Использование аналитики сопоставления для обнаружения угроз
Воспользуйтесь преимуществами аналитики угроз, созданной корпорацией Майкрософт, для создания оповещений с высоким уровнем точности и инцидентов с помощью правила аналитики Аналитика угроз Microsoft Defender. Это встроенное правило в Microsoft Sentinel соответствует индикаторам с журналами common Event Format (CEF), событиями DNS Windows с индикаторами угроз домена и IPv4, данными системного журнала и т. д.
Внимание
Аналитика сопоставления в настоящее время находится в предварительной версии. Дополнительные условия использования для предварительных версий Microsoft Azure см. в дополнительных юридических терминах, применимых к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.
Необходимые компоненты
Для создания оповещений и инцидентов необходимо установить один или несколько поддерживаемых соединителей данных. Лицензия на премиум-Аналитика угроз Microsoft Defender не требуется. Установите соответствующие решения из концентратора контента для подключения этих источников данных:
- Common Event Format
- DNS (предварительная версия)
- Системный журнал
- Журналы действий Office
- Журнал действий Azure
- Журналы DNS ASIM
- Сетевые сеансы ASIM
Например, в зависимости от источника данных можно использовать следующие решения и соединители данных:
Настройка правила аналитики сопоставления
Сопоставление аналитики настраивается при включении правила Аналитика угроз Microsoft Defender Analytics.
В разделе "Конфигурация" выберите меню "Аналитика".
Перейдите на вкладку "Шаблоны правил".
В окне поиска введите аналитику угроз.
Выберите шаблон правила Аналитика угроз Microsoft Defender Analytics.
Выберите Создать правило. Сведения о правиле доступны только для чтения, а состояние правила по умолчанию включено.
Выберите "Проверить>создание".
Источники данных и индикаторы
Аналитика угроз Microsoft Defender Аналитика соответствует журналам с индикаторами домена, IP-адреса и URL-адреса следующими способами:
- Журналы CEF, входящие в таблицу Log Analytics
CommonSecurityLog, соответствуют URL-адресу и индикаторам домена, если они заполнены вRequestURLполе, и индикаторами IPv4 вDestinationIPполе. - Журналы DNS Windows, где
SubType == "LookupQuery"прием в таблицуDnsEventsсоответствует индикаторам домена, заполненным вNameполе, и индикаторами IPv4 вIPAddressesполе. - События системного журнала, где
Facility == "cron"прием в таблицуSyslogсоответствует индикаторам домена и IPv4 непосредственно изSyslogMessageполя. - Журналы действий Office, полученные в таблицу
OfficeActivity, соответствуют индикаторам IPv4 непосредственно изClientIPполя. - Журналы действий Azure, полученные в таблицу
AzureActivity, соответствуют индикаторам IPv4 непосредственно изCallerIpAddressполя. - Журналы DNS ASIM, принимающиеся в
ASimDnsActivityLogsиндикаторы домена таблицы, если они заполнены вDnsQueryполе, и индикаторы IPv4 вDnsResponseNameполе. - Сетевые сеансы ASIM, принимающиеся в
ASimNetworkSessionLogsтаблицу, соответствуют индикаторам IPv4, если заполнены в одном или нескольких из следующих полей:DstIpAddr,DstNatIpAddr,SrcNatIpAddr,SrcIpAddr.DvcIpAddr
Обработка инцидента, созданного при сопоставлении аналитики
Если аналитика Майкрософт находит совпадение, все созданные оповещения группируются в инциденты.
Выполните следующие действия, чтобы просмотреть инциденты, созданные правилом Аналитика угроз Microsoft Defender Analytics:
В рабочей области Microsoft Sentinel, в которой включено правило аналитики Аналитика угроз Microsoft Defender, выберите "Инциденты" и найдите Аналитика угроз Microsoft Defender Analytics.
Все инциденты, обнаруженные в сетке.
Выберите Просмотреть полные сведения, чтобы просмотреть сущности и другие сведения об инциденте, например связанные оповещения.
Рассмотрим пример.
Обратите внимание на серьезность, назначенную оповещениям и инциденту. В зависимости от того, как соответствует индикатор, соответствующая серьезность назначается оповещению от
Informational.HighНапример, если индикатор соответствует журналам брандмауэра, разрешающим трафик, создается оповещение с высоким уровнем серьезности. Если тот же индикатор был сопоставлен с журналами брандмауэра, блокировав трафик, созданное оповещение будет низким или средним.Затем оповещения группируются по каждому наблюдаемому признаку индикатора. Например, все оповещения, созданные в 24-часовом периоде, который соответствует
contoso.comдомену, группируются в один инцидент с серьезностью, назначенной на основе наибольшей серьезности оповещений.Просмотрите сведения о индикаторе. При обнаружении совпадения индикатор публикуется в таблице Log Analytics
ThreatIntelligenceIndicatorsи отображается на странице аналитики угроз. Для любых индикаторов, опубликованных из этого правила, источник определяется как Аналитика угроз Microsoft Defender Analytics.
Ниже приведен пример ThreatIntelligenceIndicators таблицы.
Ниже приведен пример страницы аналитики угроз.
Получение дополнительных контекстов из Аналитика угроз Microsoft Defender
Наряду с оповещениями и инцидентами высокой точности некоторые Аналитика угроз Microsoft Defender индикаторы включают ссылку на справочную статью на портале сообщества Аналитика угроз Microsoft Defender.
Дополнительные сведения см. в разделе "Что такое Аналитика угроз Microsoft Defender?".
Связанный контент
В этой статье вы узнали, как подключить аналитику угроз, созданную корпорацией Майкрософт, для создания оповещений и инцидентов. Дополнительные сведения об аналитике угроз в Microsoft Sentinel см. в следующих статьях:
- Работа с индикаторами угроз в Microsoft Sentinel.
- Подключение Microsoft Sentinel к веб-каналам аналитики угроз STIX/TAXII.
- Подключите платформы аналитики угроз к Microsoft Sentinel.
- Узнайте, какие платформы TIP, веб-каналы TAXII и обогащения можно интегрировать с Microsoft Sentinel.