Krok 3. Pozyskiwanie źródeł danych i konfigurowanie wykrywania zdarzeń w usłudze Microsoft Sentinel
Po zakończeniu projektowania i implementowania obszarów roboczych usługi Microsoft Sentinel możesz przejść do pozyskiwania źródeł danych i konfigurowania wykrywania zdarzeń.
Łączniki danych są skonfigurowane do włączania pozyskiwania danych w obszarze roboczym. Po włączeniu pozyskiwania kluczowych punktów danych w usłudze Sentinel należy również włączyć analizę zachowań użytkowników i jednostek (UEBA) oraz reguły analityczne w celu przechwytywania nietypowych i złośliwych działań. Reguły analityczne określają sposób generowania alertów i zdarzeń w wystąpieniu usługi Sentinel. Dostosowanie reguł analitycznych do potrzeb środowiska i organizacji za pomocą mapowania jednostek umożliwia tworzenie zdarzeń o wysokiej wierności i zmniejszanie zmęczenia alertami.
Zanim rozpoczniesz
Potwierdź metodę instalacji, wymagane role i licencje wymagane do włączenia łączników danych. Aby uzyskać więcej informacji, zobacz Znajdowanie łącznika danych usługi Microsoft Sentinel.
Poniższa tabela zawiera podsumowanie wymagań wstępnych wymaganych do pozyskiwania kluczowych łączników platformy Azure i danych:
| Typ zasobu | Metoda instalacji | Wymagana rola/uprawnienia/licencja |
|---|---|---|
| Microsoft Entra ID | Natywny łącznik danych | Administrator zabezpieczeń Dzienniki logowania wymagają licencji Microsoft Entra ID P1 lub P2 Inne dzienniki nie wymagają P1 ani P2 |
| Microsoft Entra ID — ochrona | Połączenie or danych natywnych | Administrator zabezpieczeń Licencja: Microsoft Entra ID P2 |
| Działanie platformy Azure | Azure Policy | Wymagana rola właściciela w subskrypcjach |
| Microsoft Defender XDR | Połączenie or danych natywnych | Administrator zabezpieczeń Licencja: Microsoft 365 E5, Microsoft 365 A5 lub dowolna inna kwalifikująca się licencja XDR w usłudze Microsoft Defender |
| Microsoft Defender for Cloud | Połączenie or danych natywnych | Czytelnik zabezpieczeń Aby włączyć synchronizację dwukierunkową, rola Współautor/Zabezpieczenia Administracja jest wymagana w ramach subskrypcji. |
| Microsoft Defender for Identity | Połączenie or danych natywnych | Administrator zabezpieczeń Licencja: Microsoft Defender for Identity |
| Microsoft Defender dla usługi Office 365 | Połączenie or danych natywnych | Administrator zabezpieczeń Licencja: plan Ochrona usługi Office 365 w usłudze Microsoft Defender 2 |
| Office 365 | Połączenie or danych natywnych | Administrator zabezpieczeń |
| Microsoft Defender for IoT | Współautor subskrypcji za pomocą centrów IoT | |
| Microsoft Defender for Cloud Apps | Połączenie or danych natywnych | Administrator zabezpieczeń Licencja: Microsoft Defender dla Chmury Apps |
| Usługa Microsoft Defender dla punktu końcowego | Połączenie or danych natywnych | Administrator zabezpieczeń Licencja: Ochrona punktu końcowego w usłudze Microsoft Defender |
| Zabezpieczenia Windows zdarzenia za pośrednictwem agenta usługi Azure Monitor (AMA) | Natywna Połączenie or danych z agentem | Odczyt/zapis w obszarze roboczym usługi Log Analytics |
| Dziennik systemu | Natywna Połączenie or danych z agentem | Odczyt/zapis obszaru roboczego usługi Log Analytics |
Krok 1. Włączanie łączników danych
Skorzystaj z poniższych zaleceń, aby rozpocząć konfigurowanie łączników danych:
Skoncentruj się na konfigurowaniu bezpłatnych źródeł danych w celu pozyskiwania:
Dzienniki aktywności platformy Azure: pozyskiwanie dzienników aktywności platformy Azure ma kluczowe znaczenie dla umożliwienia usłudze Sentinel zapewnienia jednego okienka szklanego widoku w całym środowisku.
Dzienniki inspekcji usługi Office 365, w tym wszystkie działania programu SharePoint, działania administratora programu Exchange i usługi Teams.
Alerty zabezpieczeń, w tym alerty z Microsoft Defender dla Chmury, Microsoft Defender XDR, Ochrona usługi Office 365 w usłudze Microsoft Defender, Microsoft Defender for Identity i Ochrona punktu końcowego w usłudze Microsoft Defender:
Pozyskiwanie alertów zabezpieczeń do usługi Sentinel umożliwia jej "centralne okienko zarządzania zdarzeniami" w całym środowisku.
Badanie zdarzeń rozpoczyna się w usłudze Sentinel i powinno być kontynuowane w portalu usługi Microsoft Defender lub Defender dla Chmury, jeśli wymagana jest głębsza analiza.
Uwaga
Jeśli włączono łącznik XDR usługi Microsoft Defender, zostanie automatycznie nawiązana dwukierunkowa synchronizacja między zdarzeniami usługi Defender 365 i usługą Sentinel. Aby uniknąć tworzenia zduplikowanych zdarzeń dla tych samych alertów, zalecamy, aby klient wyłączył wszystkie reguły tworzenia zdarzeń firmy Microsoft dla produktów zintegrowanych z usługą Microsoft Defender XDR (Defender for Endpoint, Defender for Identity, Ochrona usługi Office 365 w usłudze Defender, Defender dla Chmury Apps i Ochrona tożsamości Microsoft Entra). Aby uzyskać więcej informacji, zobacz Microsoft Defender XDR incidents and Microsoft incident creation rules (Zdarzenia XDR w usłudze Microsoft Defender i reguły tworzenia zdarzeń firmy Microsoft).
Microsoft Defender dla Chmury Alerty aplikacji.
Aby uzyskać więcej informacji, zobacz Bezpłatne źródła danych.
W poniższej tabeli wymieniono bezpłatne źródła danych, które można włączyć w usłudze Microsoft Sentinel:
Napiwek
Aby uzyskać więcej informacji na temat najbardziej aktualnych cen usługi Sentinel, zobacz Cennik usługi Microsoft Sentinel.
Łącznik danych usługi Microsoft Sentinel Typ wolnych danych Dzienniki aktywności platformy Azure AzureActivity Microsoft Entra ID — ochrona SecurityAlert (IPC) Office 365 OfficeActivity (SharePoint)
OfficeActivity (Exchange)
OfficeActivity (Teams)Microsoft Defender for Cloud SecurityAlert (Defender dla Chmury) Microsoft Defender for IoT SecurityAlert (Defender for IoT) Microsoft Defender XDR SecurityIncident
SecurityAlertUsługa Microsoft Defender dla punktu końcowego SecurityAlert (Zaawansowana ochrona przed zagrożeniami w usłudze Microsoft Defender (MDATP)) Microsoft Defender for Identity SecurityAlert (Azure Advanced Threat Protection (AATP)) Microsoft Defender for Cloud Apps SecurityAlert (aplikacje Defender dla Chmury) Aby zapewnić szerszy zakres monitorowania i zgłaszania alertów, skoncentruj się na następujących łącznikach danych:
Uwaga
Za pozyskiwanie danych ze źródeł wymienionych w sekcji jest naliczana opłata
Microsoft Entra ID
Łącznik XDR usługi Microsoft Defender
Wyślij dzienniki XDR usługi Microsoft Defender do usługi Sentinel, jeśli są wymagane następujące elementy:
Korzystaj z alertów fusion w usłudze Sentinel.
- Połączenie koreluje źródła danych z wielu produktów w celu wykrywania ataków wieloetapowych w środowisku.
Dłuższe przechowywanie niż to, co jest oferowane w usłudze Microsoft Defender XDR.
Automatyzacja nie jest objęta wbudowanymi korygowaniami oferowanymi przez Ochrona punktu końcowego w usłudze Microsoft Defender. Aby uzyskać więcej informacji, zobacz Akcje korygowania w usłudze Microsoft Defender XDR.
W przypadku wdrożenia na platformie Azure użyj następujących łączników, aby wysłać dzienniki diagnostyczne tych zasobów do usługi Sentinel:
- Azure Firewall
- Usługa Azure Application Gateway
- Keyvault
- Azure Kubernetes Service
- Azure SQL
- Grupy zabezpieczeń sieci
- Serwery usługi Azure-Arc
Zalecaną metodą jest skonfigurowanie usługi Azure Policy w celu wymagania, aby ich dzienniki zostały przekazane do bazowego obszaru roboczego usługi Log Analytics. Aby uzyskać więcej informacji, zobacz Tworzenie ustawień diagnostycznych na dużą skalę przy użyciu usługi Azure Policy.
W przypadku maszyn wirtualnych hostowanych lokalnie lub w innych chmurach, które wymagają zebranych dzienników, użyj:
- Zabezpieczenia Windows zdarzenia przy użyciu usługi AMA
- Zdarzenia zabezpieczeń korzystające ze starszego agenta
- Zdarzenia za pośrednictwem usługi Defender dla punktu końcowego (dla serwera)
- Łącznik dziennika systemowego
W przypadku wirtualnych urządzeń sieciowych lub innych źródeł lokalnych, które generują dzienniki common Event Format (CEF) lub SYSLOG, użyj następującego łącznika:
- Common Event Format (CEF) za pośrednictwem usługi AMA
- Common Event Format (CEF) za pośrednictwem starszego agenta
Aby uzyskać więcej informacji, zobacz Deploy a log forwarder to ingest Syslog and CEF logs to Microsoft Sentinel (Wdrażanie usługi przesyłania dalej dzienników w celu pozyskiwania dzienników syslogu i dzienników CEF w usłudze Microsoft Sentinel).
Rozważ migrację ze starszego agenta do nowych ujednoliconych wskazówek dotyczących agenta usługi Azure Monitor. Aby uzyskać więcej informacji, zobacz MIgrat from legacy agents to Azure Monitor Agent (MIgrat od starszych agentów do agenta usługi Azure Monitor).
Wyszukaj w centrum zawartości inne urządzenia, aplikacje oprogramowania jako usługi (SaaS), które wymagają wysyłania dzienników do usługi Sentinel. Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią.
Krok 2. Włączanie analizy zachowań jednostek użytkownika
Po skonfigurowaniu łączników danych w usłudze Sentinel upewnij się, że włącz analizę zachowania jednostki użytkownika, aby zidentyfikować podejrzane zachowanie, które może prowadzić do wyłudzania informacji i ostatecznie ataków, takich jak oprogramowanie wymuszające okup. Często wykrywanie anomalii za pośrednictwem analizy UEBA jest najlepszą metodą wykrywania luk w zabezpieczeniach zero-dniowych na wczesnym etapie.
Wymagane źródła danych:
- Dzienniki usługi Active Directory (Microsoft Defender for Identity)
- Microsoft Entra ID
- Dzienniki inspekcji
- Działanie platformy Azure
- Zdarzenia zabezpieczeń
- Dzienniki logowania
Użycie analizy UEBA umożliwia usłudze Microsoft Sentinel tworzenie profilów behawioralnych jednostek organizacji w czasie i grupie równorzędnej w celu identyfikowania nietypowych działań. To dodatkowe narzędzie pomaga w ekspedycji określania, czy element zawartości został naruszony. Ponieważ identyfikuje stowarzyszenie grup równorzędnych, może to również pomóc w określeniu promienia wybuchu powiedział kompromisu.
Krok 3. Włączanie reguł analitycznych
Mózgi Sentinel pochodzą z reguł analitycznych. Są to reguły, które należy ustawić, aby usługa Sentinel powiadamiała o zdarzeniach przy użyciu zestawu warunków, które należy wziąć pod uwagę jako ważne. Gotowe decyzje, które podejmuje Sentinel, opierają się na analizie behawioralnej jednostek użytkownika (UEBA) i korelacjach danych w wielu źródłach danych.
Uwaga
Jeśli włączono łącznik XDR usługi Microsoft Defender, zostanie automatycznie nawiązana dwukierunkowa synchronizacja między zdarzeniami usługi Defender 365 i usługą Sentinel. Aby uniknąć tworzenia zduplikowanych zdarzeń dla tych samych alertów, zalecamy, aby klient wyłączył wszystkie reguły tworzenia zdarzeń firmy Microsoft dla produktów zintegrowanych z usługą Microsoft Defender XDR (Defender for Endpoint, Defender for Identity, Ochrona usługi Office 365 w usłudze Defender, Defender dla Chmury Apps i Ochrona tożsamości Microsoft Entra). Aby uzyskać więcej informacji, zobacz Microsoft Defender XDR incidents and Microsoft incident creation rules (Zdarzenia XDR w usłudze Microsoft Defender i reguły tworzenia zdarzeń firmy Microsoft).
Usługa Microsoft Sentinel domyślnie umożliwia automatyczne identyfikowanie ataków wieloestanowych za pomocą zaawansowanego wieloestanowego wykrywania ataków. Wykorzystując nietypowe zachowanie i podejrzane zdarzenia aktywności obserwowane w łańcuchu zagrożeń cybernetycznych, usługa Microsoft Sentinel generuje zdarzenia, które pozwalają zobaczyć zdarzenia naruszenia z co najmniej dwoma działaniami alertów z wysokim poziomem pewności.
Technologia alertów łączenia koreluje szerokie punkty sygnałów danych z rozszerzoną analizą uczenia maszynowego w celu określenia znanych, nieznanych i pojawiających się zagrożeń. Na przykład wykrywanie łączenia może pobrać szablony reguł anomalii i zaplanowane zapytania utworzone dla scenariusza wymuszania oprogramowania wymuszającego okup i sparować je z alertami z produktów Microsoft Security Suite:
- Microsoft Entra ID — ochrona
- Microsoft Defender for Cloud
- Microsoft Defender for IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Usługa Microsoft Defender dla punktu końcowego
- Microsoft Defender for Identity
- Microsoft Defender dla usługi Office 365
Innym zestawem wbudowanych reguł, które są domyślnie włączone, są reguły anomalii w usłudze Sentinel. Są one oparte na modelach usługi Machine Edukacja i ueBA, które trenują dane w obszarze roboczym, aby oznaczyć nietypowe zachowanie użytkowników, hostów i innych użytkowników. Często atak wyłudzania informacji prowadzi do kroku wykonywania, takiego jak manipulowanie kontem lokalnym lub chmurowym lub wykonywanie złośliwego skryptu. Reguły anomalii dokładnie wyszukują te typy działań:
- Nietypowe usuwanie dostępu do konta
- Nietypowe tworzenie konta
- Nietypowe usuwanie konta
- Nietypowe manipulowanie kontem
- Nietypowe wykonywanie kodu (UEBA)
- Nietypowe niszczenie danych
- Nietypowa modyfikacja mechanizmu obronnego
- Nietypowe logowanie nie powiodło się
- Nietypowe resetowanie hasła
- Nietypowe uprawnienia przyznane
- Nietypowe logowanie
Przejrzyj reguły anomalii i próg oceny anomalii dla każdego z nich. Jeśli na przykład obserwujesz wyniki fałszywie dodatnie, rozważ zduplikowanie reguły i zmodyfikowanie progu, wykonując kroki opisane w temacie Dostosowywanie reguł anomalii.
Po przejrzeniu i zmodyfikowaniu reguł łączenia i anomalii włącz wbudowaną regułę analizy zagrożeń firmy Microsoft. Sprawdź, czy ta reguła pasuje do danych dziennika z analizą zagrożeń wygenerowaną przez firmę Microsoft. Firma Microsoft ma ogromne repozytorium danych analizy zagrożeń, a ta reguła analitycza używa podzbioru do generowania alertów i zdarzeń o wysokiej wierności dla zespołów SOC (centrów operacji zabezpieczeń) do klasyfikacji.
W przypadku włączenia reguł analitycznych fusion, anomalii i analizy zagrożeń należy przeprowadzić skrzyżowanie MITRE Att &ck, aby ułatwić podjęcie decyzji, które pozostałe reguły analityczne umożliwiają i kończą wdrażanie dojrzałego procesu XDR (rozszerzone wykrywanie i reagowanie). Umożliwi to wykrywanie ataku i reagowanie na nie w całym cyklu życia ataku.
Dział badawczy MITRE Att&ck utworzył metodę MITRE i jest dostarczany w ramach usługi Microsoft Sentinel w celu ułatwienia implementacji. Upewnij się, że masz reguły analityczne, które rozciągają długość i szerokość podejścia wektorów ataków. Zacznij od przejrzenia technik MITRE, które są objęte istniejącymi regułami analitycznymi "Aktywne", a następnie wybierz pozycję "Szablony reguł analitycznych" i "Reguły anomalii" na liście rozwijanej Symulowane . Teraz pokaże ci, gdzie masz uwzględnioną taktykę przeciwnika i/lub technikę oraz tam, gdzie są dostępne reguły analityczne, należy rozważyć umożliwienie poprawy zasięgu. Na przykład w celu wykrywania potencjalnych ataków wyłudzających informacje przejrzyj szablony reguł analitycznych dla techniki wyłudzania informacji i nadaj priorytet regułom, które w szczególności wysyłają zapytania do źródeł danych dołączonych do usługi Sentinel.
Ogólnie rzecz biorąc, istnieje pięć faz ataku ransomware obsługiwanego przez człowieka, a wyłudzanie informacji znajduje się w obszarze Dostęp początkowy, jak widać na poniższym zrzucie ekranu. Wykonaj pozostałe kroki, aby objąć cały łańcuch zabić odpowiednimi regułami analitycznymi:
- Dostęp początkowy
- Kradzież poświadczeń
- Ruch boczny
- Trwałość
- Uchylanie się od obrony
- Eksfiltracja (w tym miejscu wykryto samo oprogramowanie wymuszające okup)
Podsumowując, podczas włączania reguł analitycznych dla usługi Sentinel priorytetyzują włączanie przez połączone źródła danych, ryzyko organizacyjne i taktykę MITRE.
Zalecane szkolenie
Połączenie danych do usługi Microsoft Sentinel przy użyciu łączników danych
| Szkolenia | Połączenie danych do usługi Microsoft Sentinel przy użyciu łączników danych |
|---|---|
|
Podstawowym podejściem do łączenia danych dziennika jest użycie łączników danych udostępnianych przez usługę Microsoft Sentinel. Ten moduł zawiera omówienie dostępnych łączników danych. |
dzienniki Połączenie do usługi Microsoft Sentinel
| Szkolenia | dzienniki Połączenie do usługi Microsoft Sentinel |
|---|---|
|
Połączenie dane w skali chmury we wszystkich użytkownikach, urządzeniach, aplikacjach i infrastrukturze, zarówno lokalnie, jak i w wielu chmurach do usługi Microsoft Sentinel. |
Identyfikowanie zagrożeń za pomocą analizy behawioralnej
| Szkolenia | Identyfikowanie zagrożeń za pomocą analizy behawioralnej |
|---|---|
|
Podstawowym podejściem do łączenia danych dziennika jest użycie łączników danych udostępnianych przez usługę Microsoft Sentinel. Ten moduł zawiera omówienie dostępnych łączników danych. |
Następne kroki
Przejdź do kroku 4 , aby odpowiedzieć na zdarzenie.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla