Создание настраиваемого правила аналитики с нуля

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Вы настроили соединители и другие средства сбора данных о действиях в цифровом пространстве. Теперь необходимо проанализировать все эти данные для обнаружения шаблонов действий и обнаружения действий, которые не соответствуют этим шаблонам и которые могут представлять угрозу безопасности.

Microsoft Sentinel и его множество решений, предоставляемых в центре контента, шаблонов предложений для наиболее часто используемых типов правил аналитики, и настоятельно рекомендуется использовать эти шаблоны, настраивая их в соответствии с конкретными сценариями. Но возможно, вам потребуется что-то совершенно другое, поэтому в этом случае можно создать правило с нуля с помощью мастера правил аналитики.

В этой статье описан мастер правил аналитики и описаны все доступные варианты. Он сопровождается снимками экрана и инструкциями для доступа к мастеру как в портал Azure, так и для пользователей Microsoft Sentinel, которые также не являются подписчиками Microsoft Defender и порталом Defender для пользователей единой платформы операций безопасности Microsoft Defender.

Внимание

Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Необходимые компоненты

  • У вас должна быть роль участника Microsoft Sentinel или любая другая роль или набор разрешений, включая разрешения на запись в рабочей области Log Analytics и ее группу ресурсов.

Проектирование и сборка запроса

Прежде чем делать что-либо еще, необходимо разработать и создать запрос в язык запросов Kusto (KQL), который будет использоваться для запроса одной или нескольких таблиц в рабочей области Log Analytics.

  1. Определите источник данных, который требуется искать для обнаружения необычных или подозрительных действий. Найдите имя таблицы Log Analytics, в которую будут входить данные из этого источника. Имя таблицы можно найти на странице соединителя данных для этого источника. Используйте это имя таблицы (или функцию на основе нее) в качестве основы для запроса.

  2. Определите тип анализа, который требуется выполнить в таблице. Это решение определяет, какие команды и функции следует использовать в запросе.

  3. Определите, какие элементы данных (поля, столбцы) нужно выбрать из результатов запроса. Это решение определяет структуру выходных данных запроса.

Рекомендации по запросам правил аналитики

  • Рекомендуется использовать средство синтаксического анализа расширенной информационной модели безопасности (ASIM) в качестве источника запроса вместо использования собственной таблицы. Это гарантирует, что запрос поддерживает любой текущий или будущий соответствующий источник данных или семейство источников данных, а не полагаться на один источник данных.

  • Длина запроса должна составлять от 1 до 10 000 символов и не может содержать операции "search *" или "union *". Чтобы обойти ограничение длины запроса, можно использовать определяемые пользователем функции.

  • В окне запроса в Log Analytics не поддерживается использование функций Azure Data Explorer для создания запросов Azure Data Explorer.

  • Если в запросе используется функция bag_unpack, при этом столбцы проецируются в формат полей с помощью project field1, а указанный столбец не существует, запрос завершится ошибкой. Чтобы защититься от этой проблемы, необходимо проецировать столбец следующим образом:

    project field1 = column_ifexists("field1","")

Дополнительные сведения о создании запросов Kusto см. в язык запросов Kusto в Microsoft Sentinel и рекомендации по язык запросов Kusto запросам.

Создайте и проверьте запросы на экране журналов . Когда вы удовлетворены, сохраните запрос для использования в правиле.

Создание правила аналитики

В этом разделе описывается создание правила с помощью порталов Azure или Defender.

Запуск мастера правил аналитики

  1. В разделе "Конфигурация" меню навигации Microsoft Sentinel выберите "Аналитика".

  2. На панели действий в верхней части выберите действие +Создать и пункт Правило запроса по расписанию. Откроется Мастер правил аналитики.

    Снимок экрана: экран аналитики в портал Azure.

Назовите правило и определите общие сведения

В портал Azure этапы представлены визуально как вкладки. На портале Defender они представлены визуально как вехи на временная шкала. Примеры см. на снимках экрана ниже.

  1. Укажите уникальное значение для параметра Имя и произвольное значение для параметра Описание.

  2. Задайте уровень серьезности оповещений соответствующим образом, сопоставляя влияние действия, запускающего правило, возможно, в целевой среде, если правило будет истинным положительным.

    Статус Description
    Информация Не влияет на систему, но информация может свидетельствовать о будущих шагах, запланированных субъектом угроз.
    Низкая Непосредственное влияние будет минимальным. Субъект угроз, скорее всего, потребуется выполнить несколько шагов, прежде чем достичь влияния на среду.
    Средний Субъект угроз может оказать некоторое влияние на среду с этим действием, но он будет ограничен в область или требовать дополнительных действий.
    Высокий уровень Определяемое действие предоставляет субъекту угроз широкий доступ к действиям в среде или активируется воздействием на среду.

    Значения по умолчанию уровня серьезности не являются гарантией текущего или экологического уровня влияния. Настройте сведения об оповещении для настройки серьезности, тактики и других свойств данного экземпляра оповещения со значениями любых соответствующих полей из выходных данных запроса.

    Определения серьезности для шаблонов правил аналитики Microsoft Sentinel относятся только к оповещениям, созданным правилами аналитики. Для оповещений, принятых из других служб, серьезность определяется исходной службой безопасности.

  3. В поле "Тактика и методы" можно выбрать один из категорий действий угроз, с помощью которых следует классифицировать правило. Они основаны на тактике и методах платформы MITRE ATT&CK .

    Инциденты , созданные из оповещений, обнаруженных правилами, сопоставленными с тактикой и методами MITRE ATT&CK, автоматически наследуют сопоставление правила.

    Дополнительные сведения о максимизации охвата ландшафта угроз MITRE ATT&CK см. в статье "Общие сведения о охвате безопасности платформой MITRE ATT&CK®"

  4. При создании правила его Состояние по умолчанию получает значение Включено, то есть правило начинает работу немедленно после его создания. Если вы не хотите сразу выполнять его, выберите значение Отключено. Такое правило просто появится на вкладке Активные правила, и вы сможете при необходимости включить его из этого списка.

    Примечание.

    Существует еще один способ, в настоящее время в предварительной версии, чтобы создать правило без его немедленного выполнения. Правило можно запланировать первым запуском по определенной дате и времени. См. раздел "Расписание" и область приведенный ниже запрос.

  5. Выберите Далее: настройка логики правила.

Определение логики правила

  1. Введите запрос к правилу.

    Вставьте созданный, созданный и тестируемый запрос в окно запроса правила. Каждое изменение, внесенные в это окно, мгновенно проверяется, поэтому при возникновении ошибок вы увидите указание прямо под окном.

  2. Сопоставление сущностей.

    Сущности важны для обнаружения и исследования угроз. Сопоставите типы сущностей, распознанные Microsoft Sentinel, с полями в результатах запроса. Это сопоставление интегрирует обнаруженные сущности в поле Сущностей в схеме оповещений.

    Полные инструкции по сопоставлению сущностей см. в разделе "Сопоставление полей данных с сущностями" в Microsoft Sentinel.

  3. Пользовательские сведения о surface в оповещениях.

    По умолчанию только сущности оповещений и метаданные отображаются в инцидентах без детализации необработанных событий в результатах запроса. Этот шаг принимает другие поля в результатах запроса и интегрирует их в поле ExtendedProperties в оповещениях, что приводит к отображению их перед оповещениями и в любых инцидентах, созданных из этих оповещений.

    Полные инструкции по отображению пользовательских сведений см. в разделе "Сведения о пользовательском событии Surface" в оповещениях в Microsoft Sentinel.

  4. Настройка сведений об оповещении.

    Этот параметр позволяет настраивать свойства оповещений в противном случае в соответствии с содержимым различных полей в каждом отдельном оповещении. Эти настройки интегрируются в поле ExtendedProperties в оповещениях. Например, можно настроить имя или описание оповещения, чтобы включить в оповещение имя пользователя или IP-адрес.

    Полные инструкции по настройке сведений об оповещении см. в разделе "Настройка сведений об оповещении" в Microsoft Sentinel.

  5. Планирование и область запроса.

    1. Задайте следующие параметры в разделе планирования запросов:

      Параметр Поведение
      Выполнение каждого запроса Управляет интервалом запроса: как часто выполняется запрос.
      Данные подстановки из последней Определяет период обратного просмотра: период времени, охватываемый запросом.

      • Допустимый диапазон для обоих этих параметров составляет от 5 минут до 14 дней.

      • Интервал запроса должен быть короче или равен периоду обратного просмотра. Если это короче, периоды запроса будут перекрываться, и это может привести к дублированию результатов. Проверка правила не позволит задать интервал дольше, чем период обратного просмотра, однако, так как это приведет к пробелам в вашем охвате.

    2. Задайте для запуска:

      Параметр Поведение
      Автоматически Правило будет выполняться в первый раз сразу после создания и после этого в интервале, заданном в запросе запуска каждого параметра.
      В определенное время (предварительная версия) Задайте дату и время для первого запуска правила, после которого он будет выполняться через интервал, заданный в запросе run каждый параметр.

      • Время запуска должно быть от 10 минут до 30 дней после создания правила (или включения).

      • Строка текста в параметрах запуска (с значком сведений слева) суммирует текущие параметры планирования запросов и обратного просмотра.

        Снимок экрана: переключение и параметры расширенного планирования.

    Примечание.

    Задержка приема

    Чтобы учитывать задержку , которая может возникать между созданием события в источнике и приемом в Microsoft Sentinel, и обеспечить полное покрытие без дублирования данных, Microsoft Sentinel выполняет запланированные правила аналитики в течение пяти минут с запланированной задержки с запланированного времени.

    Дополнительные сведения см. в разделе "Обработка задержки приема" в правилах запланированной аналитики.

  6. Задайте пороговое значение для создания оповещений.

    Раздел Порог оповещения позволяет определить уровни чувствительности для правила.

    • Задайте оповещение, если число результатов запроса больше и введите минимальное количество событий, которые необходимо найти в течение периода времени запроса для создания оповещения.
    • Это обязательное поле, поэтому если вы не хотите задать пороговое значение, то есть, если вы хотите активировать оповещение даже для одного события в заданном периоде времени, введите 0 в поле числа.

  7. Задайте параметры группировки событий.

    В разделе Группирование событий выберите один из двух способов группирования событий в оповещения:

    Параметр Поведение
    Группировать все события в одно оповещение
    (по умолчанию)    		 В этом режиме правило создает одно оповещение при каждом запуске, если запрос возвращает больше результатов, чем указанный Порог оповещения. Это одно оповещение суммирует все события, возвращенные в результатах запроса.
    Активация оповещения для каждого события В этом режиме правило создает уникальное оповещение для каждого события, возвращенного запросом. Это полезно, если вы хотите, чтобы события отображались по отдельности, или если вы хотите сгруппировать их по определенным параметрам — по имени пользователя, имени узла или другому элементу. Такие параметры можно определить в запросе.

    Правила аналитики могут создавать до 150 оповещений. Если для каждого события задано группирование событий, а запрос правила возвращает более 150 событий, первые 149 событий будут создавать уникальное оповещение (для 149 оповещений), а 150-е оповещение обобщает весь набор возвращаемых событий. Другими словами, 150-е оповещение — это то, что было бы создано, если группирование событий было установлено для группировки всех событий в одно оповещение.

  8. Временное отключение правила после создания оповещения.

    В разделе Подавление можно присвоить параметру Остановить выполнение запроса после создания оповещения значение Включено, если вы хотите при получении оповещения приостановить обработку этого правила на некоторый период времени, превышающий интервал запросов. После включения этого параметра обязательно задайте в параметре Остановить выполнение запроса на период времени, на который запрос будет приостановлен (вплоть до 24 часов).

  9. Имитируйте результаты параметров запроса и логики.

    В области моделирования результатов выберите "Тест с текущими данными" и Microsoft Sentinel отобразит график результатов (событий журнала) запрос, созданный в течение последних 50 раз, когда он будет выполняться в соответствии с текущим расписанием. Если в запрос будут внесены изменения, снова выберите Протестировать на основе текущих данных, чтобы обновить график. Этот график демонстрирует количество результатов за определенный период времени в соответствии с параметрами раздела Планирование запроса.

    Примерно так может выглядеть результат имитации результатов для запроса, приведенного на снимке экрана выше. Левая часть содержит представление по умолчанию, а информация в правой части отображается при наведении указателя мыши на любой момент времени на диаграмме.

    Снимки экрана: имитация результатов

    Если вы видите, что запрос будет запускать слишком много или слишком частых оповещений, можно поэкспериментировать с параметрами в разделах планирования запросов и пороговых значений оповещений и снова выбрать тест с текущими данными.

  10. Нажмите кнопку "Далее" — параметры инцидента.

Настройка параметров создания инцидентов

На вкладке "Параметры инцидента" выберите, преобразует ли Microsoft Sentinel оповещения в практические инциденты и как оповещения группируются в инциденты.

  1. Включите создание инцидентов.

    В разделе Параметры инцидента параметр Создать инциденты на основе оповещений, активируемых этим правилом анализа по умолчанию принимает значение Включено, то есть Microsoft Sentinel будет создавать отдельный инцидент для каждого оповещения, созданного этим правилом.

    • Если вы не хотите, чтобы это правило создавало инциденты (например, если правило лишь собирает сведения для анализа), установите для этого параметра значение Отключено.

      Внимание

      Если вы подключены Microsoft Sentinel к единой платформе операций безопасности на портале Microsoft Defender, и это правило запрашивает и создает оповещения из источников Microsoft 365 или Microsoft Defender, этот параметр должен быть отключен.

    • Если вы предпочитаете создавать один инцидент для целой группы оповещений, а не отдельный инцидент для каждого из них, изучите следующий раздел.

  2. Задайте параметры группирования оповещений.

    В разделе группирования оповещений, если требуется создать один инцидент из группы до 150 аналогичных или повторяющихся оповещений (см. примечание), задайте связанные с группой оповещения, активируемые этим правилом аналитики, в инциденты включено и задайте следующие параметры.

    1. Ограничить группу оповещениями, созданными за выбранный интервал времени: определите интервал времени, за который будут группироваться схожие или повторяющиеся оповещения. Все подходящие оповещения за указанный промежуток времени будут объединяться в один или несколько инцидентов (с учетом указанных ниже параметров группирования). Оповещения за пределами этого промежутка времени будут приводить к созданию отдельных инцидентов или наборов инцидентов.

    2. Группировать оповещения, активируемые этим правилом анализа, в один инцидент по: выберите принцип группирования оповещений:

      Вариант Описание
      Группирование предупреждений в один инцидент, если все сущности совпадают Оповещения будут объединяться, если они имеют одинаковые значения по каждой из сопоставленных сущностей (как определено на описанной выше вкладке Задание логики правила). Это рекомендуемый параметр.
      Группировать все предупреждения, активируемые этим правилом, в один инцидент Будут объединяться все оповещения, созданные этим правилом, даже если у них нет совпадающих значений.
      Группирование оповещений в один инцидент, если выбранные сущности и сведения совпадают Будут объединяться оповещения, у которых совпадают значения всех сопоставленных сущностей, сведений об оповещении и настраиваемых параметров, выбранных в соответствующих раскрывающихся списках.

      Этот вариант вы можете использовать, если хотите создавать отдельные инциденты в зависимости от IP-адресов источника и назначения или группировать оповещения по определенным сущностям и уровням серьезности.

      Примечание. Если вы выберете этот вариант, необходимо создать хотя бы один тип сущности или выбрать хотя бы одно поле для этого правила. В противном случае проверка правила завершится ошибкой и правило не будет создано.

    3. Повторно открыть закрытые совпадающие инциденты. Если инцидент был разрешен и закрыт, а позднее появилось новое оповещение, которое должно относиться к тому же инциденту, поведение системы будет определяться этим параметром. Установите значение Включено, если вы хотите повторно открыть закрытый инцидент, или оставьте значение Отключено, если предпочитаете создать новый инцидент.

    Примечание.

    В одном инциденте можно объединить до 150 оповещений.

    • Инцидент будет создан только после создания всех оповещений. Все оповещения будут добавлены в инцидент сразу после его создания.

    • Если правило создаст более 150 оповещений, которые по настроенным параметрам должны группироваться в один инцидент, будет создан еще один инцидент с аналогичными сведениями, и в него будут объединены дополнительные оповещения.

  3. Нажмите кнопку "Далее": автоматический ответ.

Установка автоматических ответов и создание правила

На вкладке "Автоматические ответы" можно использовать правила автоматизации, чтобы задать автоматические ответы на любой из трех типов случаев:

  • Когда оповещение создается этим правилом аналитики.
  • При создании инцидента из оповещений, созданных этим правилом аналитики.
  • При обновлении инцидента с оповещениями, созданными этим правилом аналитики.

В сетке, отображаемой в правилах автоматизации, отображаются правила автоматизации, которые уже применяются к этому правилу аналитики (в силу того, что они соответствуют условиям, определенным в этих правилах). Вы можете изменить любой из них, выбрав имя правила или многоточие в конце каждой строки. Кроме того, можно выбрать команду "Добавить новую ", чтобы создать новое правило автоматизации.

Используйте правила автоматизации для выполнения основных операций, назначения, рабочего процесса и закрытия инцидентов.

Автоматизация более сложных задач и вызов ответов из удаленных систем для устранения угроз путем вызова сборников схем из этих правил автоматизации. Сборники схем можно вызывать для инцидентов, а также для отдельных оповещений.

  • В разделе автоматизации оповещений (классическая модель) в нижней части экрана вы увидите все сборники схем, настроенные для автоматического запуска при создании оповещения с помощью старого метода.

    • По состоянию на июнь 2023 г. в этот список больше нельзя добавлять сборники схем. Сборники схем, уже перечисленные здесь, будут продолжать работать до тех пор, пока этот метод не рекомендуется , начиная с марта 2026 года.

    • Если у вас по-прежнему есть сборники схем, перечисленные здесь, следует создать правило автоматизации на основе созданного оповещения триггера и вызвать сборник схем из правила автоматизации. После этого выберите многоточие в конце строки сборника схем, перечисленных здесь, и нажмите кнопку "Удалить". Полные инструкции см . в сборниках схем оповещений Microsoft Sentinel в правила автоматизации.

Нажмите кнопку "Далее": просмотрите и создайте, чтобы просмотреть все параметры для нового правила аналитики. Когда появится сообщение "Проверка пройдена", нажмите кнопку "Создать".

Просмотр правила и выходных данных

Просмотрите определение правила:

  • Новое настраиваемое правило (с типом "Запланировано") можно найти в таблице на вкладке Активные правила на главной странице средства Аналитика. В этом списке вы можете включить, отключить или удалить любое правило.

Просмотрите результаты правила:

  • Чтобы просмотреть результаты правил аналитики, создаваемых в портал Azure, перейдите на страницу "Инциденты", где можно просматривать инциденты, исследовать их и устранять угрозы.

Настройка правила:

Примечание.

Оповещения, созданные в Microsoft Sentinel, можно получать в Microsoft Graph Security. Дополнительные сведения см. в документации по оповещениям Microsoft Graph Security.

Экспорт правила в шаблон ARM

Если вы хотите упаковать правило для последующего управления и развертывания в формате кода, его можно легко экспортировать в шаблон ARM (Azure Resource Manager). Кроме того, можно импортировать правила из файлов шаблонов, чтобы просматривать и изменять их в пользовательском интерфейсе.

Следующие шаги

При использовании правил аналитики для обнаружения угроз от Microsoft Sentinel убедитесь, что все правила, связанные с подключенными источниками данных, обеспечивают полное покрытие безопасности для вашей среды.

Чтобы автоматизировать включение правил, отправьте правила в Microsoft Sentinel через API и PowerShell, хотя это требует дополнительных усилий. При использовании API или PowerShell необходимо сначала экспортировать правила в формат JSON и лишь затем включать их. API или PowerShell будут удобны, если вам нужно включить правила с одинаковыми параметрами в нескольких экземплярах Microsoft Sentinel.

Дополнительные сведения см. в разделе:

Кроме того, изучите пример использования настраиваемых правил аналитики для мониторинга Zoom с применением пользовательского соединителя.