartością wybierz pozycję Centrum zawartości.

  2. Wyszukaj i wybierz rozwiązanie Log4j Vulnerability Detection (Wykrywanie luk w zabezpieczeniach Log4j).

  3. Na pasku narzędzi w górnej części strony wybierz pozycję Zainstaluj/Aktualizuj.

Tworzenie reguły zaplanowanej analizy na podstawie szablonu

  1. W usłudze Microsoft Sentinel w menu po lewej stronie w obszarze Konfiguracja wybierz pozycję Analiza.

  2. Na stronie Analiza wybierz kartę Szablony reguł.

  3. W polu wyszukiwania w górnej części listy szablonów reguł wprowadź ciąg log4j.

  4. Z filtrowanej listy szablonów wybierz pozycję Luka w zabezpieczeniach log4j wykorzystująca lukę w zabezpieczeniach log4Shell IOC. W okienku szczegółów wybierz pozycję Utwórz regułę.

    Screenshot showing how to search for and locate template and create analytics rule.

    Zostanie otwarty kreator reguł analizy.

  5. Na karcie Ogólne w polu Nazwa wprowadź lukę w zabezpieczeniach log4j wykorzystującą lukę w zabezpieczeniach o nazwie IOC ip programu Log4Shell — Tutorial-1.

  6. Pozostaw pozostałe pola na tej stronie tak, jak są. Są to wartości domyślne, ale dodamy dostosowanie do nazwy alertu na późniejszym etapie.

    Jeśli nie chcesz, aby reguła była uruchamiana natychmiast, wybierz pozycję Wyłączone, a reguła zostanie dodana do karty Aktywne reguły i możesz ją włączyć z tego miejsca, gdy będzie potrzebna.

  7. Wybierz pozycję Dalej: Ustaw logikę reguły. Screenshot of the General tab of the Analytics rule wizard.

Przejrzyj logikę zapytań reguł i konfigurację ustawień

  • Na karcie Ustaw logikę reguły przejrzyj zapytanie, gdy jest ono wyświetlane w nagłówku Zapytanie reguły.

    Aby wyświetlić więcej tekstu zapytania jednocześnie, wybierz ukośną podwójną strzałkę w prawym górnym rogu okna zapytania, aby rozwinąć okno do większego rozmiaru.

    Screenshot of the Set rule logic tab of the Analytics rule wizard.

Wzbogacanie alertów za pomocą jednostek i innych szczegółów

  1. W obszarze Wzbogacanie alertów zachowaj ustawienia mapowania jednostek, tak jak są. Zanotuj trzy zamapowane jednostki.

    Screenshot of existing entity mapping settings.

  2. W sekcji Szczegóły niestandardowe dodajmy znacznik czasu każdego wystąpienia do alertu, aby zobaczyć go bezpośrednio w szczegółach alertu bez konieczności przechodzenia do szczegółów alertu.

    1. Wpisz znacznik czasu w polu Klucz . Będzie to nazwa właściwości w alercie.
    2. Wybierz znacznik czasu z listy rozwijanej Wartość .

  3. W sekcji Szczegóły alertu dostosujmy nazwę alertu, aby sygnatura czasowa każdego wystąpienia pojawiała się w tytule alertu.

    W polu Format nazwy alertu wprowadź lukę w zabezpieczeniach log4j wykorzystującą lukę w zabezpieczeniach o nazwie IOC protokołu Log4Shell w lokalizacji {{timestamp}}.

    Screenshot of custom details and alert details configurations.

Przejrzyj pozostałe ustawienia

  1. Przejrzyj pozostałe ustawienia na karcie Ustawianie logiki reguły. Nie trzeba nic zmieniać, ale jeśli na przykład chcesz zmienić interwał. Upewnij się, że okres wyszukiwania jest zgodny z interwałem w celu zachowania ciągłego pokrycia.

    • Planowanie zapytań:

      • Uruchom zapytanie co 1 godzinę.
      • Wyszukiwanie danych z ostatnich 1 godziny.

    • Próg alertu:

      • Wygeneruj alert, gdy liczba wyników zapytania jest większa niż 0.

    • Grupowanie zdarzeń:

      • Skonfiguruj sposób grupowania wyników zapytania reguły w alerty: grupuj wszystkie zdarzenia w jeden alert.

    • Tłumienia:

      • Zatrzymaj uruchamianie zapytania po wygenerowaniu alertu: wyłączone.

    Screenshot of remaining rule logic settings for analytics rule.

