Używanie wskaźników zagrożeń w regułach analizy
Włącz reguły analizy za pomocą wskaźników zagrożeń, aby automatycznie generować alerty na podstawie zintegrowanej analizy zagrożeń.
Wymagania wstępne
Wskaźniki zagrożeń. Mogą to być źródła danych analizy zagrożeń, platformy analizy zagrożeń, zbiorcze importowanie z pliku prostego lub ręczne wprowadzanie danych.
Źródła danych. Zdarzenia z łączników danych muszą być przesyłane do obszaru roboczego usługi Sentinel.
Reguła analizy formatu "MAPA TI..." które mogą mapować wskaźniki zagrożeń, które zostały pozyskane zdarzeń.
Konfigurowanie reguły w celu generowania alertów zabezpieczeń
Poniżej przedstawiono przykład włączania i konfigurowania reguły w celu generowania alertów zabezpieczeń przy użyciu wskaźników zagrożeń zaimportowanych do usługi Microsoft Sentinel. W tym przykładzie użyj szablonu reguły o nazwie JEDNOSTKA MAPOWANIA ADRESÓW IP ti do usługi AzureActivity. Ta reguła będzie zgodna z dowolnym wskaźnikiem zagrożenia typu adresu IP ze wszystkimi zdarzeniami aktywności platformy Azure. Po znalezieniu dopasowania alert zostanie wygenerowany wraz z odpowiednim zdarzeniem na potrzeby badania przez zespół ds. operacji zabezpieczeń. Ta konkretna reguła analizy wymaga łącznika danych aktywności platformy Azure (w celu zaimportowania zdarzeń na poziomie subskrypcji platformy Azure) oraz jednego lub obu łączników danych analizy zagrożeń (w celu zaimportowania wskaźników zagrożeń). Ta reguła również zostanie wyzwolony z zaimportowanych wskaźników lub ręcznie utworzonych.
W witrynie Azure Portal przejdź do usługi Microsoft Sentinel.
Wybierz obszar roboczy, do którego zaimportowaliśmy wskaźniki zagrożeń przy użyciu łączników danych analizy zagrożeń i danych aktywności platformy Azure przy użyciu łącznika danych aktywności platformy Azure.
Wybierz pozycję Analiza w sekcji Konfiguracja menu usługi Microsoft Sentinel.
Wybierz kartę Szablony reguł, aby wyświetlić listę dostępnych szablonów reguł analizy.
Znajdź regułę zatytułowaną Ti mapuj jednostkę IP na azureActivity i upewnij się, że połączono wszystkie wymagane źródła danych, jak pokazano poniżej.
Wybierz jednostkę mapowania TI na regułę AzureActivity , a następnie wybierz pozycję Utwórz regułę , aby otworzyć kreatora konfiguracji reguły. Skonfiguruj ustawienia w kreatorze, a następnie wybierz pozycję Dalej: Ustaw logikę >reguły.
Część logiki reguły kreatora została wstępnie wypełniona następującymi elementami:
Zapytanie, które będzie używane w regule.
Mapowania jednostek, które informują usługę Microsoft Sentinel, jak rozpoznawać jednostki, takie jak konta, adresy IP i adresy URL, dzięki czemu zdarzenia i badania rozumieją, jak pracować z danymi w alertach zabezpieczeń generowanych przez tę regułę.
Harmonogram uruchamiania tej reguły.
Liczba wyników zapytania wymaganych przed wygenerowaniem alertu zabezpieczeń.
Ustawienia domyślne w szablonie to:
Uruchamiany raz na godzinę.
Dopasuj wszystkie wskaźniki zagrożeń adresów IP z tabeli ThreatIntelligenceIndicator z dowolnym adresem IP znalezionym w ciągu ostatniej godziny zdarzeń z tabeli AzureActivity .
Wygeneruj alert zabezpieczeń, jeśli wyniki zapytania są większe niż zero, co oznacza, że istnieją dopasowania.
Reguła jest włączona.
Możesz pozostawić ustawienia domyślne lub zmienić je tak, aby spełniały wymagania, a ustawienia generowania zdarzeń można zdefiniować na karcie Ustawienia zdarzenia. Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowych reguł analizy w celu wykrywania zagrożeń. Po zakończeniu wybierz kartę Automatyczna odpowiedź .
Skonfiguruj dowolną automatyzację, którą chcesz wyzwolić po wygenerowaniu alertu zabezpieczeń na podstawie tej reguły analizy. Automatyzacja w usłudze Microsoft Sentinel jest wykonywana przy użyciu kombinacji reguł automatyzacji i podręczników obsługiwanych przez usługę Azure Logic Apps. Aby dowiedzieć się więcej, zobacz ten samouczek: używanie podręczników z regułami automatyzacji w usłudze Microsoft Sentinel. Po zakończeniu wybierz przycisk Dalej: Przejrzyj > , aby kontynuować.
Po wyświetleniu komunikatu informującego o tym, że weryfikacja reguły została zakończona, wybierz przycisk Utwórz i skończysz.
Przeglądanie reguł
Znajdź reguły włączone na karcie Aktywne reguły w sekcji Analiza usługi Microsoft Sentinel. Edytuj, włącz, wyłącz, zduplikuj lub usuń aktywną regułę. Nowa reguła jest uruchamiana natychmiast po aktywacji, a następnie jest uruchamiana zgodnie ze zdefiniowanym harmonogramem.
Zgodnie z ustawieniami domyślnymi za każdym razem, gdy reguła jest uruchamiana zgodnie z harmonogramem, wszystkie znalezione wyniki wygenerują alert zabezpieczeń. Alerty zabezpieczeń w usłudze Microsoft Sentinel można wyświetlić w sekcji Dzienniki usługi Microsoft Sentinel w tabeli SecurityAlert w grupie Microsoft Sentinel.
W usłudze Microsoft Sentinel alerty generowane na podstawie reguł analitycznych generują również zdarzenia zabezpieczeń, które można znaleźć w obszarze Zdarzenia w obszarze Zarządzanie zagrożeniami w menu usługi Microsoft Sentinel. Zdarzenia są tym, co zespoły ds. operacji zabezpieczeń będą klasyfikować i badać w celu określenia odpowiednich akcji reagowania. Szczegółowe informacje można znaleźć w tym samouczku: Badanie zdarzeń za pomocą usługi Microsoft Sentinel.
Uwaga
Ponieważ wyszukiwania ograniczeń reguł analitycznych wykraczają poza 14 dni, wskaźniki odświeżania usługi Microsoft Sentinel są odświeżane co 12 dni, aby upewnić się, że są one dostępne do celów pasujących za pośrednictwem reguł analitycznych.
Powiązana zawartość
W tym artykule przedstawiono sposób używania wskaźników analizy zagrożeń do wykrywania zagrożeń. Aby uzyskać więcej informacji na temat analizy zagrożeń w usłudze Microsoft Sentinel, zobacz następujące artykuły:
- Praca ze wskaźnikami zagrożeń w usłudze Microsoft Sentinel.
- Połączenie do usługi Microsoft SentinelŹródła danych analizy zagrożeń STIX/TAXII.
- Połączenie platformy analizy zagrożeń do usługi Microsoft Sentinel.
- Zobacz, które platformy TIP, kanały TAXII i wzbogacania można łatwo zintegrować z usługą Microsoft Sentinel.