Создание настраиваемых правил обнаружения и управление ими

Примечание.

Хотите попробовать Microsoft 365 Defender? Узнайте больше о том, как оценивать и пилотно Microsoft 365 Defender.

Область применения:

  • Microsoft 365 Defender

Настраиваемые правила обнаружения — это правила, которые можно разработать и настроить с помощью расширенных запросов охоты . Эти правила позволяют упреждающе отслеживать различные события и состояния системы, включая предполагаемые действия по нарушению безопасности и неправильно настроенные конечные точки. Вы можете настроить их на запуск с регулярными интервалами, чтобы создавать оповещения и предпринимать ответные действия при совпадениях.

Необходимые разрешения для управления пользовательскими обнаружениями

Для управления пользовательскими обнаружениями вам должна быть назначена одна из следующих ролей.

  • Администратор безопасности. Пользователи с этой ролью Azure Active Directory могут управлять параметрами безопасности на портале Microsoft 365 Defender и других порталах и службах.

  • Оператор безопасности. Пользователи с этой ролью Azure Active Directory могут управлять оповещениями и иметь глобальный доступ только для чтения к функциям, связанным с безопасностью, включая всю информацию на портале Microsoft 365 Defender. Этой роли достаточно для управления пользовательскими обнаружениями, только если управление доступом на основе ролей (RBAC) отключено в Microsoft Defender для конечной точки. Если вы настроили RBAC, вам также потребуется разрешение на управление параметрами безопасности для Defender для конечной точки.

Вы также можете управлять пользовательскими обнаружениями, которые применяются к данным из определенных решений Microsoft 365 Defender, если у вас есть для них разрешения. Например, если у вас есть только разрешения на управление Microsoft 365 Defender для Office, вы можете создавать пользовательские обнаружения с помощью Email таблиц, но не Identity таблиц.

Для управления необходимыми разрешениями глобальный администратор может:

  • Назначьте роль администратора безопасности или оператора безопасности в Центр администрирования Microsoft 365 в разделе Роли>Администратор безопасности.
  • Проверьте параметры RBAC для Microsoft Defender для конечной точки в Microsoft 365 Defender в разделе Параметры>Роли разрешений>. Выберите соответствующую роль, чтобы назначить разрешение на управление параметрами безопасности .

Примечание.

Для управления пользовательскими обнаружениями операторам безопасности потребуется разрешение на управление параметрами безопасности в Microsoft Defender для конечной точки, если RBAC включен.

Создание настраиваемого правила обнаружения

1. Подготовьте запрос.

На портале Microsoft 365 Defender перейдите в раздел Расширенная охота и выберите существующий запрос или создайте новый запрос. При использовании нового запроса запустите запрос, чтобы выявить ошибки и понять возможные результаты.

Важно!

Чтобы служба не возвращала слишком много оповещений, каждое правило может создавать только 100 оповещений при каждом запуске. Прежде чем создавать правило, отрегулируйте запрос, чтобы избежать оповещений об обычной ежедневной активности.

Обязательные столбцы в результатах запроса

Чтобы создать настраиваемое правило обнаружения, запрос обязан возвращает следующие столбцы.

  • Timestamp— используется для установки метки времени для созданных оповещений.
  • ReportId— включает поиск исходных записей.
  • Один из следующих столбцов, которые определяют определенные устройства, пользователей или почтовые ящики.
    • DeviceId
    • DeviceName
    • RemoteDeviceName
    • RecipientEmailAddress
    • SenderFromAddress (отправитель конверта или адрес Return-Path)
    • SenderMailFromAddress (адрес отправителя, отображенный клиентом электронной почты)
    • RecipientObjectId
    • AccountObjectId
    • AccountSid
    • AccountUpn
    • InitiatingProcessAccountSid
    • InitiatingProcessAccountUpn
    • InitiatingProcessAccountObjectId

Примечание.

Поддержка дополнительных сущностей будет добавлена по мере добавления новых таблиц в расширенную схему охоты.

Простые запросы, например те, которые не используют project оператор или summarize для настройки или агрегирования результатов, обычно возвращают эти общие столбцы.

Существует несколько способов, чтобы более сложные запросы возвращали эти столбцы. Например, если вы предпочитаете агрегировать и подсчитывать по сущностям в столбце, например DeviceId, можно по-прежнему возвращать Timestamp и ReportId получать его из последнего события с участием каждого уникального DeviceId.

Важно!

Избегайте фильтрации пользовательских обнаружений с помощью столбца Timestamp . Данные, используемые для пользовательских обнаружений, предварительно фильтруются в зависимости от частоты обнаружения.

Приведенный ниже пример запроса подсчитывает количество уникальных устройств (DeviceId) с обнаружением антивирусной программы и использует это число для поиска только устройств с более чем пятью обнаружениями. Чтобы вернуть последнюю Timestamp и соответствующую ReportId, она использует summarize оператор с функцией arg_max .

DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

Совет

Для повышения производительности запросов задайте фильтр времени, соответствующий предполагаемой частоте выполнения правила. Так как наименее частый запуск выполняется каждые 24 часа, фильтрация за последний день будет охватывать все новые данные.

2. Создайте новое правило и предоставьте сведения об оповещении.

В редакторе запросов выберите Создать правило обнаружения и укажите следующие сведения об оповещении:

  • Имя обнаружения — имя правила обнаружения; должен быть уникальным
  • Частота — интервал выполнения запроса и выполнения действий. Дополнительные рекомендации см. ниже.
  • Заголовок оповещения — заголовок, отображаемый с оповещениями, активированными правилом; должен быть уникальным
  • Серьезность — потенциальный риск компонента или действия, определенных правилом.
  • Категория — компонент угрозы или действие, определяемое правилом
  • MITRE ATT& Методы CK — один или несколько методов атаки, определенных правилом, как описано на платформе MITRE ATT&CK. Этот раздел скрыт для определенных категорий оповещений, включая вредоносные программы, программы-шантажисты, подозрительные действия и нежелательное программное обеспечение.
  • Описание — дополнительные сведения о компоненте или действии, определяемом правилом.
  • Рекомендуемые действия — дополнительные действия, которые могут выполняться респондентами в ответ на оповещение.

Частота правила

При сохранении нового правила оно выполняется и проверяет соответствие данных за последние 30 дней. Затем правило снова выполняется через фиксированные интервалы, применяя длительность обратного просмотра в зависимости от выбранной частоты:

  • Каждые 24 часа — выполняется каждые 24 часа, проверяя данные за последние 30 дней.
  • Каждые 12 часов — выполняется каждые 12 часов, проверяя данные за последние 48 часов.
  • Каждые 3 часа — выполняется каждые 3 часа, проверяя данные за последние 12 часов.
  • Каждый час — выполняется ежечасно, проверяя данные за последние 4 часа.

При редактировании правила оно будет запускаться с примененными изменениями во время следующего запуска, запланированного в соответствии с установленной частотой. Частота правила основана на метке времени события, а не на времени приема.

Совет

Совпадите фильтры времени в запросе с длительностью обратного просмотра. Результаты за пределами длительности обратного просмотра игнорируются.

Выберите частоту, соответствующую тому, насколько вы хотите отслеживать обнаружения. Рассмотрите возможности вашей организации для реагирования на оповещения.

3. Выберите затронутые сущности.

Определите столбцы в результатах запроса, в которых вы ожидаете найти основную затронутую или затронутую сущность. Например, запрос может возвращать адреса отправителя (SenderFromAddress или SenderMailFromAddress) и получателя (RecipientEmailAddress). Определение того, какой из этих столбцов представляет основную затронутую сущность, помогает службе собирать соответствующие оповещения, коррелировать инциденты и выбирать целевые действия по реагированию.

Для каждого типа сущности (почтовый ящик, пользователь или устройство) можно выбрать только один столбец. Столбцы, которые не возвращаются запросом, не могут быть выбраны.

4. Укажите действия.

Пользовательское правило обнаружения может автоматически выполнять действия с устройствами, файлами, пользователями или электронными письмами, возвращаемыми запросом.

Снимок экрана: действия для пользовательского обнаружения на портале Microsoft 365 Defender.

Действия на устройствах

Эти действия применяются к устройствам в столбце результатов запроса DeviceId.

Действия в отношении файлов

  • Если этот параметр выбран, к файлу можно применить действие Разрешить или заблокировать . Блокировка файлов допускается только в том случае, если у вас есть разрешения на исправление для файлов и если в результатах запроса определен идентификатор файла, например SHA1. После блокировки файла блокируются и другие экземпляры того же файла на всех устройствах. Вы можете управлять группой устройств, к которой применяется блокировка, но не конкретными устройствами.

  • Если этот параметр выбран, действие Карантин файла можно применить к файлам в столбце SHA1, InitiatingProcessSHA1, SHA256или InitiatingProcessSHA256 в результатах запроса. Это действие удаляет файл из текущего расположения и помещает копию в карантин.

Действия с пользователями

  • Если этот вариант выбран, то действие Отметить пользователя как скомпрометированного применяется к пользователям в столбцах результатов запроса AccountObjectId, InitiatingProcessAccountObjectId или RecipientObjectId. Это действие устанавливает уровень риска для пользователей на "высокий" в Azure Active Directory, активируя соответствующие политики защиты идентификации.

  • Выберите Отключить пользователя , чтобы временно запретить пользователю войти в систему.

  • Выберите Принудительно сбросить пароль , чтобы предложить пользователю изменить пароль во время следующего сеанса входа.

Для параметров Отключить пользователя и Принудительно сбросить пароль требуется идентификатор безопасности пользователя, который есть в столбцах AccountSid, InitiatingProcessAccountSid, RequestAccountSidи OnPremSid.

Дополнительные сведения о действиях пользователей см. в статье Действия по исправлению в Microsoft Defender для удостоверений.

Действия с электронной почтой

  • Если пользовательское обнаружение выдает сообщения электронной почты, можно выбрать Переместить в папку почтового ящика , чтобы переместить сообщение в выбранную папку (любую папку нежелательной почты, папку "Входящие" или "Удаленные ").

  • Кроме того, можно выбрать Удалить электронную почту , а затем переместить их в удаленные элементы (обратимое удаление) или удалить выбранные сообщения безвозвратно (жесткое удаление).

Столбцы NetworkMessageId и RecipientEmailAddress должны присутствовать для применения действий к сообщениям электронной почты.

5. Задайте область действия правила.

Задайте область действия, чтобы указать, на какие устройства распространяется правило. Область влияет на правила проверки устройств и не влияет на правила, которые проверяют только почтовые ящики и учетные записи пользователей или удостоверения.

При настройке области можно выбрать следующее.

  • Все устройства
  • Определенные группы устройств

Будут запрашиваться только данные с устройств в области. Кроме того, действия будут предприняты только на этих устройствах.

6. Проверьте и включите правило.

После проверки правила выберите Создать, чтобы сохранить его. Настраиваемое правило обнаружения запускается немедленно. В следующий раз оно запускается в зависимости от настроенной частоты для проверки совпадений, создания оповещений и реагирования.

Важно!

Пользовательские обнаружения должны регулярно проверяться на предмет эффективности и эффективности. Чтобы убедиться, что вы создаете обнаружения, которые активируют истинные оповещения, найдите время, чтобы просмотреть существующие настраиваемые обнаружения, выполнив действия, описанные в разделе Управление существующими настраиваемыми правилами обнаружения.

Вы контролируете масштабность или специфику пользовательских обнаружений, поэтому любые ложные оповещения, созданные пользовательскими обнаружениями, могут указывать на необходимость изменения определенных параметров правил.

Управление существующими настраиваемыми правилами обнаружения

Вы можете просмотреть список существующих настраиваемых правил обнаружения, проверить их предыдущие запуски и просмотреть оповещения, которые они активировали. Вы также можете запустить правило по запросу и изменить его.

Совет

Оповещения, создаваемые пользовательскими обнаружениями, доступны через оповещения и API инцидентов. Дополнительные сведения см. в разделе Поддерживаемые API Microsoft 365 Defender.

Просмотр существующих правил

Чтобы просмотреть все существующие настраиваемые правила обнаружения, перейдите в раздел Охота>На пользовательские правила обнаружения. На странице перечислены все правила со следующими сведениями о запуске.

  • Последний запуск — время последнего выполнения правила для проверки соответствия запроса и создания оповещений
  • Состояние последнего запуска — успешно ли выполнено правило
  • Следующий запуск — следующий запланированный запуск
  • Состояние — включение или отключение правила

Просмотр сведений о правиле, изменение правила и запуск правила

Чтобы просмотреть подробные сведения о настраиваемом правиле обнаружения, перейдите в раздел Охота>на настраиваемые правила обнаружения , а затем выберите имя правила. Затем можно просмотреть общие сведения о правиле, включая сведения о состоянии запуска и области. На странице также содержится список активных оповещений и действий.

Страница сведений о настраиваемом правиле обнаружения на портале Microsoft 365 Defender
Сведения о настраиваемом правиле обнаружения

На этой странице также можно сделать следующие действия с правилом.

  • Запуск — немедленно запустите правило. При этом также сбрасывается интервал для следующего запуска.
  • Изменить — изменить правило без изменения запроса.
  • Изменение запроса — изменение запроса в расширенной охоте
  • Включить / Отключить — включить правило или остановить его выполнение
  • Удалить — отключите правило и удалите его.

Просмотр и управление активными оповещениями

На экране сведений о правиле (Охота>на пользовательские> обнаружения[имя правила]) перейдите в раздел Активированные оповещения, где перечислены оповещения, созданные при совпадении с правилом. Выберите оповещение, чтобы просмотреть подробные сведения о нем и принять следующие меры.

  • Управление оповещением: выбор его состояния и классификации (истинное или ложное оповещение)
  • Связывание оповещения с инцидентом
  • Выполнение запроса, который инициирует оповещение при расширенной охоте

Проверка действий

На экране сведений о правиле (Охота>на пользовательские> обнаружения[имя правила]) перейдите в раздел Активированные действия, в котором перечислены действия, выполненные на основе соответствия правилу.

Совет

Чтобы быстро просмотреть сведения и выполнить действия с элементом в таблице, используйте столбец выделения [✓] в левой части таблицы.

Примечание.

Некоторые столбцы в этой статье могут быть недоступны в Microsoft Defender для конечной точки. Включите Microsoft 365 Defender для поиска угроз с помощью дополнительных источников данных. Вы можете переместить расширенные рабочие процессы охоты с Microsoft Defender для конечной точки на Microsoft 365 Defender, выполнив действия, описанные в разделе Миграция расширенных запросов охоты из Microsoft Defender для конечной точки.

См. также