  2. Wybierz pozycję Dalej: Ustawienia zdarzenia.

Przeglądanie ustawień tworzenia zdarzeń

  1. Przejrzyj ustawienia na karcie Ustawienia zdarzenia. Nie trzeba nic zmieniać, chyba że na przykład masz inny system do tworzenia zdarzeń i zarządzania nimi, w tym przypadku chcesz wyłączyć tworzenie zdarzeń.

    • Ustawienia zdarzenia:

      • Utwórz zdarzenia na podstawie alertów wyzwalanych przez tę regułę analizy: włączone.

    • Grupowanie alertów:

      • Alerty powiązane z grupą, wyzwalane przez tę regułę analizy, do zdarzeń: wyłączone.

    Screenshot of the Incident settings tab of the Analytics rule wizard.

  2. Wybierz pozycję Dalej: Automatyczna odpowiedź.

Ustawianie automatycznych odpowiedzi i tworzenie reguły

Na karcie Automatyczna odpowiedź :

  1. Wybierz pozycję + Dodaj nową , aby utworzyć nową regułę automatyzacji dla tej reguły analizy. Spowoduje to otwarcie kreatora Tworzenie nowej reguły automatyzacji.

    Screenshot of Automated response tab in Analytics rule wizard.

  2. W polu Nazwa reguły automatyzacji wprowadź ciąg Wykrywanie luk w zabezpieczeniach Log4J — Tutorial-1.

  3. Pozostaw sekcje Wyzwalacz i Warunki , tak jak są.

  4. W obszarze Akcje wybierz pozycję Dodaj tagi z listy rozwijanej.

    1. Wybierz pozycję + Dodaj tag.
    2. Wprowadź ciąg Log4J exploit w polu tekstowym i wybierz przycisk OK.

  5. Pozostaw sekcje Wygaśnięcie reguły i Kolejność , tak jak są.

  6. Wybierz Zastosuj. Nowa reguła automatyzacji zostanie wkrótce wyświetlona na liście na karcie Automatyczna odpowiedź .

  7. Wybierz pozycję Dalej: Przejrzyj , aby przejrzeć wszystkie ustawienia nowej reguły analizy. Po wyświetleniu komunikatu "Weryfikacja przekazana" wybierz pozycję Utwórz. Jeśli reguła nie zostanie ustawiona na Wyłączone na karcie Ogólne powyżej, reguła zostanie uruchomiona natychmiast.

    Wybierz poniższy obraz, aby wyświetlić pełną recenzję (większość tekstu zapytania została obcięta w celu wyświetlenia).

    Screenshot of the Review and Create tab of the Analytics rule wizard.

Weryfikowanie powodzenia reguły

  1. Aby wyświetlić wyniki utworzonych reguł alertów, przejdź do strony Incydenty .

  2. Aby przefiltrować listę zdarzeń do zdarzeń wygenerowanych przez regułę analizy, wprowadź nazwę (lub część nazwy) reguły analizy utworzonej na pasku wyszukiwania .

  3. Otwórz zdarzenie, którego tytuł odpowiada nazwie reguły analizy. Sprawdź, czy flaga zdefiniowana w regule automatyzacji została zastosowana do zdarzenia.

Czyszczenie zasobów

Jeśli nie zamierzasz nadal używać tej reguły analizy, usuń (lub przynajmniej wyłącz) utworzone reguły analizy i automatyzacji, wykonując następujące czynności:

  1. Na stronie Analiza wybierz kartę Aktywne reguły.

  2. Wprowadź nazwę (lub część nazwy) reguły analizy utworzonej na pasku wyszukiwania .
    (Jeśli nie jest wyświetlany, upewnij się, że wszystkie filtry są ustawione na Wybierz wszystko.

  3. Zaznacz pole wyboru obok reguły na liście, a następnie wybierz pozycję Usuń z górnego baneru.
    (Jeśli nie chcesz go usunąć, możesz wybrać opcję Wyłącz zamiast tego).

  4. Na stronie Automatyzacja wybierz kartę Reguły automatyzacji.

  5. Wprowadź nazwę (lub część nazwy) reguły automatyzacji utworzonej na pasku wyszukiwania .
    (Jeśli nie jest wyświetlany, upewnij się, że wszystkie filtry są ustawione na Wybierz wszystko.

  6. Zaznacz pole wyboru obok reguły automatyzacji na liście, a następnie wybierz pozycję Usuń z górnego baneru.
    (Jeśli nie chcesz go usunąć, możesz wybrać opcję Wyłącz zamiast tego).

Następne kroki

Teraz, gdy wiesz już, jak wyszukiwać luki w zabezpieczeniach przy użyciu reguł analizy, dowiedz się więcej o tym, co możesz zrobić z analizą w usłudze Microsoft Sentinel: