Wykrywanie zagrożeń przy użyciu pasującej analizy

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Skorzystaj z analizy zagrożeń opracowanej przez firmę Microsoft, aby wygenerować alerty i zdarzenia o wysokiej wierności za pomocą reguły analizy zagrożeń w usłudze Microsoft Defender. Ta wbudowana reguła w usłudze Microsoft Sentinel jest zgodna ze wskaźnikami z dziennikami common event format (CEF), zdarzeniami DNS systemu Windows ze wskaźnikami zagrożeń domeny i IPv4, danymi dziennika systemowego i nie tylko.

Ważne

Analiza dopasowywania jest obecnie dostępna w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Wymagania wstępne

Aby można było tworzyć alerty i zdarzenia o wysokiej wierności, należy zainstalować co najmniej jeden z obsługiwanych łączników danych, ale licencja PREMIUM MDTI nie jest wymagana. Zainstaluj odpowiednie rozwiązania z centrum zawartości, aby połączyć te źródła danych.

  • Common Event Format (CEF)
  • DNS (Preview)
  • Dziennik systemu
  • Dzienniki aktywności pakietu Office
  • Dzienniki aktywności platformy Azure

Zrzut ekranu przedstawiający połączenia źródła danych reguł usługi Microsoft Defender Threat Intelligence Analytics.

Na przykład w zależności od źródła danych można użyć następujących rozwiązań i łączników danych.

Rozwiązanie Łącznik danych
Common Event Format solution for Sentinel Łącznik Common Event Format (CEF) dla usługi Microsoft Sentinel
Windows Server DNS Łącznik DNS dla usługi Microsoft Sentinel
Rozwiązanie syslog dla usługi Sentinel Łącznik syslog dla usługi Microsoft Sentinel
Rozwiązanie platformy Microsoft 365 dla usługi Sentinel Łącznik usługi Office 365 dla usługi Microsoft Sentinel
Rozwiązanie działania platformy Azure dla usługi Sentinel Łącznik aktywności platformy Azure dla usługi Microsoft Sentinel

Konfigurowanie zgodnej reguły analizy

Dopasowywanie analizy jest konfigurowane podczas włączania reguły analizy zagrożeń w usłudze Microsoft Defender.

  1. Kliknij menu Analiza w sekcji Konfiguracja.

  2. Wybierz kartę menu Szablony reguł.

  3. W oknie wyszukiwania wpisz analizę zagrożeń.

  4. Wybierz szablon reguły usługi Microsoft Defender Threat Intelligence Analytics.

  5. Kliknij pozycję Utwórz regułę. Szczegóły reguły są tylko do odczytu, a domyślny stan reguły jest włączony.

  6. Kliknij pozycję Przejrzyj>pozycję Utwórz.

Zrzut ekranu przedstawiający regułę usługi Microsoft Defender Threat Intelligence Analytics włączoną na karcie Aktywne reguły.

Źródła danych i wskaźniki

Usługa Microsoft Defender Threat Intelligence (MDTI) Analytics jest zgodna z dziennikami ze wskaźnikami domeny, adresu IP i adresu URL w następujący sposób:

  • Dzienniki cef pozyskane do tabeli Log Analytics CommonSecurityLog pasują do adresów URL i wskaźników domeny, jeśli zostały wypełnione w RequestURL polu, a wskaźniki IPv4 w DestinationIP polu.

  • Dzienniki DNS systemu Windows, w których zdarzenie SubType == "LookupQuery" pozyskane do tabeli DnsEvents jest zgodne ze wskaźnikami domeny wypełnionymi w Name polu, a wskaźniki IPv4 w IPAddresses polu.

  • Zdarzenia dziennika systemowego, w których Facility == "cron" pozyskane do tabeli Syslog są zgodne z domeną i wskaźnikami IPv4 bezpośrednio z SyslogMessage pola.

