Руководство по обнаружению угроз с помощью правил аналитики в Microsoft Sentinel

Важно!

Пользовательское обнаружение теперь является лучшим способом создания новых правил в Microsoft Sentinel SIEM Microsoft Defender XDR. Благодаря пользовательским обнаружениям можно сократить затраты на прием данных, получить неограниченное количество обнаружения в режиме реального времени и воспользоваться преимуществами простой интеграции с Defender XDR данными, функциями и действиями по исправлению с помощью автоматического сопоставления сущностей. Дополнительные сведения см. в этом блоге.

Как служба управления информационной безопасностью и событиями безопасности (SIEM), Microsoft Sentinel отвечает за обнаружение угроз безопасности для вашей организации. Это делается путем анализа больших объемов данных, создаваемых журналами всех систем.

В этом руководстве вы узнаете, как настроить правило аналитики Microsoft Sentinel из шаблона для поиска эксплойтов уязвимости Apache Log4j в вашей среде. Это правило определяет учетные записи пользователей и IP-адреса, найденные в журналах, как отслеживаемые сущности, всплывает важные фрагменты информации в оповещениях, созданных правилами, а оповещения пакетов — как инциденты, которые необходимо исследовать.

По завершении работы с этим руководством вы сможете:

• Создание правила аналитики на основе шаблона
• Настройка запроса и параметров правила
• Настройка трех типов обогащения оповещений
• Выбор автоматизированных ответов на угрозы для своих правил

Предварительные условия

Чтобы завершить работу с этим руководством, убедитесь, что у вас есть:

• Подписка на Azure. Создайте бесплатную учетную запись , если у вас ее еще нет.

• Рабочая область Log Analytics с развернутой на ней Microsoft Sentinel решением и данными, которые в нее принимаются.

• Пользователь Azure с ролью участника Microsoft Sentinel, назначенной в рабочей области Log Analytics, где развертывается Microsoft Sentinel.

• В этом правиле используются ссылки на следующие источники данных. Чем больше соединителей развернуто, тем эффективнее будет правило. У вас должен быть хотя бы один.

  Источник данных	Ссылки на таблицы Log Analytics
  Office 365	OfficeActivity (SharePoint) OfficeActivity (Exchange) OfficeActivity (Teams)
  DNS	DnsEvents
  Монитор Azure (аналитика виртуальных машин)	VMConnection
  Cisco ASA	CommonSecurityLog (Cisco)
  Palo Alto Networks (Брандмауэр)	CommonSecurityLog (PaloAlto)
  События безопасности	SecurityEvents
  Microsoft Entra ID	SigninLogs AADNonInteractiveUserSignInLogs
  Монитор Azure (WireData)	WireData
  Монитор Azure (IIS)	W3CIISLog
  Действия Azure	AzureActivity
  Веб-службы Amazon	AWSCloudTrail
  Microsoft Defender XDR	DeviceNetworkEvents
  Брандмауэр Azure	AzureDiagnostics (Брандмауэр Azure)

Войдите в портал Azure и Microsoft Sentinel

1. Войдите на портал Azure.

2. На панели поиска найдите и выберите Microsoft Sentinel.

3. Найдите и выберите рабочую область из списка доступных Microsoft Sentinel рабочих областей.

Установка решения из концентратора содержимого

1. В Microsoft Sentinel в меню слева в разделе Управление содержимым выберите Центр содержимого.

2. Найдите и выберите решение Обнаружение уязвимостей Log4j.

3. На панели инструментов в верхней части страницы выберите Установка и обновление.

Создание правила аналитики по расписанию на основе шаблона

1. В Microsoft Sentinel в меню слева в разделе Конфигурация выберите Аналитика.

2. На странице Аналитика выберите вкладку Шаблоны правил .

3. В поле поиска в верхней части списка шаблонов правил введите log4j.

4. В отфильтрованном списке шаблонов выберите Log4j уязвимости, который называется Log4Shell IP IOC. В области сведений выберите Создать правило.

   

   Откроется мастер правил аналитики .

5. На вкладке Общие в поле Имя введите log4j уязвимости exploit aka Log4Shell IP IOC — Tutorial-1.

6. Оставьте остальные поля на этой странице как есть. Это значения по умолчанию, но позже мы добавим настройку к имени оповещения.

   Если вы не хотите, чтобы правило выполнялось немедленно, выберите Отключено, и правило будет добавлено на вкладку Активные правила , и вы можете включить его оттуда, когда вам нужно.

7. Выберите Далее: задать логику правила.

Просмотр логики запроса правила и конфигурации параметров

• На вкладке Задать логику правила просмотрите запрос, как он отображается в заголовке Запрос правила .

  Чтобы одновременно просмотреть больше текста запроса, щелкните диагональный значок двойной стрелки в правом верхнем углу окна запроса, чтобы развернуть окно до большего размера.

  

  Дополнительные сведения о KQL см. в статье Общие сведения о язык запросов Kusto (KQL).

  Другие ресурсы

  • Краткий справочник по KQL
  • учебные ресурсы язык запросов Kusto

Обогащение оповещений сущностями и другими сведениями

1. В разделе Обогащение оповещений оставьте параметры сопоставления сущностей в нужном виде. Обратите внимание на три сопоставленные сущности.

   

2. В разделе Пользовательские сведения добавим метку времени каждого вхождения в оповещение, чтобы вы могли видеть ее прямо в сведениях об оповещении без необходимости детализации.

   1. Введите метку времени в поле Ключ . Это будет имя свойства в оповещении.
   2. Выберите метку времени в раскрывающемся списке Значение .

3. В разделе Сведения об оповещении давайте настроим имя оповещения так, чтобы метка времени каждого вхождения отображалась в заголовке оповещения.

   В поле Формат имени оповещения введите log4j уязвимости exploit aka Log4Shell IP IOC в {{timestamp}}.

   

Просмотр оставшихся параметров

1. Просмотрите остальные параметры на вкладке Задание логики правила . Нет необходимости ничего менять, хотя вы можете, например, изменить интервал. Просто убедитесь, что период обратного просмотра соответствует интервалу, чтобы обеспечить непрерывный охват.

   • Планирование запросов:

     • Выполнение запроса каждые 1 час.
     • Данные поиска за последние 1 час.

   • Порог оповещений:

     • Создавайте оповещение, если число результатов запроса больше 0.

   • Группирование событий:

     • Настройка группировки результатов запроса правила в оповещения: сгруппировать все события в одно оповещение.

   • Подавления:

     • Остановите выполнение запроса после создания оповещения: выкл.

   

2. Выберите Далее: параметры инцидента.

Просмотр параметров создания инцидента

1. Просмотрите параметры на вкладке Параметры инцидента . Нет необходимости ничего менять, если, например, у вас нет другой системы для создания инцидентов и управления ими. В этом случае вы хотите отключить создание инцидентов.

   • Параметры инцидента:

     • Создание инцидентов на основе оповещений, активированных этим правилом аналитики: Включено.

   • Группирование оповещений:

     • Сгруппируйте связанные оповещения, активированные этим правилом аналитики, в инциденты: Отключено.

   

2. Выберите Далее: автоматический ответ.

Настройка автоматических ответов и создание правила

На вкладке Автоматический ответ выполните следующие действия.

1. Выберите + Добавить, чтобы создать новое правило автоматизации для этого правила аналитики. Откроется мастер создания правила автоматизации .

   

2. В поле Имя правила автоматизации введите Обнаружение уязвимостей Log4J — Учебник 1.

3. Оставьте разделы Триггер и Условия .

4. В разделе Действия выберите Добавить теги в раскрывающемся списке.

   1. Выберите + Добавить тег.
   2. Введите Log4J exploit в текстовое поле и нажмите кнопку ОК.

5. Оставьте разделы Срок действия правила и Заказ .

6. Нажмите Применить. Вскоре вы увидите новое правило автоматизации в списке на вкладке Автоматический ответ .

7. Выберите Далее: проверка , чтобы просмотреть все параметры нового правила аналитики. Когда появится сообщение "Проверка пройдена", нажмите кнопку Создать. Если для правила не задано значение Отключено на вкладке Общие выше, правило будет запущено немедленно.

   Выберите изображение ниже для отображения полной проверки (большая часть текста запроса была обрезана для удобства просмотра).

   

Проверка успешности правила

1. Чтобы просмотреть результаты создаваемых правил генерации оповещений, перейдите на страницу Инциденты .

2. Чтобы отфильтровать список инцидентов по тем, которые создаются правилом аналитики, введите имя (или часть имени) созданного правила аналитики в строке поиска .

3. Откройте инцидент, название которого соответствует имени правила аналитики. Убедитесь, что к инциденту был применен флаг, определенный в правиле автоматизации.

Очистка ресурсов

Если вы не собираетесь продолжать использовать это правило аналитики, удалите (или по крайней мере отключите) созданные правила аналитики и автоматизации, выполнив следующие действия.

1. На странице Аналитика выберите вкладку Активные правила .

2. Введите имя (или часть имени) правила аналитики, созданного на панели поиска .
   (Если он не отображается, убедитесь, что для фильтров задано значение Выбрать все.)

3. Пометьте поле проверка рядом с правилом в списке и выберите Удалить в верхнем баннере.
   (Если вы не хотите удалять его, вместо этого можно выбрать Отключить .)

4. На странице Автоматизация выберите вкладку Правила автоматизации .

5. Введите имя (или часть имени) правила автоматизации, созданного на панели поиска .
   (Если он не отображается, убедитесь, что для фильтров задано значение Выбрать все.)

6. Пометьте поле проверка рядом с правилом автоматизации в списке и выберите Удалить в верхнем баннере.
   (Если вы не хотите удалять его, вместо этого можно выбрать Отключить .)

Дальнейшие действия

Теперь, когда вы узнали, как искать эксплойты распространенной уязвимости с помощью правил аналитики, узнайте больше о том, что можно сделать с помощью аналитики в Microsoft Sentinel:

• Сведения о полном наборе параметров и конфигураций в правилах аналитики по расписанию.

• В частности, дополнительные сведения о различных типах обогащения оповещений вы видели здесь:

  • Сопоставление сущностей
  • Пользовательские сведения
  • Свойства оповещений

• Сведения о других типах правил аналитики в Microsoft Sentinel и их функциях.

• Дополнительные сведения о написании запросов в язык запросов Kusto (KQL). Чтобы узнать больше о KQL, ознакомьтесь с этим обзором, ознакомьтесь с некоторыми рекомендациями и сохраните это краткое руководство.