Dela via

Använda matchande analys för att identifiera hot

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Dra nytta av hotinformation som skapats av Microsoft för att generera aviseringar och incidenter med hög återgivning med Microsoft Defender Hotinformation Analytics-regeln. Den här inbyggda regeln i Microsoft Sentinel matchar indikatorer med CEF-loggar (Common Event Format), Windows DNS-händelser med domän- och IPv4-hotindikatorer, syslog-data med mera.

Viktigt!

Matchande analys är för närvarande i förhandsversion. Mer juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt inte har släppts i allmän tillgänglighet finns i tilläggsvillkoren för Förhandsversioner av Microsoft Azure.

Förutsättningar

Du måste installera en eller flera av de dataanslutningar som stöds för att skapa aviseringar och incidenter med hög återgivning. En premium-Microsoft Defender Hotinformation-licens krävs inte. Installera lämpliga lösningar från innehållshubben för att ansluta dessa datakällor:

  • Common Event Format
  • DNS (förhandsversion)
  • Syslog
  • Office-aktivitetsloggar
  • Azure-aktivitetsloggar
  • ASIM DNS-loggar
  • ASIM-nätverkssessioner

En skärmbild som visar Microsoft Defender Hotinformation Analytics-regelns datakällaanslutningar.

Beroende på din datakälla kan du till exempel använda följande lösningar och dataanslutningar:

Lösning Datakoppling
Common Event Format-lösning för Sentinel Common Event Format-anslutningsprogram för Microsoft Sentinel
Windows Server DNS DNS-anslutningsprogram för Microsoft Sentinel
Syslog-lösning för Sentinel Syslog-anslutningsprogram för Microsoft Sentinel
Microsoft 365-lösning för Sentinel Office 365-anslutningsprogram för Microsoft Sentinel
Azure Activity-lösning för Sentinel Azure Activity Connector för Microsoft Sentinel

Konfigurera matchande analysregel

Matchande analys konfigureras när du aktiverar Microsoft Defender Hotinformation Analytics-regeln.

  1. Under avsnittet Konfiguration väljer du menyn Analys .

  2. Välj fliken Regelmallar .

  3. I sökfönstret anger du hotinformation.

  4. Välj regelmallen Microsoft Defender Hotinformation Analytics.

  5. Välj Skapa regel. Regelinformationen är skrivskyddad och standardstatusen för regeln är aktiverad.

  6. Välj Granska>Skapa.

Skärmbild som visar Microsoft Defender Hotinformation Analytics-regeln aktiverad på fliken Aktiva regler.

Datakällor och indikatorer

Microsoft Defender Hotinformation Analytics matchar dina loggar med domän-, IP- och URL-indikatorer på följande sätt:

  • CEF-loggar som matas in i Log Analytics-tabellen CommonSecurityLog matchar URL- och domänindikatorer om de RequestURL fylls i i fältet och IPv4-indikatorer i fältet DestinationIP .
  • Windows DNS-loggar, där SubType == "LookupQuery" inmatade i DnsEvents tabellen matchar domänindikatorer i Name fältet och IPv4-indikatorer i IPAddresses fältet.
  • Syslog-händelser, där Facility == "cron" inmatade i Syslog tabellen matchar domän- och IPv4-indikatorer direkt från fältet SyslogMessage .
  • Office-aktivitetsloggar som matas in i OfficeActivity tabellen matchar IPv4-indikatorer direkt från fältet ClientIP .
  • Azure-aktivitetsloggar som matas in i AzureActivity tabellen matchar IPv4-indikatorer direkt från fältet CallerIpAddress .
  • ASIM DNS-loggar som matas in i ASimDnsActivityLogs tabellen matchar domänindikatorer om de DnsQuery fylls i i fältet och IPv4-indikatorer i fältet DnsResponseName .
  • ASIM-nätverkssessioner som matas in i ASimNetworkSessionLogs tabellen matchar IPv4-indikatorer om de fylls i i ett eller flera av följande fält: DstIpAddr, DstNatIpAddr, SrcNatIpAddr, SrcIpAddr, DvcIpAddr.

Sortera en incident som genereras av matchande analys

Om Microsofts analys hittar en matchning grupperas alla aviseringar som genereras i incidenter.

Använd följande steg för att sortera igenom de incidenter som genereras av Microsoft Defender Hotinformation Analytics-regeln:

  1. I Microsoft Sentinel-arbetsytan där du aktiverade regeln Microsoft Defender Hotinformation Analytics väljer du Incidenter och söker efter Microsoft Defender Hotinformation Analytics.

    Alla incidenter som hittas visas i rutnätet.

  2. Välj Visa fullständig information för att visa entiteter och annan information om incidenten, till exempel specifika aviseringar.

    Här följer ett exempel.

    Skärmbild av incidenten som genereras av matchande analys med informationsfönstret.

  3. Observera allvarlighetsgraden som tilldelats aviseringarna och incidenten. Beroende på hur indikatorn matchas tilldelas en lämplig allvarlighetsgrad till en avisering från Informational till High. Om indikatorn till exempel matchas med brandväggsloggar som tillät trafiken genereras en varning med hög allvarlighetsgrad. Om samma indikator matchades med brandväggsloggar som blockerade trafiken är den genererade aviseringen låg eller medelhög.

    Aviseringar grupperas sedan per observerbar bas av indikatorn. Till exempel grupperas alla aviseringar som genereras under en tidsperiod på 24 timmar som matchar domänen contoso.com i en enskild incident med en allvarlighetsgrad tilldelad baserat på den högsta allvarlighetsgraden för aviseringar.

  4. Observera indikatorinformationen. När en matchning hittas publiceras indikatorn i Log Analytics-tabellen ThreatIntelligenceIndicators och den visas på sidan Hotinformation . För indikatorer som publiceras från den här regeln definieras källan som Microsoft Defender Hotinformation Analytics.

Här är ett exempel på ThreatIntelligenceIndicators tabellen.

Skärmbild som visar tabellen ThreatIntelligenceIndicator som visar indikator med SourceSystem för Microsoft Threat Intelligence Analytics.

Här är ett exempel på sidan Hotinformation .

Skärmbild som visar översikten över Hotinformation med indikatorn vald som visar källan som Microsoft Threat Intelligence Analytics.

Hämta mer kontext från Microsoft Defender Hotinformation

Tillsammans med aviseringar och incidenter med hög återgivning innehåller vissa Microsoft Defender Hotinformation indikatorer en länk till en referensartikel i Microsoft Defender Hotinformation community-portalen.

Skärmbild som visar en incident med en länk till den Microsoft Defender Hotinformation referensartikeln.

Mer information finns i Vad är Microsoft Defender Hotinformation?.

Relaterat innehåll

I den här artikeln har du lärt dig hur du ansluter hotinformation som skapats av Microsoft för att generera aviseringar och incidenter. Mer information om hotinformation i Microsoft Sentinel finns i följande artiklar: