Обнаружение угроз в Microsoft Sentinel
После настройки Microsoft Sentinel для сбора данных со всей организации необходимо постоянно копать все эти данные для обнаружения угроз безопасности в вашей среде. Для выполнения этой задачи Microsoft Sentinel предоставляет правила обнаружения угроз, которые выполняются регулярно, запрашивая собранные данные и анализируя их для обнаружения угроз. Эти правила входят в несколько различных вкусов и являются коллективно известными как правила аналитики.
Эти правила создают оповещения , когда они находят то, что они ищут. Оповещения содержат сведения об обнаруженных событиях, таких как сущности (пользователи, устройства, адреса и другие элементы). Оповещения агрегируются и коррелируются с инцидентами — файлами случаев, которые можно назначать и исследовать, чтобы узнать полную степень обнаруженной угрозы и реагировать соответствующим образом. Вы также можете создавать предопределенные автоматические ответы в собственной конфигурации правил.
Эти правила можно создать с нуля с помощью встроенного мастера правил аналитики. Однако корпорация Майкрософт настоятельно рекомендует использовать широкий массив шаблонов правил аналитики, доступных вам через множество решений Microsoft Sentinel, предоставляемых в центре содержимого. Эти шаблоны являются предварительно созданными прототипами правил, разработанными командами экспертов по безопасности и аналитиков на основе их знаний о известных угрозах, распространенных векторах атак и цепочках эскалации подозрительных действий. Вы активируете правила из этих шаблонов для автоматического поиска в среде для любых действий, которые выглядят подозрительными. Многие шаблоны можно настроить для поиска определенных типов событий или отфильтровать их в соответствии с вашими потребностями.
В этой статье показано, как Microsoft Sentinel обнаруживает угрозы и что происходит дальше.
Внимание
Microsoft Sentinel теперь общедоступен на платформе унифицированных операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Типы правил аналитики
Вы можете просмотреть правила и шаблоны аналитики, доступные для использования на странице "Аналитика" меню "Конфигурация" в Microsoft Sentinel. В настоящее время активные правила отображаются на одной вкладке и шаблоны для создания новых правил на другой вкладке. На третьей вкладке отображаются аномалии, специальный тип правила, описанный далее в этой статье.
Чтобы найти больше шаблонов правил, чем в данный момент, перейдите в центр содержимого в Microsoft Sentinel, чтобы установить связанные решения продуктов или автономное содержимое. Шаблоны правил аналитики доступны практически с каждым решением продукта в центре содержимого.
В Microsoft Sentinel доступны следующие типы правил аналитики и шаблоны правил.
- Запланированные правила
- Правила почти в режиме реального времени (NRT)
- Правила аномалий
- Правила безопасности Майкрософт
Помимо предыдущих типов правил существуют некоторые другие специализированные типы шаблонов, которые могут создавать один экземпляр правила с ограниченными параметрами конфигурации:
- Аналитика угроз
- Расширенное обнаружение многоэтапных атак ("Fusion")
- Аналитика поведения машинного обучения
Запланированные правила
По крайней мере наиболее распространенный тип правила аналитики запланированные правила основаны на запросах Kusto, настроенных для выполнения с регулярными интервалами и проверки необработанных данных из определенного периода lookback. Если число результатов, захваченных запросом, передает пороговое значение, настроенное в правиле, правило создает оповещение.
Запросы в запланированных шаблонах правил были написаны экспертами по безопасности и обработке и анализу данных, либо от корпорации Майкрософт, либо от поставщика решения, предоставляющего шаблон. Запросы могут выполнять сложные статистические операции с целевыми данными, показывая базовые показатели и выбросы в группах событий.
Логика запроса отображается в конфигурации правила. Вы можете использовать логику запроса и параметры планирования и обратного просмотра, как определено в шаблоне, или настроить их для создания новых правил. Кроме того, можно создать совершенно новые правила с нуля.
Дополнительные сведения о правилах запланированной аналитики в Microsoft Sentinel.
Правила почти в режиме реального времени (NRT)
Правила NRT — это ограниченное подмножество запланированных правил. Они предназначены для выполнения каждые минуты, чтобы предоставить вам информацию как можно до минуты.
Они работают и настраиваются почти как обычные запланированные правила, но с некоторыми дополнительными ограничениями.
Дополнительные сведения о быстром обнаружении угроз с помощью правил аналитики NRT в Microsoft Sentinel.
Правила аномалий
Правила аномалий используют машинное обучение для наблюдения за определенными типами поведения за определенный период времени, чтобы определить базовый план. Каждое правило имеет собственные уникальные параметры и пороговые значения, соответствующие анализируемому поведению. После завершения периода наблюдения базовый план устанавливается. Когда правило наблюдает поведение, превышающее границы, заданные в базовом плане, оно помечает эти вхождения как аномальные.
Хотя конфигурации устаревших правил нельзя изменить или точно настроить, можно дублировать правило, а затем изменить и точно настроить дубликат. В этих случаях одновременно выполняйте дубликат в режиме фокус-тестирования и оригинал в рабочем режиме. Затем сравните результаты, и переведите дубликат в рабочий режим, когда его конфигурация вас устроит.
Аномалии не обязательно указывают на вредоносное или даже подозрительное поведение сами по себе. Поэтому правила аномалий не создают собственные оповещения. Скорее, они записывают результаты их анализа ( обнаруженные аномалии) в таблице аномалий . Вы можете запросить эту таблицу, чтобы предоставить контекст, который улучшает обнаружение, расследование и поиск угроз.
Дополнительные сведения см. в статьях Использование настраиваемых аномалий для обнаружения угроз в Microsoft Sentinel и Использование правил аналитики для обнаружения аномалий в Microsoft Sentinel.
Правила безопасности Майкрософт
Хотя правила NRT и запланированные правила автоматически создают инциденты для создаваемых оповещений, оповещения, созданные во внешних службах и приеме в Microsoft Sentinel, не создают собственные инциденты. Правила безопасности Майкрософт автоматически создают инциденты Microsoft Sentinel из оповещений, созданных в других решениях по безопасности Майкрософт в режиме реального времени. Вы можете использовать шаблоны безопасности Майкрософт для создания новых правил с аналогичной логикой.
Внимание
Правила безопасности Майкрософт недоступны , если у вас есть:
- Включена интеграция инцидентов XDR в Microsoft Defender или
- Подключен Microsoft Sentinel к единой платформе операций безопасности.
В этих сценариях XDR в Microsoft Defender создает инциденты.
Все такие правила, которые вы определили заранее, автоматически отключаются.
Дополнительные сведения о правилах создания инцидентов безопасности Майкрософт см. в статье Автоматическое создание инцидентов из оповещений системы безопасности Майкрософт.
Аналитика угроз
Воспользуйтесь преимуществами аналитики угроз, созданной корпорацией Майкрософт, для создания оповещений и инцидентов с помощью правила Аналитики угроз Microsoft Threat Intelligence . Это уникальное правило не настраивается, но при включении автоматически совпадает с журналами общего формата событий (CEF), данными системного журнала или событиями DNS Windows с индикаторами угроз домена, IP-адреса и URL-адреса из Microsoft Threat Intelligence. Некоторые индикаторы содержат дополнительные сведения о контексте через MDTI (Аналитика угроз Microsoft Defender).
Дополнительные сведения о включении этого правила см. в статье "Использование аналитики сопоставления для обнаружения угроз".
Дополнительные сведения о MDTI см. в разделе "Что такое Аналитика угроз Microsoft Defender".
Расширенное обнаружение многоэтапных атак (Fusion)
Microsoft Sentinel использует подсистему корреляции Fusion со своими масштабируемыми алгоритмами машинного обучения для обнаружения расширенных многоэтапных атак путем сопоставления многих оповещений с низкой точностью и событиями в нескольких продуктах в высоконадежные и практические инциденты. Правило обнаружения атак Advanced multistage по умолчанию включено. Так как логика скрыта и поэтому не настраивается, существует только одно правило с этим шаблоном.
Модуль Fusion также может сопоставлять оповещения, созданные правилами запланированной аналитики , с оповещениями из других систем, создавая инциденты высокой точности в результате.
Внимание
Если у вас есть расширенный тип правила обнаружения атак advanced multistage, он недоступен:
- Включена интеграция инцидентов XDR в Microsoft Defender или
- Подключен Microsoft Sentinel к единой платформе операций безопасности.
В этих сценариях XDR в Microsoft Defender создает инциденты.
Кроме того, некоторые шаблоны обнаружения Fusion в настоящее время находятся в предварительной версии (см . дополнительные сведения об обнаружении многоэтапных атак в Microsoft Sentinel , чтобы узнать, какие из них). Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.
аналитика поведения машинного обучения;
Воспользуйтесь преимуществами собственных алгоритмов машинного обучения Майкрософт для создания оповещений и инцидентов высокой точности с помощью правил аналитики поведения машинного обучения. Эти уникальные правила (в настоящее время в предварительной версии) не настраиваются, но при включенном обнаружении определенных аномальных действий входа SSH и RDP на основе ip-адресов и геолокации и сведений журнала пользователей.
Разрешения доступа для правил аналитики
При создании правила аналитики маркер разрешений доступа применяется к правилу и сохраняется вместе с ним. Этот маркер гарантирует, что правило может получить доступ к рабочей области, содержащей данные, запрашиваемые правилом, и что этот доступ сохраняется, даже если создатель правила теряет доступ к этой рабочей области.
Однако существует одно исключение для этого доступа: если правило создается для доступа к рабочим областям в других подписках или клиентах, таких как то, что происходит в случае MSSP, Microsoft Sentinel принимает дополнительные меры безопасности, чтобы предотвратить несанкционированный доступ к данным клиентов. Для этих типов правил учетные данные пользователя, создавшего правило, применяются к правилу вместо независимого маркера доступа, чтобы, когда пользователь больше не имеет доступа к другой подписке или клиенту, правило перестает работать.
Если вы используете Microsoft Sentinel в сценарии с несколькими подписками или несколькими клиентами, когда один из аналитиков или инженеров теряет доступ к определенной рабочей области, все правила, созданные этим пользователем, перестают работать. В этой ситуации вы получите сообщение мониторинга работоспособности относительно "недостаточного доступа к ресурсу", и правило автоматически отключено после сбоя определенного количества раз.
Экспорт правил в шаблон ARM
Можно легко экспортировать правило в шаблон Azure Resource Manager (ARM), если необходимо управлять правилами и развертывать их как код. Кроме того, можно импортировать правила из файлов шаблонов, чтобы просматривать и изменять их в пользовательском интерфейсе.
Следующие шаги
Дополнительные сведения о правилах запланированной аналитики в Microsoft Sentinel и быстром обнаружении угроз с помощью правил аналитики почти в реальном времени (NRT) в Microsoft Sentinel.
Дополнительные сведения о шаблонах правил см. в статье "Обнаружение и управление содержимым Microsoft Sentinel вне поля".