Встроенные средства обнаружения угроз

Примечание

Azure Sentinel теперь называется Microsoft Sentinel, и мы будем обновлять эти страницы в ближайшие недели. Узнайте подробнее о последних усовершенствованиях в системе безопасности Майкрософт.

Подключив источники данных к Microsoft Sentinel, вы будете получать уведомления, когда будет происходить что-то подозрительное. Вот почему Microsoft Sentinel предоставляет готовые встроенные шаблоны, помогающие создавать правила обнаружения угроз.

Шаблоны правил, разработанные специалистами по безопасности и аналитиками Майкрософт на основе известных угроз, распространенных векторов атак и цепочек эскалации подозрительных действий. Правила, созданные на основе этих шаблонов, будут автоматически искать в среде любые действия, которые выглядят подозрительными. Множество шаблонов для поиска действий можно настроить или отфильтровать их в соответствии с вашими потребностями. Предупреждения, созданные этими правилами, будут создавать инциденты, которые вы можете назначить и исследовать в вашей среде.

В этой статье показано, как обнаруживать угрозы с помощью Microsoft Sentinel.

  • Использование готовых обнаружений угроз
  • Автоматизация реагирования на угрозы

Просмотр встроенных обнаружений

Чтобы увидеть все правила и обнаружения аналитики в Microsoft Sentinel, откройте раздел Аналитика>Шаблоны правил. Эта вкладка содержит все встроенные правила Microsoft Sentinel, а также тип правила аналитики угроз .

Снимок экрана: встроенные правила обнаружения для поиска угроз с помощью Microsoft Sentinel.

Встроенные обнаружения содержат:

Тип правила Описание
Microsoft Security (Безопасность Майкрософт) Шаблоны безопасности Майкрософт автоматически создают инциденты Microsoft Sentinel на основе оповещений, созданных в других решениях безопасности Майкрософт в режиме реального времени. Правила безопасности Майкрософт можно использовать в качестве шаблона для создания новых правил с аналогичной логикой.

Дополнительные сведения о правилах безопасности см. в разделе Автоматическое создание инцидентов на основе оповещений системы безопасности Майкрософт.
Fusion
(некоторые обнаружения в предварительной версии)
Microsoft Sentinel использует механизм корреляции Fusion с масштабируемыми алгоритмами машинного обучения, чтобы выявлять сложные многоступенчатые атаки, объединяя многие предупреждения и события с низким уровнем точности из нескольких продуктов в инциденты с высоким уровнем точности и конкретными действиями для устранения. По умолчанию функция Fusion включена. Поскольку логика скрыта и поэтому не настраивается, вы можете создать только одно правило с помощью этого шаблона.

Подсистема Fusion может сопоставлять оповещения, созданные правилами аналитики по расписанию, с оповещениями из других систем, создавая инциденты с высоким уровнем точности.
Аналитика поведения машинного обучения (ML) Шаблоны поведенческой аналитики ML основаны на собственных алгоритмах машинного обучения Майкрософт, поэтому вы не можете видеть внутреннюю логику их работы и время их запуска.

Поскольку логика скрыта и поэтому не настраивается, вы можете создать только одно правило с помощью каждого шаблона этого типа.
Аналитика угроз Воспользуйтесь преимуществами аналитики угроз, созданной корпорацией Майкрософт, для создания оповещений и инцидентов с высоким уровнем точности с помощью правила Аналитики угроз Майкрософт . Это уникальное правило не настраивается, но если оно включено, автоматически сопоставляет журналы CEF, данные системного журнала или события DNS Windows с индикаторами угроз домена, IP-адресов и URL-адресов из Microsoft Threat Intelligence. Некоторые индикаторы будут содержать дополнительные сведения о контексте через MDTI (Аналитика угроз Microsoft Defender).

Дополнительные сведения о том, как включить это правило, см. в статье Использование аналитики сопоставления для обнаружения угроз.
Дополнительные сведения о MDTI см. в статье Что такое Аналитика угроз Microsoft Defender
Аномалия Шаблоны правил аномалии используют машинное обучение для обнаружения конкретных типов аномальных поведений. Каждое правило имеет собственные уникальные параметры и пороговые значения, соответствующие анализируемому поведению.

