Создание настраиваемых правил обнаружения и управление ими

Примечание

Хотите попробовать Microsoft 365 Defender? Узнайте больше о том, как оценить и выполнить пилотное Microsoft 365 Defender.

Область применения:

  • Microsoft 365 Defender
  • Microsoft Defender для конечной точки

Настраиваемые правила обнаружения — это правила, которые можно проектировать и настраивать с помощью запросов расширенной охоты. Эти правила позволяют заранее отслеживать различные события и состояния системы, включая предполагаемые нарушения безопасности и неправильно настроенные конечные точки. Вы можете настроить их на запуск с регулярными интервалами, чтобы создавать оповещения и предпринимать ответные действия при совпадениях.

Необходимые разрешения для управления пользовательскими обнаружениями

Для управления пользовательскими обнаружениями вам должна быть назначена одна из следующих ролей.

  • Администратор безопасности — пользователи с этой ролью Azure Active Directory могут управлять параметрами безопасности на Microsoft 365 Defender портале и других порталах и службах.

  • Оператор безопасности— пользователи с этой ролью Azure Active Directory могут управлять оповещениями и иметь глобальный доступ только для чтения к функциям, связанным с безопасностью, включая всю информацию на Microsoft 365 Defender портале. Этой роли достаточно для управления пользовательскими обнаружениями, только если управление доступом на основе ролей (RBAC) отключено в Microsoft Defender для конечной точки. Если вы настроите RBAC, вам также потребуется разрешение на управление параметрами безопасности для Defender для конечной точки.

Вы также можете управлять пользовательскими обнаружениями, которые применяются к данным из определенных Microsoft 365 Defender, если у вас есть разрешения для них. Например, если у вас есть разрешения на управление Microsoft 365 Defender для Office, Email можно создавать пользовательские обнаружения с помощью таблиц, но не таблицIdentity.

Для управления необходимыми разрешениями глобальный администратор может:

  • Назначьте роль администратора безопасности или оператора безопасности в Центр администрирования Microsoft 365 в разделе "Администратор > безопасности ролей".
  • Проверьте параметры RBAC для Microsoft Defender для конечной точки в Microsoft 365 Defender в разделе "Роли разрешений > параметров > ". Выберите соответствующую роль, чтобы назначить разрешение на управление параметрами безопасности .

Примечание

Для управления пользовательскими обнаружениями операторам безопасности потребуется разрешение на управление параметрами безопасности в Microsoft Defender для конечной точки, если включен RBAC.

Создание настраиваемого правила обнаружения

1. Подготовьте запрос.

На портале Microsoft 365 Defender перейдите в раздел "Расширенная охота" и выберите существующий запрос или создайте новый запрос. При использовании нового запроса запустите запрос, чтобы выявить ошибки и понять возможные результаты.

Важно!

Чтобы служба не возвращала слишком много оповещений, каждое правило может создавать только 100 оповещений при каждом запуске. Прежде чем создавать правило, отрегулируйте запрос, чтобы избежать оповещений об обычной ежедневной активности.

Обязательные столбцы в результатах запроса

Чтобы создать настраиваемое правило обнаружения, запрос обязан возвращает следующие столбцы.

  • Timestamp— используется для задания метки времени для созданных оповещений.
  • ReportId— включает поиск исходных записей.
  • Один из следующих столбцов, которые определяют определенные устройства, пользователей или почтовые ящики.
    • DeviceId
    • DeviceName
    • RemoteDeviceName
    • RecipientEmailAddress
    • SenderFromAddress (отправитель конверта или адрес Return-Path)
    • SenderMailFromAddress (адрес отправителя, отображенный клиентом электронной почты)
    • RecipientObjectId
    • AccountObjectId
    • AccountSid
    • AccountUpn
    • InitiatingProcessAccountSid
    • InitiatingProcessAccountUpn
    • InitiatingProcessAccountObjectId

Примечание

Поддержка дополнительных сущностей будет добавлена по мере добавления новых таблиц в схему расширенной охоты.

Простые запросы, например project summarize те, которые не используют оператор или для настройки или агрегирования результатов, обычно возвращают эти общие столбцы.

Существует несколько способов обеспечить возврат этих столбцов более сложными запросами. Например, если DeviceIdвы предпочитаете выполнять статистическое вычисление и подсчет по сущности в столбце, например, Timestamp ReportId вы можете возвращать и получать его из последнего события, включающего каждое уникальное DeviceId.

Важно!

Избегайте фильтрации пользовательских обнаружений с помощью столбца Timestamp . Данные, используемые для пользовательских обнаружений, предварительно фильтруются в зависимости от частоты обнаружения.

В приведенном ниже примере запроса учитывается количество уникальных устройств (DeviceId) с обнаружениями антивирусной программы. Этот счетчик используется для поиска только устройств с более чем пятью обнаружениями. Чтобы вернуть последнюю и Timestamp соответствующую версию ReportId, используется оператор summarize с функцией arg_max .

DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

Совет

Чтобы повысить производительность запросов, задайте фильтр времени, соответствующий предполагаемой частоте выполнения для правила. Так как наименее частый запуск выполняется каждые 24 часа, фильтрация за последний день охватывает все новые данные.

2. Создайте новое правило и предоставьте сведения об оповещении.

С помощью запроса в редакторе запросов выберите "Создать правило обнаружения" и укажите следующие сведения об оповещении:

  • Имя обнаружения — имя правила обнаружения; должен быть уникальным
  • Частота — интервал для выполнения запроса и выполнения действия. Дополнительные рекомендации см. ниже.
  • Заголовок оповещения — заголовок, отображаемый с оповещениями, активируемой правилом; должен быть уникальным
  • Серьезность — потенциальный риск компонента или действия, определяемого правилом
  • Категория — компонент угрозы или действие, определяемое правилом
  • MitRE ATT&CK — один или несколько методов атак, определенных правилом, как описано в документации по MITRE ATT&CK. Этот раздел скрыт для определенных категорий оповещений, включая вредоносные программы, программы-шантажисты, подозрительные действия и нежелательное программное обеспечение.
  • Описание — дополнительные сведения о компоненте или действии, определяемых правилом
  • Рекомендуемые действия — дополнительные действия, которые отвечающие могут выполнять в ответ на оповещение

Частота правила

При сохранении нового правила оно выполняется и проверяет совпадения с данными за последние 30 дней. Затем правило выполняется снова с фиксированными интервалами, применяя длительность обратного просмотра в зависимости от частоты, которую вы выбрали:

  • Каждые 24 часа — выполняется каждые 24 часа, проверяя данные за последние 30 дней.
  • Каждые 12 часов — выполняется каждые 12 часов, проверяя данные за последние 24 часа.
  • Каждые 3 часа — выполняется каждые 3 часа, проверяя данные за последние 6 часов.
  • Каждый час — выполняется каждый час, проверяя данные за последние 2 часа.

При редактировании правила оно будет запускаться с примененными изменениями во время следующего запуска, запланированного в соответствии с установленной частотой. Частота правила зависит от метки времени события, а не времени приема.

Совет

Сопоставлять фильтры времени в запросе с длительностью обратного просмотра. Результаты за пределами длительности обратного просмотра игнорируются.

Выберите частоту, соответствующую частоте отслеживания обнаружений. Учитывайте возможности вашей организации для реагирования на оповещения.

3. Выберите затронутые сущности.

Определите столбцы в результатах запроса, в которых вы ожидаете найти основную затронутую или затронутую сущность. Например, запрос может возвращать адреса отправителя (SenderFromAddress или SenderMailFromAddress) и получателя (RecipientEmailAddress). Определение того, какой из этих столбцов представляет основную затронутую сущность, помогает службе собирать соответствующие оповещения, коррелировать инциденты и выбирать целевые действия по реагированию.

Для каждого типа сущности (почтовый ящик, пользователь или устройство) можно выбрать только один столбец. Столбцы, которые не возвращаются запросом, не могут быть выбраны.

4. Укажите действия.

Настраиваемые правила обнаружения могут автоматически выполнять действия с устройствами, файлами или пользователями, возвращаемые запросом.

Действия на устройствах

Эти действия применяются к устройствам в столбце результатов запроса DeviceId.

Действия в отношении файлов

Если этот флажок выбран, SHA1``InitiatingProcessSHA1``SHA256``InitiatingProcessSHA256 можно применить действие "Файл карантина" к файлам в столбце или столбце результатов запроса. Это действие удаляет файл из текущего расположения и помещает копию в карантин.

Действия с пользователями

Если этот вариант выбран, то действие Отметить пользователя как скомпрометированного применяется к пользователям в столбцах результатов запроса AccountObjectId, InitiatingProcessAccountObjectId или RecipientObjectId. Это действие устанавливает для пользователей уровень риска "высокий" в Azure Active Directory, запуская соответствующие политики защиты идентификации.

Примечание

Действие разрешения или блокировки для настраиваемых правил обнаружения в настоящее время не поддерживается в Microsoft 365 Defender.

5. Задайте область действия правила.

Задайте область действия, чтобы указать, на какие устройства распространяется правило. Область влияет на правила проверки устройств и не влияет на правила, которые проверяют только почтовые ящики и учетные записи пользователей или удостоверения.

При настройке области можно выбрать следующее.

  • Все устройства
  • Определенные группы устройств

Будут запрашиваться только данные с устройств в области. Кроме того, действия будут предприняты только на этих устройствах.

6. Проверьте и включите правило.

После проверки правила выберите Создать, чтобы сохранить его. Настраиваемое правило обнаружения запускается немедленно. В следующий раз оно запускается в зависимости от настроенной частоты для проверки совпадений, создания оповещений и реагирования.

Важно!

Пользовательские обнаружения следует регулярно проверять на эффективность и эффективность. Чтобы убедиться, что вы создаете обнаружения, которые запускают истинные оповещения, укажите время на проверку существующих пользовательских обнаружений, выполнив действия, описанные в разделе "Управление существующими настраиваемыми правилами обнаружения".

Вы сохраняете контроль над масштабом или конкретностью пользовательских обнаружений, поэтому любые ложные оповещения, созданные пользовательскими обнаружениями, могут указывать на необходимость изменения определенных параметров правил.

Управление существующими настраиваемыми правилами обнаружения

Вы можете просмотреть список существующих пользовательских правил обнаружения, проверить их предыдущие запуски и просмотреть оповещения, которые они активирует. Вы также можете запустить правило по запросу и изменить его.

Совет

Оповещения, вызываемые пользовательскими обнаружениями, доступны для оповещений и API инцидентов. Дополнительные сведения см. в разделе "Microsoft 365 Defender API".

Просмотр существующих правил

Чтобы просмотреть все существующие настраиваемые правила обнаружения, перейдите к настраиваемым > правилам обнаружения охоты. На странице перечислены все правила со следующими сведениями о запуске.

  • Последний запуск — при последнем запуске правила для проверки совпадений запросов и создания оповещений
  • Состояние последнего запуска — успешно ли выполнено правило
  • Следующий запуск — следующий запланированный запуск
  • Состояние — включено или отключено правило.

Просмотр сведений о правиле, изменение правила и запуск правила

Чтобы просмотреть исчерпывающие сведения о настраиваемом правиле обнаружения, > перейдите к настраиваемым правилам обнаружения охоты, а затем выберите имя правила. Затем можно просмотреть общие сведения о правиле, включая сведения о состоянии запуска и области. На странице также содержится список активных оповещений и действий.

Страница сведений о настраиваемом правиле обнаружения на Microsoft 365 Defender портале
Сведения о настраиваемом правиле обнаружения

На этой странице также можно сделать следующие действия с правилом.

  • Запустите — запустите правило немедленно. При этом также сбрасывается интервал для следующего запуска.
  • Изменение — изменение правила без изменения запроса
  • Изменение запроса — изменение запроса в режиме расширенной охоты
  • / Включение Выключите правило или остановите его выполнение.
  • Удаление — отключите правило и удалите его.

Просмотр и управление активными оповещениями

На экране сведений о правиле (настраиваемые > > обнаружения охоты[ имя правила]) перейдите к активированные оповещения, в которых перечислены оповещения, созданные совпадениями с правилом. Выберите оповещение, чтобы просмотреть подробные сведения о нем и принять следующие меры.

  • Управление оповещением: выбор его состояния и классификации (истинное или ложное оповещение)
  • Связывание оповещения с инцидентом
  • Выполнение запроса, который инициирует оповещение при расширенной охоте

Проверка действий

На экране сведений о правиле (настраиваемые > > обнаружения охоты[ имя правила]) перейдите к триггерным действиям, в котором перечислены действия, выполняемые на основе совпадений с правилом.

Совет

Чтобы быстро просмотреть сведения и выполнить действия с элементом в таблице, используйте столбец выделения [✓] в левой части таблицы.

Примечание

Некоторые столбцы в этой статье могут быть недоступны в Microsoft Defender для конечной точки. Включите Microsoft 365 Defender для поиска угроз с использованием дополнительных источников данных. Вы можете переместить рабочие процессы расширенной охоты с Microsoft Defender для конечной точки на Microsoft 365 Defender, выполнив действия, описанные в разделе "Миграция запросов расширенной охоты" из Microsoft Defender для конечной точки.

См. также