Создание правила запланированной аналитики с нуля
Вы настроили соединители и другие средства сбора данных о действиях в цифровом пространстве. Теперь необходимо проанализировать все эти данные для обнаружения шаблонов действий и обнаружения действий, которые не соответствуют этим шаблонам и которые могут представлять угрозу безопасности.
Microsoft Sentinel и его множество решений, предоставляемых в центре контента, шаблонов предложений для наиболее часто используемых типов правил аналитики, и настоятельно рекомендуется использовать эти шаблоны, настраивая их в соответствии с конкретными сценариями. Но возможно, вам потребуется что-то совершенно другое, поэтому в этом случае можно создать правило с нуля с помощью мастера правил аналитики.
В этой статье описывается процесс создания правила аналитики с нуля, включая использование мастера правил аналитики. Он сопровождается снимками экрана и инструкциями для доступа к мастеру как в портал Azure, так и для пользователей Microsoft Sentinel, которые также не являются подписчиками Microsoft Defender и порталом Defender для пользователей единой платформы операций безопасности Microsoft Defender.
Внимание
Microsoft Sentinel теперь общедоступен на платформе унифицированных операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Необходимые компоненты
У вас должна быть роль участника Microsoft Sentinel или любая другая роль или набор разрешений, включая разрешения на запись в рабочей области Log Analytics и ее группу ресурсов.
Вы должны иметь по крайней мере базовое знакомство с обработкой и анализом и анализом данных и язык запросов Kusto.
Вы должны ознакомиться с мастером правил аналитики и всеми доступными параметрами конфигурации. Дополнительные сведения см. в разделе "Правила аналитики по расписанию" в Microsoft Sentinel.
Проектирование и сборка запроса
Прежде чем делать что-либо еще, необходимо разработать и создать запрос в язык запросов Kusto (KQL), который будет использоваться для запроса одной или нескольких таблиц в рабочей области Log Analytics.
Определите источник данных или набор источников данных, которые необходимо искать для обнаружения необычных или подозрительных действий. Найдите имя таблицы Log Analytics, в которую входят данные из этих источников. Имя таблицы можно найти на странице соединителя данных для этого источника. Используйте это имя таблицы (или функцию на основе нее) в качестве основы для запроса.
Определите тип анализа, который требуется выполнить в таблице. Это решение определяет, какие команды и функции следует использовать в запросе.
Определите, какие элементы данных (поля, столбцы) нужно выбрать из результатов запроса. Это решение определяет структуру выходных данных запроса.
Создайте и проверьте запросы на экране журналов . Когда вы удовлетворены, сохраните запрос для использования в правиле.
Некоторые полезные советы по созданию запросов Kusto см. в рекомендациях по запросам правил аналитики.
Дополнительные сведения о создании запросов Kusto см. в язык запросов Kusto в Microsoft Sentinel и рекомендации по язык запросов Kusto запросам.
Создание правила аналитики
В этом разделе описывается создание правила с помощью порталов Azure или Defender.
Начало создания правила запланированного запроса
Чтобы приступить к работе, перейдите на страницу Аналитики в Microsoft Sentinel, чтобы создать правило запланированной аналитики.
Для Microsoft Sentinel в портал Azure в разделе "Конфигурация" выберите "Аналитика".
Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Configuration>Analytics.Нажмите кнопку +Создать и выберите правило запланированного запроса.
Назовите правило и определите общие сведения
В портал Azure этапы представлены визуально как вкладки. На портале Defender они визуально представлены в виде вех на временной шкале.
Введите следующие сведения для правила.
Поле Описание: Имя Уникальное имя правила. Description Описание правила бесплатного текста. Уровень серьезности Соответствует влиянию действия, запускающего правило, возможно, в целевой среде, если правило является истинным положительным.
Информационный: никакого влияния на систему, но информация может быть свидетельствует о будущих шагах, запланированных субъектом угроз.
Низкий: немедленное влияние будет минимальным. Субъект угроз, скорее всего, потребуется выполнить несколько шагов, прежде чем достичь влияния на среду.
Средний: субъект угроз может оказать некоторое влияние на среду с этим действием, но он будет ограничен в области или требует дополнительных действий.
Высокий: определяемое действие предоставляет субъекту угроз широкий доступ к проведению действий в среде или активируется воздействием на окружающую среду.MITRE ATT&CK Выберите те действия, которые применяются к правилу. Выберите один из тактик и методов MITRE ATT&CK , представленных в раскрывающемся списке. Можно выбрать несколько элементов.
Дополнительные сведения о максимизации охвата ландшафта угроз MITRE ATT&CK см. в статье "Общие сведения о охвате безопасности платформой MITRE ATT&CK®".Состояние Включено: правило выполняется сразу после создания или по определенной дате и времени, когда вы решили запланировать его (в настоящее время в предварительной версии).
Отключено: правило создается, но не выполняется. Включите его позже на вкладке "Активные правила" при необходимости.Выберите Далее: настройка логики правила.
Определение логики правила
Следующий шаг — задать логику правила, которая включает добавление созданного запроса Kusto.
Введите запрос правила и конфигурацию улучшения оповещений.
Параметр Description Запрос правила Вставьте созданный, созданный и тестируемый запрос в окно запроса правила. Каждое изменение, внесенные в это окно, мгновенно проверяется, поэтому при возникновении ошибок вы увидите указание прямо под окном. Сопоставление сущностей Разверните сопоставление сущностей и определите до 10 типов сущностей, распознанных Microsoft Sentinel на поля в результатах запроса. Это сопоставление интегрирует определенные сущности в поле Сущностей в схеме оповещения.
Полные инструкции по сопоставлению сущностей см. в разделе "Сопоставление полей данных с сущностями" в Microsoft Sentinel.Пользовательские сведения о Surface в оповещениях Разверните настраиваемые сведения и определите все поля в результатах запроса, которые вы хотите отображать в оповещениях в виде пользовательских сведений. Эти поля отображаются в любых инцидентах, которые также приводят к возникновению.
Полные инструкции по отображению пользовательских сведений см. в разделе "Сведения о пользовательском событии Surface" в оповещениях в Microsoft Sentinel.Настройка деталей оповещения Разверните сведения об оповещении и настройте свойства оповещений в противном случае в соответствии с содержимым различных полей в каждом отдельном оповещении. Например, настройте имя или описание оповещения, чтобы включить в оповещение имя пользователя или IP-адрес.
Полные инструкции по настройке сведений об оповещении см. в разделе "Настройка сведений об оповещении" в Microsoft Sentinel.Планирование и область запроса. Задайте следующие параметры в разделе планирования запросов:
Параметр Описание и параметры Выполнение каждого запроса Управляет интервалом запроса: как часто выполняется запрос.
Допустимый диапазон: 5 минут до 14 дней.Данные подстановки из последней Определяет период обратного просмотра: период времени, охватываемый запросом.
Допустимый диапазон: 5 минут до 14 дней.
Должно быть больше или равно интервалу запроса.Запуск Автоматически: правило будет выполняться в первый раз при создании и после этого в интервале запроса.
В определенное время (предварительная версия): задайте дату и время для первого запуска правила, после чего он будет выполняться в интервале запроса.
Допустимый диапазон: 10 минут до 30 дней после создания правила (или включения).Задайте пороговое значение для создания оповещений.
Раздел Порог оповещения позволяет определить уровни чувствительности для правила. Например, задайте минимальное пороговое значение 100:
Параметр Description Создание оповещений при количестве результатов запроса больше Количество событий 100
Если вы не хотите задать пороговое значение, введите
0
в поле числового значения.Задайте параметры группировки событий.
В разделе Группирование событий выберите один из двух способов группирования событий в оповещения:
Параметр Поведение Группировать все события в одно оповещение
(по умолчанию)В этом режиме правило создает одно оповещение при каждом запуске, если запрос возвращает больше результатов, чем указанный Порог оповещения. Это одно оповещение суммирует все события, возвращенные в результатах запроса. Активация оповещения для каждого события В этом режиме правило создает уникальное оповещение для каждого события, возвращенного запросом. Это полезно, если вы хотите, чтобы события отображались по отдельности, или если вы хотите сгруппировать их по определенным параметрам — по имени пользователя, имени узла или другому элементу. Такие параметры можно определить в запросе. Временное отключение правила после создания оповещения.
Чтобы отключить правило за пределами следующего времени выполнения, если создается оповещение, включите запрос остановки выполнения после создания оповещения. Если включить эту функцию, установите для параметра "Остановить выполнение запроса " до 24 часов.
Имитируйте результаты параметров запроса и логики.
В области моделирования результатов выберите "Тест с текущими данными", чтобы увидеть, как будут выглядеть результаты правила, если бы он работал на текущих данных. Microsoft Sentinel имитирует правило 50 раз в текущих данных, используя определенное расписание, и показывает график результатов (события журнала). Если в запрос будут внесены изменения, снова выберите Протестировать на основе текущих данных, чтобы обновить график. На графике показано количество результатов за период времени, определенный параметрами в разделе планирования запросов.
Нажмите кнопку "Далее" — параметры инцидента.
Настройка параметров создания инцидентов
На вкладке "Параметры инцидента" выберите, преобразует ли Microsoft Sentinel оповещения в практические инциденты и как оповещения группируются в инциденты.
Включите создание инцидентов.
В разделе Параметры инцидента параметр Создать инциденты на основе оповещений, активируемых этим правилом анализа по умолчанию принимает значение Включено, то есть Microsoft Sentinel будет создавать отдельный инцидент для каждого оповещения, созданного этим правилом.
Если вы не хотите, чтобы это правило создавало инциденты (например, если правило лишь собирает сведения для анализа), установите для этого параметра значение Отключено.
Внимание
Если вы подключены Microsoft Sentinel к единой платформе операций безопасности на портале Microsoft Defender, оставьте этот параметр включенным.
Если вы предпочитаете создавать один инцидент для целой группы оповещений, а не отдельный инцидент для каждого из них, изучите следующий раздел.
Задайте параметры группирования оповещений.
В разделе группирования оповещений, если требуется создать один инцидент из группы до 150 аналогичных или повторяющихся оповещений (см. примечание), задайте связанные с группой оповещения, активируемые этим правилом аналитики, в инциденты включено и задайте следующие параметры.
Ограничить группу оповещениями, созданными в течение выбранного интервала времени: задайте интервал времени, в течение которого сгруппированы аналогичные или повторяющиеся оповещения. Оповещения за пределами этого интервала времени создают отдельный инцидент или набор инцидентов.
Групповые оповещения, активированные этим правилом аналитики в одном инциденте: выберите, как сгруппированы оповещения:
Вариант Описание Группирование предупреждений в один инцидент, если все сущности совпадают Оповещения будут объединяться, если они имеют одинаковые значения по каждой из сопоставленных сущностей (как определено на описанной выше вкладке Задание логики правила). Это рекомендуемый параметр. Группировать все предупреждения, активируемые этим правилом, в один инцидент Будут объединяться все оповещения, созданные этим правилом, даже если у них нет совпадающих значений. Группирование оповещений в один инцидент, если выбранные сущности и сведения совпадают Будут объединяться оповещения, у которых совпадают значения всех сопоставленных сущностей, сведений об оповещении и настраиваемых параметров, выбранных в соответствующих раскрывающихся списках. Повторно открыть закрытые совпадающие инциденты. Если инцидент был разрешен и закрыт, а позднее появилось новое оповещение, которое должно относиться к тому же инциденту, поведение системы будет определяться этим параметром. Установите значение Включено, если вы хотите повторно открыть закрытый инцидент, или оставьте значение Отключено, если предпочитаете создать новый инцидент.
Примечание.
В одном инциденте можно объединить до 150 оповещений.
Инцидент будет создан только после создания всех оповещений. Все оповещения будут добавлены в инцидент сразу после его создания.
Если правило создаст более 150 оповещений, которые по настроенным параметрам должны группироваться в один инцидент, будет создан еще один инцидент с аналогичными сведениями, и в него будут объединены дополнительные оповещения.
Нажмите кнопку "Далее": автоматический ответ.
Просмотр или добавление автоматических ответов
На вкладке "Автоматические ответы" см. правила автоматизации, отображаемые в списке. Если вы хотите добавить ответы, которые еще не охвачены существующими правилами, у вас есть два варианта:
- Измените существующее правило, если требуется, чтобы добавленный ответ применялся ко многим или всем правилам.
- Выберите "Добавить новое ", чтобы создать новое правило автоматизации, которое будет применяться только к этому правилу аналитики.
Дополнительные сведения об использовании правил автоматизации см. в статье "Автоматизация реагирования на угрозы" в Microsoft Sentinel с помощью правил автоматизации
- В разделе автоматизации оповещений (классическая модель) в нижней части экрана вы увидите все сборники схем, настроенные для автоматического запуска при создании оповещения с помощью старого метода.
По состоянию на июнь 2023 г. в этот список больше нельзя добавлять сборники схем. Сборники схем, уже перечисленные здесь, будут продолжать работать до тех пор, пока этот метод не рекомендуется , начиная с марта 2026 года.
Если у вас по-прежнему есть сборники схем, перечисленные здесь, следует создать правило автоматизации на основе созданного оповещения триггера и вызвать сборник схем из правила автоматизации. После этого выберите многоточие в конце строки сборника схем, перечисленных здесь, и нажмите кнопку "Удалить". Полные инструкции см . в сборниках схем оповещений Microsoft Sentinel в правила автоматизации.
- Нажмите кнопку "Далее": просмотрите и создайте, чтобы просмотреть все параметры для нового правила аналитики.
Проверка конфигурации и создание правила
Когда появится сообщение "Проверка пройдена", нажмите кнопку "Создать".
Если появится ошибка, найдите и выберите красный X на вкладке мастера, где произошла ошибка.
Исправьте ошибку и вернитесь на вкладку "Проверка" и создайте вкладку, чтобы снова запустить проверку.
Просмотр правила и выходных данных
Просмотр определения правила
Новое настраиваемое правило (с типом "Запланировано") можно найти в таблице на вкладке Активные правила на главной странице средства Аналитика. В этом списке вы можете включить, отключить или удалить любое правило.
Просмотр результатов правила
Чтобы просмотреть результаты правил аналитики, создаваемых в портал Azure, перейдите на страницу "Инциденты", где можно просматривать инциденты, исследовать их и устранять угрозы.
Настройка правила
- По полученным результатам вы можете изменить правило, чтобы исключить ложноположительные результаты. Дополнительные сведения см. в статье Обработка ложноположительных результатов в Microsoft Sentinel.
Примечание.
Оповещения, созданные в Microsoft Sentinel, можно получать в Microsoft Graph Security. Дополнительные сведения см. в документации по оповещениям Microsoft Graph Security.
Экспорт правила в шаблон ARM
Если вы хотите упаковать правило для последующего управления и развертывания в формате кода, его можно легко экспортировать в шаблон ARM (Azure Resource Manager). Кроме того, можно импортировать правила из файлов шаблонов, чтобы просматривать и изменять их в пользовательском интерфейсе.
Следующие шаги
При использовании правил аналитики для обнаружения угроз от Microsoft Sentinel убедитесь, что все правила, связанные с подключенными источниками данных, обеспечивают полное покрытие безопасности для вашей среды.
Чтобы автоматизировать включение правил, отправьте правила в Microsoft Sentinel через API и PowerShell, хотя это требует дополнительных усилий. При использовании API или PowerShell необходимо сначала экспортировать правила в формат JSON и лишь затем включать их. API или PowerShell будут удобны, если вам нужно включить правила с одинаковыми параметрами в нескольких экземплярах Microsoft Sentinel.
Дополнительные сведения см. в разделе:
- Устранение неполадок правил аналитики в Microsoft Sentinel
- Навигация и исследование инцидентов в Microsoft Sentinel
- Сущности в Microsoft Sentinel
- Руководство. Использование сборников схем с правилами автоматизации в Microsoft Sentinel
Кроме того, изучите пример использования настраиваемых правил аналитики для мониторинга Zoom с применением пользовательского соединителя.