Вы не можете изменять конфигурации готовых правил, но зато можете скопировать любое и изменить дубликат под свои потребности. В этих случаях одновременно выполняйте дубликат в режиме фокус-тестирования и оригинал в рабочем режиме. Затем сравните результаты, и переведите дубликат в рабочий режим, когда его конфигурация вас устроит.

Дополнительные сведения см. в статьях Использование настраиваемых аномалий для обнаружения угроз в Microsoft Sentinel и Использование правил аналитики для обнаружения аномалий в Microsoft Sentinel.
Запланировано Запланированные правила аналитики основаны на встроенных запросах, написанных экспертами по безопасности корпорации Майкрософт. Вы видите логику запроса и вносите в нее изменения. Вы можете использовать шаблон запланированных правил и настроить логику запроса и параметры планирования для создания новых правил.

Несколько новых запланированных шаблонов правил аналитики генерирует оповещения, которые коррелируются подсистемой Fusion с оповещениями из других систем, чтобы создавать инциденты с высокой точностью. Дополнительные сведения см. в статье Обнаружение расширенных многоэтапных атак.

Совет. Параметры планирования правил включают настройку правила для периодического запуска через заданное число минут, часов или дней с запуском таймера при включении правила.

Рекомендуется учитывать при включении нового или измененного правила аналитики, чтобы гарантировать, что правила получат новый стек инцидентов вовремя. Например, можно запустить правило синхронно с началом рабочего дня аналитиков SOC, а затем включить правила.
Практически в реальном времени (NRT)
(предварительная версия)
Правила NRT — это ограниченный набор запланированных правил, который проверяется каждую минуту, чтобы вы получали как можно более актуальные сведения.

Они работают и настраиваются почти как обычные запланированные правила, но с некоторыми дополнительными ограничениями. Дополнительные сведения см. в разделе Быстрое обнаружение угроз с помощью правил аналитики практически в реальном времени (NRT) в Microsoft Sentinel.

Важно!

Указанные выше шаблоны правил в настоящее время предоставляются в режиме предварительной версии, как и некоторые шаблоны обнаружения Fusion (они перечислены в статье Расширенное многоступенчатое обнаружение атак в Microsoft Sentinel). Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Использование встроенных правил аналитики

В этой процедуре описывается использование шаблонов встроенных правил аналитики.

Чтобы воспользоваться встроенными правилами аналитики:

  1. На странице Microsoft Sentinel > Аналитика > Шаблоны правил выберите имя шаблона, а затем нажмите кнопку Создать правило в области сведений, чтобы создать новое активное правило на основе этого шаблона.

    Каждый шаблон содержит список необходимых источников данных. При открытии шаблона источники данных автоматически проверяются на доступность. При наличии проблемы с доступностью кнопка Создать правило может быть отключена или появится предупреждение.

    Панель предварительного просмотра правил обнаружения

  2. При выборе действия Создать правило открывается мастер создания правил на основе выбранного шаблона. Все данные заполняются автоматически, а с помощью шаблонов Запланированные или Безопасность Майкрософт можно настроить логику и другие параметры правил, чтобы они лучше соответствовали конкретным потребностям. Этот процесс можно повторить для создания дополнительных правил на основе встроенного шаблона. Выполнив все шаги мастера создания правила до конца, вы завершите создание правила на основе шаблона. Новые правила будут отображаться на вкладке Активные правила.

    Дополнительные сведения о настройке правил в мастере создания правил см. в статье Создание настраиваемых правил аналитики для обнаружения угроз.

Совет

  • Убедитесь, что вы включили все правила, связанные с подключенными источниками данных, чтобы обеспечить полный охват вашей среды средствами безопасности. Включить правила аналитики проще всего непосредственно на странице соединителя данных, где перечислены связанные правила. Дополнительные сведения см. в статье Подключение источников данных.

  • Вы также можете отправить правила в Microsoft Sentinel через API или PowerShell, но это требует выполнения дополнительных действий.

    При использовании API или PowerShell необходимо сначала экспортировать правила в формат JSON, прежде чем включать их. API или PowerShell будут удобны, если вам нужно включить правила с одинаковыми параметрами в нескольких экземплярах Microsoft Sentinel.

Экспорт правил в шаблон ARM

Можно легко экспортировать правило в шаблон Azure Resource Manager (ARM), если необходимо управлять правилами и развертывать их как код. Кроме того, можно импортировать правила из файлов шаблонов, чтобы просматривать и изменять их в пользовательском интерфейсе.

Дальнейшие действия