Skapa en anpassad analysregel från grunden

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Du har konfigurerat anslutningsappar och andra sätt att samla in aktivitetsdata i din digitala egendom. Nu måste du gå igenom alla dessa data för att identifiera aktivitetsmönster och identifiera aktiviteter som inte passar dessa mönster och som kan utgöra ett säkerhetshot.

Microsoft Sentinel och dess många lösningar som tillhandahålls i innehållshubben erbjuder mallar för de vanligaste typerna av analysregler, och du uppmanas starkt att använda dessa mallar och anpassa dem efter dina specifika scenarier. Men det är möjligt att du behöver något helt annat, så i så fall kan du skapa en regel från grunden med hjälp av guiden för analysregler.

Den här artikeln vägleder dig genom guiden Analysregel och förklarar alla tillgängliga alternativ. Det åtföljs av skärmbilder och anvisningar för att komma åt guiden i både Azure-portalen, för Microsoft Sentinel-användare som inte också är Microsoft Defender-prenumeranter och Defender-portalen för användare av Microsoft Defender Unified Security Operations Platform.

Viktigt!

Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Förutsättningar

  • Du måste ha rollen Microsoft Sentinel-deltagare eller någon annan roll eller uppsättning behörigheter som innehåller skrivbehörigheter på din Log Analytics-arbetsyta och dess resursgrupp.

Utforma och skapa din fråga

Innan du gör något annat bör du utforma och skapa en fråga i Kusto-frågespråk (KQL) som regeln använder för att fråga en eller flera tabeller på Log Analytics-arbetsytan.

  1. Fastställa en datakälla som du vill söka efter för att identifiera ovanlig eller misstänkt aktivitet. Leta reda på namnet på Log Analytics-tabellen som data från den källan matas in i. Du hittar tabellnamnet på sidan för dataanslutningsappen för den källan. Använd det här tabellnamnet (eller en funktion baserat på det) som grund för din fråga.

  2. Bestäm vilken typ av analys du vill att den här frågan ska utföra i tabellen. Det här beslutet avgör vilka kommandon och funktioner du ska använda i frågan.

  3. Bestäm vilka dataelement (fält, kolumner) som du vill använda i frågeresultatet. Det här beslutet avgör hur du strukturerar utdata för frågan.

Metodtips för analysregelfrågor

  • Vi rekommenderar att du använder en ASIM-parser (Advanced Security Information Model) som frågekälla i stället för att använda en intern tabell. Detta säkerställer att frågan stöder alla aktuella eller framtida relevanta datakällor eller datakällor i stället för att förlita sig på en enda datakälla.

  • Frågelängden ska vara mellan 1 och 10 000 tecken och får inte innehålla "search *" eller "union *". Du kan använda användardefinierade funktioner för att övervinna frågelängdsbegränsningen.

  • Det går inte att använda ADX-funktioner för att skapa Azure Data Explorer-frågor i Log Analytics-frågefönstret.

  • När du använder bag_unpack funktionen i en fråga misslyckas frågan om du projicerar kolumnerna som fält med "project field1" och kolumnen inte finns. För att skydda dig mot detta måste du projicera kolumnen på följande sätt:

    project field1 = column_ifexists("field1","")

Mer hjälp med att skapa Kusto-frågor finns i Kusto-frågespråk i Microsoft Sentinel och Metodtips för Kusto-frågespråk frågor.

Skapa och testa dina frågor på skärmen Loggar . När du är nöjd sparar du frågan för användning i regeln.

Skapa din analysregel

I det här avsnittet beskrivs hur du skapar en regel med hjälp av Azure- eller Defender-portalerna.

Starta guiden Analysregel

  1. I avsnittet Konfiguration på Microsoft Sentinel-navigeringsmenyn väljer du Analys.

  2. I åtgärdsfältet längst upp väljer du +Skapa och väljer Schemalagd frågeregel. Då öppnas guiden Analysregel.

    Skärmbild av analysskärmen i Azure-portalen.

Namnge regeln och definiera allmän information

I Azure-portalen visas faser visuellt som flikar. I Defender-portalen representeras de visuellt som milstolpar på en tidslinje. Se skärmbilderna nedan för exempel.

  1. Ange ett unikt namn och en beskrivning.

  2. Ange allvarlighetsgraden för aviseringen efter behov, som matchar den inverkan som den aktivitet som utlöser regeln kan ha på målmiljön, om regeln är en sann positiv faktor.

    Allvarlighetsgrad beskrivning
    Informativt Ingen inverkan på systemet, men informationen kan tyda på framtida steg som planeras av en hotskådespelare.
    Låg Den omedelbara effekten skulle vara minimal. En hotskådespelare skulle sannolikt behöva utföra flera steg innan en miljö påverkas.
    Medel Hotskådespelaren kan ha viss inverkan på miljön med den här aktiviteten, men den skulle vara begränsad i omfånget eller kräva ytterligare aktivitet.
    Hög Den identifierade aktiviteten ger hotaktören omfattande åtkomst till att utföra åtgärder i miljön eller utlöses av påverkan på miljön.

    Standardvärden för allvarlighetsgrad är inte en garanti för aktuell eller miljömässig påverkansnivå. Anpassa aviseringsinformation för att anpassa allvarlighetsgrad, taktik och andra egenskaper för en viss instans av en avisering med värdena för relevanta fält från en frågas utdata.

    Allvarlighetsgradsdefinitioner för Microsoft Sentinel-analysregelmallar är endast relevanta för aviseringar som skapats av analysregler. För aviseringar som matas in från andra tjänster definieras allvarlighetsgraden av källsäkerhetstjänsten.

  3. I fältet Taktik och tekniker kan du välja bland de kategorier av hotaktiviteter som regeln ska klassificeras med. Dessa baseras på taktiken och teknikerna i MITRE ATT&CK-ramverket .

    Incidenter som skapas från aviseringar som identifieras av regler som mappas till MITRE ATT&CK-taktiker och tekniker ärver automatiskt regelns mappning.

    Mer information om hur du maximerar din täckning av MITRE ATT&CK-hotlandskapet finns i Förstå säkerhetstäckningen i MITRE ATT&CK-ramverket®

  4. När du skapar regeln är statusen Aktiverad som standard, vilket innebär att den körs direkt när du har skapat den. Om du inte vill att den ska köras omedelbart väljer du Inaktiverad, så läggs regeln till på fliken Aktiva regler och du kan aktivera den därifrån när du behöver den.

    Kommentar

    Det finns ett annat sätt, för närvarande i förhandsversion, att skapa en regel utan att den körs omedelbart. Du kan schemalägga regeln så att den först körs vid ett visst datum och en viss tidpunkt. Se Schemalägg och omfång för frågan nedan.

  5. Välj Nästa: Ange regellogik.

Definiera regellogik

  1. Ange en fråga för regeln.

    Klistra in frågan som du har utformat, skapat och testat i frågefönstret Regel. Varje ändring du gör i det här fönstret verifieras omedelbart, så om det finns några misstag visas en indikation precis under fönstret.

  2. Mappa entiteter.

    Entiteter är viktiga för att identifiera och undersöka hot. Mappa de entitetstyper som identifieras av Microsoft Sentinel till fält i frågeresultatet. Den här mappningen integrerar identifierade entiteter i fältet Entiteter i ditt aviseringsschema.

    Fullständiga instruktioner för mappning av entiteter finns i Mappa datafält till entiteter i Microsoft Sentinel.

  3. Visa anpassad information i dina aviseringar.

    Som standard visas endast aviseringsentiteter och metadata i incidenter utan att öka detaljnivån i råhändelserna i frågeresultatet. Det här steget tar andra fält i frågeresultatet och integrerar dem i fältet ExtendedProperties i dina aviseringar, vilket gör att de visas framför dina aviseringar och i incidenter som skapats från dessa aviseringar.

    Fullständiga anvisningar om hur du visar anpassad information finns i Information om anpassade Surface-händelser i aviseringar i Microsoft Sentinel.

  4. Anpassa aviseringsinformation.

    Med den här inställningen kan du anpassa annars standardaviseringsegenskaper enligt innehållet i olika fält i varje enskild avisering. De här anpassningarna är integrerade i fältet ExtendedProperties i dina aviseringar. Du kan till exempel anpassa aviseringsnamnet eller beskrivningen så att det innehåller ett användarnamn eller en IP-adress i aviseringen.

    Fullständiga anvisningar om hur du anpassar aviseringsinformation finns i Anpassa aviseringsinformation i Microsoft Sentinel.

  5. Schemalägg och omfång för frågan.

    1. Ange följande parametrar i avsnittet Frågeschemaläggning :

      Inställning Funktionssätt
      Kör alla frågor Styr frågeintervallet: hur ofta frågan körs.
      Uppslagsdata från den senaste Avgör återställningsperioden: den tidsperiod som omfattas av frågan.

      • Det tillåtna intervallet för båda dessa parametrar är från 5 minuter till 14 dagar.

      • Frågeintervallet måste vara kortare än eller lika med återställningsperioden. Om den är kortare överlappar frågeperioderna och detta kan orsaka viss duplicering av resultat. Med regelverifieringen kan du dock inte ange ett intervall längre än återställningsperioden, eftersom det skulle leda till luckor i din täckning.

    2. Ställ in Starta körs:

      Inställning Funktionssätt
      Automatiskt Regeln körs för första gången omedelbart när den skapas, och därefter vid det intervall som anges i inställningen Kör fråga varje inställning.
      Vid en viss tidpunkt (förhandsversion) Ange ett datum och en tid då regeln ska köras först, varefter den körs med det intervall som anges i varje inställning för Kör fråga.

      • Startkörningstiden måste vara mellan 10 minuter och 30 dagar efter att regeln har skapats (eller aktiverats).

      • Textraden under inställningen Börja köra (med informationsikonen till vänster) sammanfattar de aktuella frågeschemaläggnings- och återblicksinställningarna.

        Skärmbild av växlingsknappen och inställningarna för avancerad schemaläggning.

    Kommentar

    Inmatningsfördröjning

    För att ta hänsyn till svarstider som kan uppstå mellan en händelses generering vid källan och dess inmatning till Microsoft Sentinel, och för att säkerställa fullständig täckning utan dataduplicering, kör Microsoft Sentinel schemalagda analysregler på fem minuters fördröjning från den schemalagda tiden.

    Mer information finns i Hantera inmatningsfördröjning i schemalagda analysregler.

  6. Ange tröskelvärdet för att skapa aviseringar.

    Använd avsnittet Aviseringströskel för att definiera känslighetsnivån för regeln.

    • Ange Generera avisering när antalet frågeresultatär större än och ange det minsta antal händelser som måste hittas under frågans tidsperiod för att regeln ska generera en avisering.
    • Det här är ett obligatoriskt fält, så om du inte vill ange ett tröskelvärde, det vill sa, om du vill utlösa aviseringen för även en enskild händelse under en viss tidsperiod, anger du 0 i talfältet.

  7. Ange inställningar för händelsegruppering.

    Under Händelsegruppering väljer du ett av två sätt att hantera gruppering av händelser i aviseringar:

    Inställning Funktionssätt
    Gruppera alla händelser i en enda avisering
    (standard)    		 Regeln genererar en enskild avisering varje gång den körs, så länge frågan returnerar fler resultat än det angivna tröskelvärdet för aviseringar ovan. Den här enskilda aviseringen sammanfattar alla händelser som returneras i frågeresultatet.
    Utlös en avisering för varje händelse Regeln genererar en unik avisering för varje händelse som returneras av frågan. Det här är användbart om du vill att händelser ska visas individuellt eller om du vill gruppera dem efter vissa parametrar – efter användare, värdnamn eller något annat. Du kan definiera dessa parametrar i frågan.

    Analysregler kan generera upp till 150 aviseringar. Om händelsegruppering är inställt på Utlösa en avisering för varje händelse och regelns fråga returnerar fler än 150 händelser, genererar de första 149 händelserna var och en unik avisering (för 149 aviseringar) och den 150:e aviseringen sammanfattar hela uppsättningen returnerade händelser. Med andra ord är den 150:e aviseringen vad som skulle ha genererats om händelsegruppering hade angetts till Gruppera alla händelser i en enda avisering.

  8. Ignorera tillfälligt regeln när en avisering har genererats.

    I avsnittet Undertryckning kan du aktivera inställningen Sluta köra frågan efter att aviseringen har genererats Om, när du får en avisering, vill pausa åtgärden för den här regeln under en tidsperiod som överskrider frågeintervallet. Om du aktiverar detta måste du ange Sluta köra frågan till den tid som frågan ska sluta köras, upp till 24 timmar.

  9. Simulera resultatet av fråge- och logikinställningarna.

    I området Resultatsimulering väljer du Testa med aktuella data och Microsoft Sentinel visar ett diagram över resultaten (logghändelser) som frågan skulle ha genererat under de senaste 50 gångerna som den skulle ha körts, enligt det aktuella definierade schemat. Om du ändrar frågan väljer du Testa med aktuella data igen för att uppdatera diagrammet. Diagrammet visar antalet resultat under den definierade tidsperioden, vilket bestäms av inställningarna i avsnittet Frågeschemaläggning .

    Så här kan resultatsimuleringen se ut för frågan i skärmbilden ovan. Den vänstra sidan är standardvyn och den högra sidan är det du ser när du hovra över en tidpunkt i diagrammet.

    Skärmbilder av resultatsimulering

    Om du ser att frågan utlöser för många eller för frekventa aviseringar kan du experimentera med inställningarna i avsnitten Frågeschemaläggning och Tröskelvärde för aviseringar och välja Testa med aktuella data igen.

  10. Välj Nästa: Incidentinställningar.

Konfigurera inställningarna för incidentskapande

På fliken Incidentinställningar väljer du om Microsoft Sentinel omvandlar aviseringar till åtgärdsbara incidenter och om och hur aviseringar grupperas tillsammans i incidenter.

  1. Aktivera skapande av incidenter.

    I avsnittet Incidentinställningar anges Skapa incidenter från aviseringar som utlöses av den här analysregeln som standard till Aktiverad, vilket innebär att Microsoft Sentinel skapar en enskild, separat incident från varje avisering som utlöses av regeln.

    • Om du inte vill att den här regeln ska leda till att incidenter skapas (till exempel om den här regeln bara är att samla in information för efterföljande analys) anger du detta till Inaktiverad.

      Viktigt!

      Om du registrerade Microsoft Sentinel på plattformen för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen, och den här regeln frågar efter och skapar aviseringar från Microsoft 365- eller Microsoft Defender-källor, måste du ställa in den här inställningen på Inaktiverad.

    • Om du vill att en enskild incident ska skapas från en grupp av aviseringar går du till nästa avsnitt i stället för en för varje avisering.

  2. Ange inställningar för aviseringsgruppering.

    Om du vill att en enskild incident ska genereras från en grupp på upp till 150 liknande eller återkommande aviseringar i avsnittet Aviseringsgruppering (se anmärkning), anger du Grupprelaterade aviseringar, utlöses av den här analysregeln, till incidenter till Aktiverade och anger följande parametrar.

    1. Begränsa gruppen till aviseringar som skapats inom den valda tidsramen: Fastställa den tidsram inom vilken liknande eller återkommande aviseringar ska grupperas tillsammans. Alla motsvarande aviseringar inom den här tidsramen genererar tillsammans en incident eller en uppsättning incidenter (beroende på grupperingsinställningarna nedan). Aviseringar utanför den här tidsramen genererar en separat incident eller uppsättning incidenter.

    2. Gruppera aviseringar som utlöses av den här analysregeln i en enskild incident av: Välj den grund som aviseringar ska grupperas på:

      Alternativ Description
      Gruppera aviseringar i en enskild incident om alla entiteter matchar Aviseringar grupperas tillsammans om de delar identiska värden för var och en av de mappade entiteterna (definieras på fliken Ange regellogik ovan). Detta är den rekommenderade inställningen.
      Gruppera alla aviseringar som utlöses av den här regeln i en enda incident Alla aviseringar som genereras av den här regeln grupperas tillsammans även om de inte delar några identiska värden.
      Gruppera aviseringar i en enskild incident om de valda entiteterna och informationen matchar Aviseringar grupperas tillsammans om de delar identiska värden för alla mappade entiteter, aviseringsinformation och anpassad information som valts från respektive listruta.

      Du kanske vill använda den här inställningen om du till exempel vill skapa separata incidenter baserat på källans eller målets IP-adresser, eller om du vill gruppera aviseringar som matchar en viss entitet och allvarlighetsgrad.

      Obs! När du väljer det här alternativet måste du ha minst en entitetstyp eller ett fält valt för regeln. Annars misslyckas verifieringen av regeln och regeln skapas inte.

    3. Öppna stängda matchningsincidenter igen: Om en incident har lösts och stängts, och senare om en annan avisering genereras som ska tillhöra incidenten, anger du den här inställningen till Aktiverad om du vill att den stängda incidenten ska öppnas igen och lämnar som Inaktiverad om du vill att aviseringen ska skapa en ny incident.

    Kommentar

    Upp till 150 aviseringar kan grupperas i en enda incident.

    • Incidenten skapas först när alla aviseringar har genererats. Alla aviseringar läggs till i incidenten omedelbart när den har skapats.

    • Om fler än 150 aviseringar genereras av en regel som grupperar dem i en enda incident genereras en ny incident med samma incidentinformation som originalet och de överskjutande aviseringarna grupperas i den nya incidenten.

  3. Välj Nästa: Automatiserat svar.

Ange automatiserade svar och skapa regeln

På fliken Automatiserade svar kan du använda automatiseringsregler för att ställa in automatiserade svar vid någon av tre typer av tillfällen:

  • När en avisering genereras av den här analysregeln.
  • När en incident skapas från aviseringar som genereras av den här analysregeln.
  • När en incident uppdateras med aviseringar som genereras av den här analysregeln.

Rutnätet som visas under Automation-regler visar de automatiseringsregler som redan gäller för den här analysregeln (på grund av att den uppfyller de villkor som definieras i dessa regler). Du kan redigera någon av dessa genom att välja namnet på regeln eller ellipsen i slutet av varje rad. Eller så kan du välja Lägg till ny för att skapa en ny automatiseringsregel.

Använd automatiseringsregler för att utföra grundläggande sortering, tilldelning, arbetsflöde och stängning av incidenter.

Automatisera mer komplexa uppgifter och anropa svar från fjärrsystem för att åtgärda hot genom att anropa spelböcker från dessa automatiseringsregler. Du kan anropa spelböcker för incidenter och enskilda aviseringar.

  • Under Aviseringsautomatisering (klassisk) längst ned på skärmen ser du alla spelböcker som du har konfigurerat för att köras automatiskt när en avisering genereras med den gamla metoden.

    • Från och med juni 2023 kan du inte längre lägga till spelböcker i den här listan. Spelböcker som redan anges här fortsätter att köras tills den här metoden är inaktuell, från och med mars 2026.

    • Om du fortfarande har några spelböcker listade här bör du i stället skapa en automatiseringsregel baserat på utlösaren som skapats av aviseringen och anropa spelboken från automationsregeln. När du har gjort det väljer du ellipsen i slutet av spelboken som visas här och väljer Ta bort. Se Migrera dina Spelböcker för Aviseringsutlösare i Microsoft Sentinel till automatiseringsregler för fullständiga instruktioner.

Välj Nästa: Granska och skapa för att granska alla inställningar för din nya analysregel. När meddelandet "Validering har skickats" visas väljer du Skapa.

Visa regeln och dess utdata

Visa regeldefinitionen:

  • Du hittar din nyligen skapade anpassade regel (av typen "Schemalagd") i tabellen under fliken Aktiva regler på huvudskärmen för analys . I den här listan kan du aktivera, inaktivera eller ta bort varje regel.

Visa resultatet av regeln:

  • Om du vill visa resultatet av de analysregler som du skapar i Azure-portalen går du till sidan Incidenter, där du kan sortera incidenter, undersöka dem och åtgärda hoten.

Justera regeln:

Kommentar

Aviseringar som genereras i Microsoft Sentinel är tillgängliga via Microsoft Graph Security. Mer information finns i dokumentationen om Microsoft Graph Security-aviseringar.

Exportera regeln till en ARM-mall

Om du vill paketera regeln som ska hanteras och distribueras som kod kan du enkelt exportera regeln till en Arm-mall (Azure Resource Manager). Du kan också importera regler från mallfiler för att visa och redigera dem i användargränssnittet.

Nästa steg

När du använder analysregler för att identifiera hot från Microsoft Sentinel måste du aktivera alla regler som är associerade med dina anslutna datakällor för att säkerställa fullständig säkerhetstäckning för din miljö.

För att automatisera regelaktivering skickar du regler till Microsoft Sentinel via API och PowerShell, men det kräver ytterligare arbete. När du använder API eller PowerShell måste du först exportera reglerna till JSON innan du aktiverar reglerna. API eller PowerShell kan vara till hjälp när du aktiverar regler i flera instanser av Microsoft Sentinel med identiska inställningar i varje instans.

Mer information finns i:

Lär dig också från ett exempel på hur du använder anpassade analysregler när du övervakar Zoom med en anpassad anslutningsapp.