  • Dzienniki aktywności pakietu Office pozyskane do tabeli OfficeActivity są zgodne ze wskaźnikami IPv4 bezpośrednio z ClientIP pola.

  • Dzienniki aktywności platformy Azure pozyskane do tabeli AzureActivity są zgodne ze wskaźnikami IPv4 bezpośrednio z CallerIpAddress pola.

Klasyfikowanie zdarzenia wygenerowanego przez zgodną analizę

Jeśli analiza firmy Microsoft znajdzie dopasowanie, wszystkie wygenerowane alerty są pogrupowane w zdarzenia.

Wykonaj następujące kroki, aby sklasyfikować zdarzenia wygenerowane przez regułę analizy zagrożeń w usłudze Microsoft Defender:

  1. W obszarze roboczym usługi Microsoft Sentinel, w którym włączono regułę Analizy zagrożeń w usłudze Microsoft Defender, wybierz pozycję Incydenty i wyszukaj usługę Microsoft Defender Threat Intelligence Analytics.

    Wszystkie znalezione zdarzenia są wyświetlane w siatce.

  2. Wybierz pozycję Wyświetl pełne szczegóły , aby wyświetlić jednostki i inne szczegóły dotyczące zdarzenia, takie jak określone alerty.

    Na przykład:

    Zrzut ekranu przedstawiający zdarzenie wygenerowane przez dopasowanie analizy z okienkiem szczegółów.

  3. Obserwuj ważność przypisaną do alertów i zdarzenia. W zależności od dopasowania wskaźnika odpowiednia ważność jest przypisywana do alertu z Informational do .High Jeśli na przykład wskaźnik jest zgodny z dziennikami zapory, które zezwoliły na ruch, zostanie wygenerowany alert o wysokiej ważności. Jeśli ten sam wskaźnik został dopasowany do dzienników zapory, które zablokowały ruch, wygenerowany alert będzie niski lub średni.

    Alerty są następnie grupowane na podstawie wskaźnika. Na przykład wszystkie alerty generowane w 24-godzinnym okresie, który pasuje contoso.com do domeny, są pogrupowane w pojedyncze zdarzenie z przypisaną ważnością na podstawie najwyższej ważności alertu.

  4. Obserwuj szczegóły wskaźnika. Po znalezieniu dopasowania wskaźnik jest publikowany w tabeli Log Analytics ThreatIntelligenceIndicators i wyświetlany na stronie Analiza zagrożeń. W przypadku wszystkich wskaźników opublikowanych z tej reguły źródło jest definiowane jako analiza analizy zagrożeń w usłudze Microsoft Defender.

Na przykład w tabeli ThreatIntelligenceIndicators :

Zrzut ekranu przedstawiający tabelę ThreatIntelligenceIndicator w usłudze Log Analytics z wskaźnikiem SourceSystem usługi Microsoft Threat Intelligence Analytics.

Na stronie Analiza zagrożeń:

Zrzut ekranu przedstawiający przegląd analizy zagrożeń z wybranym wskaźnikiem pokazującym źródło jako usługę Microsoft Threat Intelligence Analytics.

Uzyskiwanie większego kontekstu z usługi Microsoft Defender Threat Intelligence

Oprócz alertów i zdarzeń o wysokiej wierności niektóre wskaźniki MDTI zawierają link do artykułu referencyjnego w portalu społeczności MDTI.

Zrzut ekranu przedstawiający incydent z linkiem do referencyjnego artykułu MDTI.

Aby uzyskać więcej informacji, zobacz portal MDTI i Co to jest usługa Microsoft Defender Threat Intelligence?

Powiązana zawartość

W tym artykule przedstawiono sposób łączenia analizy zagrożeń opracowanych przez firmę Microsoft w celu generowania alertów i zdarzeń. Aby uzyskać więcej informacji na temat analizy zagrożeń w usłudze Microsoft Sentinel, zobacz następujące artykuły: