Självstudie: Identifiera hot med hjälp av analysregler i Microsoft Sentinel

  • Artikel

Som en SIEM-tjänst (Security Information and Event Management) ansvarar Microsoft Sentinel för att identifiera säkerhetshot mot din organisation. Det gör du genom att analysera de enorma mängder data som genereras av alla systemloggar.

I den här självstudien får du lära dig hur du konfigurerar en Microsoft Sentinel-analysregel från en mall för att söka efter sårbarheter i Apache Log4j i din miljö. Regeln ramar in användarkonton och IP-adresser som finns i loggarna som spårbara entiteter, visar viktig information i aviseringarna som genereras av reglerna och paketaviseringar som incidenter som ska undersökas.

När du har slutfört den här självstudien kan du:

  • Skapa en analysregel från en mall
  • Anpassa en regels fråga och inställningar
  • Konfigurera de tre typerna av aviseringsberikning
  • Välj automatiserade hotsvar för dina regler

Förutsättningar

För att kunna följa den här självstudien måste du ha:

  • En Azure-prenumeration Skapa ett kostnadsfritt konto om du inte redan har ett.

  • En Log Analytics-arbetsyta med Microsoft Sentinel-lösningen distribuerad på den och data som matas in i den.

  • En Azure-användare med rollen Microsoft Sentinel-deltagare tilldelad på Log Analytics-arbetsytan där Microsoft Sentinel distribueras.

  • Följande datakällor refereras i den här regeln. Ju fler av dessa du har distribuerat anslutningsappar för, desto effektivare blir regeln. Du måste ha minst en.

    Data source Log Analytics-tabeller som refereras
    Office 365 OfficeActivity (SharePoint)
    OfficeActivity (Exchange)
    OfficeActivity (Teams)
    DNS DnsEvents
    Azure Monitor (VM Insights) VM Anslut ion
    Cisco ASA CommonSecurityLog (Cisco)
    Palo Alto Networks (brandvägg) CommonSecurityLog (PaloAlto)
    Säkerhetshändelser SecurityEvents
    Microsoft Entra ID SigninLogs
    AADNonInteractiveUserSignInLogs
    Azure Monitor (WireData) WireData
    Azure Monitor (IIS) W3CIISLog
    Azure-aktivitet AzureActivity
    Amazon Web Services AWSCloudTrail
    Microsoft Defender XDR DeviceNetworkEvents
    Azure Firewall AzureDiagnostics (Azure Firewall)

Logga in på Azure-portalen och Microsoft Sentinel

  1. Logga in på Azure-portalen.

  2. I sökfältet söker du efter och väljer Microsoft Sentinel.

  3. Sök efter och välj din arbetsyta i listan över tillgängliga Microsoft Sentinel-arbetsytor.

Installera en lösning från innehållshubben

  1. I Microsoft Sentinel går du till menyn till vänster under Innehållshantering och väljer Innehållshubb.

  2. Sök efter och välj lösningen Log4j Sårbarhetsidentifiering.

  3. Välj Installera/uppdatera i verktygsfältet överst på sidan.

Skapa en schemalagd analysregel från en mall

  1. I Microsoft Sentinel går du till menyn till vänster under Konfiguration och väljer Analys.

  2. På sidan Analys väljer du fliken Regelmallar.

  3. I sökfältet överst i listan över regelmallar anger du log4j.

  4. I den filtrerade listan över mallar väljer du Log4j vulnerability exploit aka Log4Shell IP IOC. I informationsfönstret väljer du Skapa regel.

    Screenshot showing how to search for and locate template and create analytics rule.

    Guiden Analysregel öppnas.

  5. På fliken Allmänt i fältet Namn anger du Log4j sårbarhetsexploatering, även kallat Log4Shell IP IOC – Tutorial-1.

  6. Lämna resten av fälten på den här sidan som de är. Det här är standardvärdena, men vi lägger till anpassning till aviseringsnamnet i ett senare skede.

    Om du inte vill att regeln ska köras omedelbart väljer du Inaktiverad, så läggs regeln till på fliken Aktiva regler och du kan aktivera den därifrån när du behöver den.

  7. Välj Nästa: Ange regellogik. Screenshot of the General tab of the Analytics rule wizard.

Granska regelfrågelogik och konfiguration av inställningar

  • På fliken Ange regellogik granskar du frågan så som den visas under rubriken Regelfråga .

    Om du vill se mer av frågetexten samtidigt väljer du den diagonala dubbelpilikonen i det övre högra hörnet av frågefönstret för att expandera fönstret till en större storlek.

    Screenshot of the Set rule logic tab of the Analytics rule wizard.

Utöka aviseringar med entiteter och annan information

  1. Under Aviseringsberikning behåller du inställningarna för entitetsmappning som de är. Observera de tre mappade entiteterna.

    Screenshot of existing entity mapping settings.

  2. I avsnittet Anpassad information ska vi lägga till tidsstämpeln för varje förekomst i aviseringen, så att du kan se den direkt i aviseringsinformationen, utan att behöva öka detaljnivån.

    1. Ange tidsstämpel i fältet Nyckel . Det här är egenskapsnamnet i aviseringen.
    2. Välj tidsstämpel i listrutan Värde .

  3. I avsnittet Aviseringsinformation ska vi anpassa aviseringsnamnet så att tidsstämpeln för varje förekomst visas i aviseringsrubriken.

    I fältet Format för aviseringsnamn anger du Log4j vulnerability exploit aka Log4Shell IP IOC på {{timestamp}}.

    Screenshot of custom details and alert details configurations.

Granska återstående inställningar

  1. Granska de återstående inställningarna på fliken Ange regellogik . Du behöver inte ändra något, men du kan göra det om du till exempel vill ändra intervallet. Se bara till att återblicksperioden matchar intervallet för att upprätthålla kontinuerlig täckning.

    • Schemaläggning av frågor:

      • Kör frågor var 1 timme.
      • Uppslagsdata från den senaste 1 timmen.

    • Tröskelvärde för avisering:

      • Generera avisering när antalet frågeresultat är större än 0.

    • Händelsegruppering:

      • Konfigurera hur regelns frågeresultat grupperas i aviseringar: Gruppera alla händelser i en enda avisering.

    • Dämpning:

      • Sluta köra frågan när aviseringen har genererats: Av.

    Screenshot of remaining rule logic settings for analytics rule.

  2. Välj Nästa: Incidentinställningar.

Granska inställningarna för incidentskapande

  1. Granska inställningarna på fliken Incidentinställningar . Du behöver inte ändra något, såvida du till exempel inte har ett annat system för att skapa och hantera incidenter, i vilket fall du vill inaktivera skapande av incidenter.

    • Incidentinställningar:

      • Skapa incidenter från aviseringar som utlöses av den här analysregeln: Aktiverad.

    • Aviseringsgruppering:

      • Gruppera relaterade aviseringar, som utlöses av den här analysregeln, till incidenter: Inaktiverad.

    Screenshot of the Incident settings tab of the Analytics rule wizard.

  2. Välj Nästa: Automatiserat svar.

Ange automatiserade svar och skapa regeln

På fliken Automatiserat svar :

  1. Välj + Lägg till ny för att skapa en ny automatiseringsregel för den här analysregeln. Då öppnas guiden Skapa ny automatiseringsregel .

    Screenshot of Automated response tab in Analytics rule wizard.

  2. I fältet Automation-regelnamn anger du Log4J sårbarhetsexploateringsidentifiering – Tutorial-1.

  3. Lämna avsnitten Utlösare och Villkor som de är.

  4. Under Åtgärder väljer du Lägg till taggar i listrutan.

    1. Välj + Lägg till tagg.
    2. Ange Log4J-exploatering i textrutan och välj OK.

  5. Låt avsnitten Regel förfallodatum och Order vara som de är.

  6. Välj tillämpa. Snart visas din nya automatiseringsregel i listan på fliken Automatiserat svar .

  7. Välj Nästa: Granska om du vill granska alla inställningar för din nya analysregel. När meddelandet "Validering har skickats" visas väljer du Skapa. Om du inte anger regeln till Inaktiverad på fliken Allmänt ovan körs regeln omedelbart.

    Välj bilden nedan för en visning av den fullständiga recensionen (det mesta av frågetexten klipptes för att visa).

    Screenshot of the Review and Create tab of the Analytics rule wizard.

Kontrollera att regeln har lyckats

  1. Om du vill visa resultatet av de aviseringsregler som du skapar går du till sidan Incidenter .

  2. Om du vill filtrera listan över incidenter till dem som genereras av din analysregel anger du namnet (eller en del av namnet) på analysregeln som du skapade i sökfältet .

  3. Öppna en incident vars titel matchar namnet på analysregeln. Se till att flaggan som du definierade i automatiseringsregeln tillämpades på incidenten.

Rensa resurser

Om du inte kommer att fortsätta att använda den här analysregeln tar du bort (eller åtminstone inaktiverar) de analys- och automatiseringsregler som du skapade med följande steg:

  1. På sidan Analys väljer du fliken Aktiva regler .

  2. Ange namnet (eller en del av namnet) på analysregeln som du skapade i sökfältet .
    (Om den inte visas kontrollerar du att alla filter är inställda på Välj alla.)

  3. Markera kryssrutan bredvid regeln i listan och välj Ta bort från den övre banderollen.
    (Om du inte vill ta bort den kan du välja Inaktivera i stället.)

  4. På sidan Automation väljer du fliken Automation-regler .

  5. Ange namnet (eller en del av namnet) på automatiseringsregeln som du skapade i sökfältet .
    (Om den inte visas kontrollerar du att alla filter är inställda på Välj alla.)

  6. Markera kryssrutan bredvid automatiseringsregeln i listan och välj Ta bort från den översta banderollen.
    (Om du inte vill ta bort den kan du välja Inaktivera i stället.)

Nästa steg

Nu när du har lärt dig hur du söker efter kryphål i en vanlig sårbarhet med hjälp av analysregler kan du läsa mer om vad du kan göra med analys i Microsoft Sentinel: