Krok 3. Pozyskiwanie źródeł danych i konfigurowanie wykrywania zdarzeń w usłudze Microsoft Sentinel
Po zakończeniu projektowania i implementowania obszarów roboczych usługi Microsoft Sentinel przejdź do pozyskiwania źródeł danych i konfigurowania wykrywania zdarzeń.
Rozwiązania w usłudze Microsoft Sentinel zapewniają skonsolidowany sposób uzyskiwania zawartości usługi Microsoft Sentinel, takiej jak łączniki danych, skoroszyty, analizy i automatyzacja, w obszarze roboczym z jednym krokiem wdrażania.
Łączniki danych są skonfigurowane do włączania pozyskiwania danych w obszarze roboczym. Po włączeniu pozyskiwania kluczowych punktów danych do usługi Microsoft Sentinel należy również włączyć analizę zachowań użytkowników i jednostek (UEBA) oraz reguły analityczne w celu przechwytywania nietypowych i złośliwych działań. Reguły analityczne określają sposób generowania alertów i zdarzeń w wystąpieniu usługi Microsoft Sentinel. Dostosowanie reguł analitycznych do potrzeb środowiska i organizacji za pomocą mapowania jednostek umożliwia tworzenie zdarzeń o wysokiej wierności i zmniejszanie zmęczenia alertów.
Jeśli obszar roboczy został dołączony do ujednoliconej platformy operacji zabezpieczeń, procedury opisane w tym kroku są dostępne zarówno w portalach platformy Azure, jak i w portalu usługi Defender.
Zanim rozpoczniesz
Potwierdź metodę instalacji, wymagane role i licencje wymagane do włączenia łączników danych. Aby uzyskać więcej informacji, zobacz Znajdowanie łącznika danych usługi Microsoft Sentinel.
Poniższa tabela zawiera podsumowanie wymagań wstępnych wymaganych do pozyskiwania kluczowych łączników danych usługi Microsoft Sentinel dla platformy Azure i usługi firmy Microsoft:
| Typ zasobu | Metoda instalacji | Wymagana rola/uprawnienia/licencja |
|---|---|---|
| Tożsamość Microsoft Entra | Natywny łącznik danych | Administrator zabezpieczeń Dzienniki logowania wymagają licencji Microsoft Entra ID P1 lub P2 Inne dzienniki nie wymagają P1 ani P2 |
| Ochrona tożsamości Microsoft Entra | Natywny łącznik danych | Administrator zabezpieczeń Licencja: Microsoft Entra ID P2 |
| Działanie platformy Azure | Azure Policy | Wymagana rola właściciela w subskrypcjach |
| Microsoft Defender XDR | Natywny łącznik danych | Administrator zabezpieczeń Licencja: Microsoft 365 E5, Microsoft 365 A5 lub dowolna inna kwalifikująca się licencja XDR w usłudze Microsoft Defender |
| Microsoft Defender dla Chmury | Natywny łącznik danych | Czytelnik zabezpieczeń Aby włączyć synchronizację dwukierunkową, rola Współautor/Administrator zabezpieczeń jest wymagana w ramach subskrypcji. |
| Microsoft Defender for Identity | Natywny łącznik danych | Administrator zabezpieczeń Licencja: Microsoft Defender for Identity |
| Ochrona usługi Office 365 w usłudze Microsoft Defender | Natywny łącznik danych | Administrator zabezpieczeń Licencja: plan Ochrona usługi Office 365 w usłudze Microsoft Defender 2 |
| Microsoft 365 | Natywny łącznik danych | Administrator zabezpieczeń |
| Usługa Microsoft Defender dla IoT | Współautor subskrypcji za pomocą centrów IoT | |
| aplikacje Microsoft Defender dla Chmury | Natywny łącznik danych | Administrator zabezpieczeń Licencja: Microsoft Defender dla Chmury Apps |
| Ochrona punktu końcowego w usłudze Microsoft Defender | Natywny łącznik danych | Administrator zabezpieczeń Licencja: Ochrona punktu końcowego w usłudze Microsoft Defender |
| zdarzenia Zabezpieczenia Windows za pośrednictwem agenta usługi Azure Monitor (AMA) |
Natywny łącznik danych z agentem | Odczyt/zapis w obszarze roboczym usługi Log Analytics |
| Syslog | Natywny łącznik danych z agentem | Odczyt/zapis obszaru roboczego usługi Log Analytics |
Krok 1. Instalowanie rozwiązań i włączanie łączników danych
Skorzystaj z poniższych zaleceń, aby rozpocząć instalowanie rozwiązań i konfigurowanie łączników danych. Aby uzyskać więcej informacji, zobacz:
- Katalog centrum zawartości usługi Microsoft Sentinel
- Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie tym rozwiązaniem
Konfigurowanie bezpłatnych źródeł danych
Zacznij od skoncentrowania się na konfigurowaniu bezpłatnych źródeł danych w celu pozyskiwania, w tym:
Dzienniki aktywności platformy Azure: pozyskiwanie dzienników aktywności platformy Azure ma kluczowe znaczenie dla umożliwienia usłudze Microsoft Sentinel zapewnienia jednego okienka widoku szkła w całym środowisku.
Dzienniki inspekcji usługi Office 365, w tym wszystkie działania programu SharePoint, działania administratora programu Exchange i usługi Teams.
Alerty zabezpieczeń, w tym alerty z Microsoft Defender dla Chmury, Microsoft Defender XDR, Ochrona usługi Office 365 w usłudze Microsoft Defender, Microsoft Defender for Identity i Ochrona punktu końcowego w usłudze Microsoft Defender.
Jeśli nie dołączono obszaru roboczego do ujednoliconej platformy operacji zabezpieczeń i pracujesz w witrynie Azure Portal, pozyskiwanie alertów zabezpieczeń do usługi Microsoft Sentinel umożliwia witrynie Azure Portal centralne zarządzanie zdarzeniami w całym środowisku. W takich przypadkach badanie zdarzeń rozpoczyna się w usłudze Microsoft Sentinel i powinno być kontynuowane w portalu usługi Microsoft Defender lub Defender dla Chmury, jeśli wymagana jest głębsza analiza.
Aby uzyskać więcej informacji, zobacz Microsoft Defender XDR incidents and Microsoft incident creation rules (Zdarzenia XDR w usłudze Microsoft Defender i reguły tworzenia zdarzeń firmy Microsoft).
alerty Microsoft Defender dla Chmury Apps.
Aby uzyskać więcej informacji, zobacz Cennik usługi Microsoft Sentinel i bezpłatne źródła danych.
Konfigurowanie płatnych źródeł danych
Aby zapewnić szersze monitorowanie i pokrycie alertów, skoncentruj się na dodawaniu łączników danych Microsoft Entra ID i Microsoft Defender XDR . Za pozyskiwanie danych z tych źródeł jest naliczana opłata.
Pamiętaj, aby wysłać dzienniki XDR usługi Microsoft Defender do usługi Microsoft Sentinel, jeśli są wymagane następujące elementy:
- Dołączanie do ujednoliconej platformy operacji zabezpieczeń, która zapewnia jeden portal do zarządzania zdarzeniami w usłudze Microsoft Defender.
- Alerty łączenia usługi Microsoft Sentinel, które korelują źródła danych z wielu produktów w celu wykrywania ataków wieloetapowych w środowisku.
- Dłuższe przechowywanie niż to, co jest oferowane w usłudze Microsoft Defender XDR.
- Automatyzacja nie jest objęta wbudowanymi korygowaniami oferowanymi przez Ochrona punktu końcowego w usłudze Microsoft Defender.
Aby uzyskać więcej informacji, zobacz:
- Integracja usługi Microsoft 365 Defender
- Łączenie danych z usługi Microsoft Defender XDR z usługą Microsoft Sentinel
- Łączenie danych firmy Microsoft Entra z usługą Microsoft Sentinel
Konfigurowanie źródeł danych dla danego środowiska
W tej sekcji opisano źródła danych, których można użyć, w zależności od usług i metod wdrażania używanych w danym środowisku.
| Scenariusz | Źródła danych |
|---|---|
| Usługi platformy Azure | Jeśli którakolwiek z następujących usług jest wdrożona na platformie Azure, użyj następujących łączników, aby wysłać dzienniki diagnostyczne tych zasobów do usługi Microsoft Sentinel: - Azure Firewall - Usługa Azure Application Gateway - Usługa Keyvault - Azure Kubernetes Service - Azure SQL - Grupy zabezpieczeń sieci - Serwery usługi Azure-Arc Zalecamy skonfigurowanie usługi Azure Policy w celu wymagania, aby ich dzienniki zostały przekazane do bazowego obszaru roboczego usługi Log Analytics. Aby uzyskać więcej informacji, zobacz Tworzenie ustawień diagnostycznych na dużą skalę przy użyciu usługi Azure Policy. |
| Maszyny wirtualne | W przypadku maszyn wirtualnych hostowanych lokalnie lub w innych chmurach, które wymagają zebranych dzienników, użyj następujących łączników danych: - Zabezpieczenia Windows zdarzenia przy użyciu usługi AMA — Zdarzenia za pośrednictwem usługi Defender dla punktu końcowego (dla serwera) - Syslog |
| Wirtualne urządzenia sieciowe /źródła lokalne | W przypadku wirtualnych urządzeń sieciowych lub innych źródeł lokalnych, które generują dzienniki common Event Format (CEF) lub SYSLOG, użyj następujących łączników danych: - Dziennik systemu za pośrednictwem usługi AMA - Common Event Format (CEF) za pośrednictwem usługi AMA Aby uzyskać więcej informacji, zobacz Ingest Syslog and CEF messages to Microsoft Sentinel with the Azure Monitor Agent (Pozyskiwanie dzienników systemu i komunikatów CEF do usługi Microsoft Sentinel przy użyciu agenta usługi Azure Monitor). |
Po zakończeniu wyszukaj w centrum zawartości usługi Microsoft Sentinel inne urządzenia i aplikacje SaaS (software as a service), które wymagają wysyłania dzienników do usługi Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią.
Krok 2. Włączanie analizy zachowań jednostek użytkownika
Po skonfigurowaniu łączników danych w usłudze Microsoft Sentinel należy włączyć analizę zachowań jednostek użytkownika w celu zidentyfikowania podejrzanego zachowania, które może prowadzić do wyłudzania luk wyłudzania informacji i ostatecznie ataków, takich jak oprogramowanie wymuszające okup. Często wykrywanie anomalii za pośrednictwem analizy UEBA jest najlepszą metodą wykrywania luk w zabezpieczeniach zero-dniowych na wczesnym etapie.
Użycie analizy UEBA umożliwia usłudze Microsoft Sentinel tworzenie profilów behawioralnych jednostek organizacji w czasie i grupie równorzędnej w celu identyfikowania nietypowych działań. To dodatkowe narzędzie pomaga w ekspedycji określania, czy element zawartości został naruszony. Ponieważ identyfikuje stowarzyszenie grup równorzędnych, może to również pomóc w określeniu promienia wybuchu powiedział kompromisu.
Aby uzyskać więcej informacji, zobacz Identyfikowanie zagrożeń za pomocą analizy zachowań jednostek
Krok 3. Włączanie reguł analitycznych
Mózgi usługi Microsoft Sentinel pochodzą z reguł analitycznych. Są to reguły, które należy ustawić, aby poinformować usługę Microsoft Sentinel o alertach o zdarzeniach z zestawem warunków, które należy wziąć pod uwagę jako ważne. Gotowe decyzje podejmowane przez usługę Microsoft Sentinel są oparte na analizie behawioralnej jednostek użytkownika (UEBA) i korelacjach danych w wielu źródłach danych.
Podczas włączania reguł analitycznych dla usługi Microsoft Sentinel priorytetyzują włączenie przez połączone źródła danych, ryzyko organizacyjne i taktykę MITRE.
Unikanie zduplikowanych zdarzeń
Jeśli łącznik XDR usługi Microsoft Defender został włączony, zostanie automatycznie nawiązana dwukierunkowa synchronizacja między zdarzeniami usługi 365 Defender i usługą Microsoft Sentinel.
Aby uniknąć tworzenia zduplikowanych zdarzeń dla tych samych alertów, zalecamy wyłączenie wszystkich reguł tworzenia zdarzeń firmy Microsoft dla produktów zintegrowanych z usługą Microsoft Defender XDR, w tym usług Defender for Endpoint, Defender for Identity, Ochrona usługi Office 365 w usłudze Defender, Defender dla Chmury Apps i Ochrona tożsamości Microsoft Entra.
Aby uzyskać więcej informacji, zobacz Microsoft Defender XDR incidents and Microsoft incident creation rules (Zdarzenia XDR w usłudze Microsoft Defender i reguły tworzenia zdarzeń firmy Microsoft).
Korzystanie z alertów łączenia
Domyślnie usługa Microsoft Sentinel umożliwia łączenie zaawansowanych reguł analitycznych wykrywania ataków wieloestanowych w celu automatycznego identyfikowania ataków wieloestowych.
Korzystając z nietypowego zachowania i podejrzanych zdarzeń związanych z działaniami obserwowanymi w łańcuchu zagrożeń cybernetycznych, usługa Microsoft Sentinel generuje zdarzenia, które pozwalają zobaczyć zdarzenia naruszenia z co najmniej dwoma działaniami alertów z wysokim poziomem pewności.
Technologia alertów łączenia koreluje szerokie punkty sygnałów danych z rozszerzoną analizą uczenia maszynowego w celu określenia znanych, nieznanych i pojawiających się zagrożeń. Na przykład wykrywanie łączenia może pobrać szablony reguł anomalii i zaplanowane zapytania utworzone dla scenariusza wymuszania oprogramowania wymuszającego okup i połączyć je z alertami z usług pakietu Microsoft Security Suite, takimi jak:
- Microsoft Entra ID — ochrona
- Microsoft Defender for Cloud
- Microsoft Defender for IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Usługa Microsoft Defender dla punktu końcowego
- Microsoft Defender for Identity
- Microsoft Defender dla usługi Office 365
Korzystanie z reguł anomalii
Reguły anomalii usługi Microsoft Sentinel są domyślnie dostępne i włączone. Reguły anomalii są oparte na modelach uczenia maszynowego i kodzie UEBA, które trenują dane w obszarze roboczym w celu flagowania nietypowego zachowania użytkowników, hostów i innych osób.
Często atak wyłudzania informacji prowadzi do kroku wykonywania, takiego jak manipulowanie kontem lokalnym lub chmurowym lub wykonywanie złośliwego skryptu. Reguły anomalii szukają dokładnie tych typów działań, takich jak:
- Nietypowe usuwanie dostępu do konta
- Nietypowe tworzenie konta
- Nietypowe usuwanie konta
- Nietypowe manipulowanie kontem
- Nietypowe wykonywanie kodu (UEBA)
- Nietypowe niszczenie danych
- Nietypowa modyfikacja mechanizmu obronnego
- Nietypowe logowanie nie powiodło się
- Nietypowe resetowanie hasła
- Nietypowe uprawnienia przyznane
- Nietypowe logowanie
Przejrzyj reguły anomalii i próg oceny anomalii dla każdego z nich. Jeśli na przykład obserwujesz wyniki fałszywie dodatnie, rozważ zduplikowanie reguły i zmodyfikowanie progu, wykonując kroki opisane w temacie Dostosowywanie reguł anomalii.
Korzystanie z reguły analizy zagrożeń firmy Microsoft
Po przejrzeniu i zmodyfikowaniu reguł łączenia i anomalii włącz wbudowaną regułę analizy zagrożeń firmy Microsoft. Sprawdź, czy ta reguła pasuje do danych dziennika z analizą zagrożeń wygenerowaną przez firmę Microsoft. Firma Microsoft ma ogromne repozytorium danych analizy zagrożeń, a ta reguła analitycza używa podzbioru do generowania alertów i zdarzeń o wysokiej wierności dla zespołów SOC (centrów operacji zabezpieczeń) do klasyfikacji.
Prowadzenie MITRE Att &ck crosswalk
Dzięki włączonym regułom analizy łączenia, anomalii i analizy zagrożeń przeprowadź skrzyżowanie MITRE Att &ck, aby ułatwić podjęcie decyzji, które pozostałe reguły analityczne umożliwiają i kończą wdrażanie dojrzałego procesu XDR (rozszerzone wykrywanie i reagowanie). Dzięki temu można wykrywać ataki i reagować na nie w całym cyklu życia.
Dział badawczy MITRE Att&ck utworzył metodę MITRE i jest dostarczany w ramach usługi Microsoft Sentinel, aby ułatwić implementację. Upewnij się, że masz reguły analityczne, które rozciągają długość i szerokość podejścia wektorów ataków.
Zapoznaj się z technikami MITRE, które są objęte istniejącymi aktywnymi regułami analitycznymi.
Wybierz pozycję "Szablony reguł analitycznych" i "Reguły anomalii" na liście rozwijanej Symulowane . Pokazuje to, gdzie opisano taktykę przeciwnika i/lub technikę oraz tam, gdzie są dostępne reguły analityczne, należy rozważyć umożliwienie poprawy zasięgu.
Na przykład w celu wykrywania potencjalnych ataków wyłudzających informacje przejrzyj szablony reguł analitycznych dla techniki wyłudzania informacji i określ priorytety umożliwiające reguły, które w szczególności wysyłają zapytania do źródeł danych, które zostały dołączone do usługi Microsoft Sentinel.
Ogólnie rzecz biorąc, istnieje pięć faz ataku ransomware obsługiwanego przez człowieka, a wyłudzanie informacji znajduje się w obszarze Dostęp początkowy, jak pokazano na poniższych obrazach:
Wykonaj pozostałe kroki, aby objąć cały łańcuch zabić odpowiednimi regułami analitycznymi:
- Dostęp początkowy
- Kradzież poświadczeń
- Ruch boczny
- Trwałość
- Uchylanie się od obrony
- Eksfiltracja (w tym miejscu wykryto samo oprogramowanie wymuszające okup)
Zalecane szkolenie
Zawartość szkoleniowa nie obejmuje obecnie ujednoliconej platformy operacji zabezpieczeń.
Łączenie danych z usługą Microsoft Sentinel przy użyciu łączników danych
| Szkolenia | Łączenie danych z usługą Microsoft Sentinel przy użyciu łączników danych |
|---|---|
|
Podstawowym podejściem do łączenia danych dziennika jest użycie łączników danych udostępnianych przez usługę Microsoft Sentinel. Ten moduł zawiera omówienie dostępnych łączników danych. |
Łączenie dzienników z usługą Microsoft Sentinel
| Szkolenia | Łączenie dzienników z usługą Microsoft Sentinel |
|---|---|
|
Łączenie danych w skali chmury między wszystkimi użytkownikami, urządzeniami, aplikacjami i infrastrukturą zarówno lokalną, jak i w wielu chmurach z usługą Microsoft Sentinel. |
Identyfikowanie zagrożeń za pomocą analizy behawioralnej
| Szkolenia | Identyfikowanie zagrożeń za pomocą analizy behawioralnej |
|---|---|
|
Podstawowym podejściem do łączenia danych dziennika jest użycie łączników danych udostępnianych przez usługę Microsoft Sentinel. Ten moduł zawiera omówienie dostępnych łączników danych. |
Następne kroki
Przejdź do kroku 4 , aby odpowiedzieć na zdarzenie.
