Steg 3. Mata in datakällor och konfigurera incidentidentifiering i Microsoft Sentinel
När du har skapat och implementerat dina Microsoft Sentinel-arbetsytor kan du fortsätta att mata in datakällor och konfigurera incidentidentifiering.
Dataanslutningar konfigureras för att aktivera datainmatning till arbetsytan. När du har aktiverat viktiga datapunkter som ska matas in i Sentinel måste UEBA (User and Entity Behavior Analytics) och Analytiska regler också aktiveras för att fånga avvikande och skadliga aktiviteter. Analysregler avgör hur aviseringar och incidenter genereras i din Sentinel-instans. Genom att skräddarsy analysregler efter dina miljö- och organisationsbehov via entitetsmappning kan du skapa hög återgivningsincidenter och minska aviseringströttheten.
Innan du börjar
Bekräfta installationsmetoden, de roller som krävs och de licenser som krävs för att aktivera dataanslutningar. Mer information finns i Hitta din Microsoft Sentinel-dataanslutningsapp.
Följande tabell är en sammanfattning av de krav som krävs för att mata in viktiga Azure- och dataanslutningar:
| Resurstyp | Installationsmetod | Roll/behörigheter/licens krävs |
|---|---|---|
| Microsoft Entra ID | Intern dataanslutning | Säkerhetsadministratör/global administratör Inloggningsloggar kräver Microsoft Entra ID P1- eller P2-licens Andra loggar kräver inte P1 eller P2 |
| Microsoft Entra ID Protection | Intern data Anslut eller | Säkerhetsadministratör/global administratör Licens: Microsoft Entra ID P2 |
| Azure-aktivitet | Azure Policy | Ägarroll krävs för prenumerationer |
| Microsoft Defender XDR | Intern data Anslut eller | Säkerhetsadministratör/global administratör Licens: Microsoft 365 E5, Microsoft 365 A5 eller någon annan Microsoft Defender XDR-berättigad licens |
| Microsoft Defender for Cloud | Intern data Anslut eller | Säkerhetsläsare För att aktivera dubbelriktad synkronisering krävs rollen Deltagare/Säkerhetsadministratör i prenumerationen. |
| Microsoft Defender for Identity | Intern data Anslut eller | Säkerhetsadministratör/global administratör Licens: Microsoft Defender för identitet |
| Microsoft Defender for Office 365 | Intern data Anslut eller | Säkerhetsadministratör/global administratör Licens: Microsoft Defender för Office 365 Plan 2 |
| Office 365 | Intern data Anslut eller | Säkerhetsadministratör/global administratör |
| Microsoft Defender for IoT | Deltagare i prenumeration med IoT-hubbar | |
| Microsoft Defender för Cloud Apps | Intern data Anslut eller | Säkerhetsadministratör/global administratör Licens: Microsoft Defender för molnet-appar |
| Microsoft Defender för slutpunkter | Intern data Anslut eller | Säkerhetsadministratör/global administratör Licens: Microsoft Defender för Endpoint |
| Windows-säkerhet händelser via Azure Monitor Agent (AMA) | Intern data Anslut eller med agent | Läsa/skriva på Log Analytics-arbetsyta |
| Syslog | Intern data Anslut eller med agent | Log Analytics-arbetsyta för läsning/skrivning |
Steg 1: Aktivera dataanslutningar
Använd följande rekommendationer för att komma igång med att konfigurera dataanslutningar:
Fokusera på att konfigurera kostnadsfria datakällor för inmatning:
Azure-aktivitetsloggar: Det är viktigt att mata in Azure-aktivitetsloggar för att sentinel ska kunna tillhandahålla en enda fönsterruta i hela miljön.
Office 365-granskningsloggar, inklusive all SharePoint-aktivitet, Exchange-administratörsaktivitet och Teams.
Säkerhetsaviseringar, inklusive aviseringar från Microsoft Defender för molnet, Microsoft Defender XDR, Microsoft Defender för Office 365, Microsoft Defender för identitet och Microsoft Defender för Endpoint:
Genom att mata in säkerhetsaviseringar i Sentinel kan det vara det "centrala fönstret för incidenthantering" i hela miljön.
Incidentutredningen startar i Sentinel och bör fortsätta i Microsoft Defender-portalen eller Defender för molnet, om djupare analys krävs.
Kommentar
Om du har aktiverat Microsoft Defender XDR-anslutningsappen upprättas automatiskt en dubbelriktad synkronisering mellan 365 Defender-incidenter och Sentinel. För att undvika att skapa dubbletter av incidenter för samma aviseringar rekommenderar vi att kunden inaktiverar alla Microsoft-regler för incidentskapande för Microsoft Defender XDR-integrerade produkter (Defender för Endpoint, Defender för identitet, Defender för Office 365, Defender för molnet Apps och Microsoft Entra ID Protection). Mer information finns i Microsoft Defender XDR-incidenter och Regler för att skapa Microsoft-incidenter.
Microsoft Defender för molnet Apps-aviseringar.
Mer information finns i Kostnadsfria datakällor.
I följande tabell visas de kostnadsfria datakällor som du kan aktivera i Microsoft Sentinel:
Dricks
Mer information om de senaste Sentinel-priserna finns i Priser för Microsoft Sentinel.
Microsoft Sentinel-dataanslutning Typ av kostnadsfria data Azure-aktivitetsloggar AzureActivity Microsoft Entra ID Protection SecurityAlert (IPC) Office 365 OfficeActivity (SharePoint)
OfficeActivity (Exchange)
OfficeActivity (Teams)Microsoft Defender for Cloud SecurityAlert (Defender för molnet) Microsoft Defender for IoT SecurityAlert (Defender för IoT) Microsoft Defender XDR SecurityIncident
SecurityAlertMicrosoft Defender för slutpunkter SecurityAlert (Microsoft Defender Advanced Threat Protection (MDATP)) Microsoft Defender for Identity SecurityAlert (Azure Advanced Threat Protection (AATP)) Microsoft Defender för Cloud Apps SecurityAlert (Defender för molnet Apps) Fokusera på följande dataanslutningar för att tillhandahålla bredare övervaknings- och aviseringstäckning:
Kommentar
Det finns en avgift för att mata in data från källorna som anges i avsnittet
Microsoft Entra ID
Microsoft Defender XDR-anslutningsprogram
Skicka Microsoft Defender XDR-loggar till Sentinel om något av följande krävs:
Utnyttja fusionsaviseringar med Sentinel.
- Fusion korrelerar datakällor från flera produkter för att identifiera attacker i flera steg i miljön.
Längre kvarhållning än vad som erbjuds i Microsoft Defender XDR.
Automation omfattas inte av de inbyggda reparationer som erbjuds av Microsoft Defender för Endpoint. Mer information finns i Reparationsåtgärder i Microsoft Defender XDR.
Om de distribueras i Azure använder du följande anslutningsappar för att skicka de här resursernas diagnostikloggar till Sentinel:
- Azure Firewall
- Azure Application Gateway
- KeyVault
- Azure Kubernetes Service
- Azure SQL
- Nätverkssäkerhetsgrupper
- Azure-Arc-servrar
Den rekommenderade metoden konfigurerar Azure Policy för att kräva att loggarna vidarebefordras till den underliggande Log Analytics-arbetsytan. Mer information finns i Skapa diagnostikinställningar i stor skala med Azure Policy.
För virtuella datorer som finns lokalt eller i andra moln som kräver att loggarna samlas in använder du:
- Windows-säkerhet händelser med hjälp av AMA
- Säkerhetshändelser med äldre agent
- Händelser via Defender för Endpoint (för server)
- Syslog-anslutningsprogram
Använd följande anslutningsapp för virtuella nätverksinstallationer eller andra lokala källor som genererar COMMON Event Format (CEF) eller SYSLOG-loggar:
- Common Event Format (CEF) via AMA
- Common Event Format (CEF) via äldre agent
Mer information finns i Distribuera en loggvidare för att mata in Syslog- och CEF-loggar till Microsoft Sentinel.
Överväg att migrera från den äldre agenten till den nya enhetliga Azure Monitor Agent-vägledningen. Mer information finns i MIgrat från äldre agenter till Azure Monitor Agent.
Sök i innehållshubben efter andra enheter, SaaS-appar (Programvara som en tjänst) som kräver att loggar skickas till Sentinel. Mer information finns i Identifiera och hantera innehåll i Microsoft Sentinel out-of-the-box .
Steg 2: Aktivera beteendeanalys för användarentitet
När du har konfigurerat dataanslutningar i Sentinel måste du aktivera beteendeanalys för användarentitet för att identifiera misstänkt beteende som kan leda till nätfiskeangrepp och så småningom attacker som utpressningstrojaner. Ofta är avvikelseidentifiering via UEBA den bästa metoden för att identifiera nolldagsexploateringar tidigt.
Datakällor som krävs:
- Active Directory-loggar (Microsoft Defender för identitet)
- Microsoft Entra-ID
- Granskningsloggar
- Azure-aktivitet
- Säkerhetshändelser
- Logga in loggar
Med UEBA kan Microsoft Sentinel skapa beteendeprofiler för organisationens entiteter över tid och peer-grupp för att identifiera avvikande aktivitet. Detta lade till verktygshjälpmedel i en expedition för att avgöra om en tillgång har komprometterats. Eftersom den identifierar peer-gruppassociation kan detta också hjälpa till att fastställa explosionsradien för den nämnda kompromissen.
Steg 3: Aktivera analysregler
Sentinels hjärnor kommer från analysreglerna. Det här är regler som du anger för att uppmana Sentinel att varna dig för händelser med en uppsättning villkor som du anser vara viktiga. De färdiga beslut som Sentinel fattar baseras på UEBA (User Entity Behavioral Analytics) och på korrelationer av data mellan flera datakällor.
Kommentar
Om du har aktiverat Microsoft Defender XDR-anslutningsappen upprättas automatiskt en dubbelriktad synkronisering mellan 365 Defender-incidenter och Sentinel. För att undvika att skapa dubbletter av incidenter för samma aviseringar rekommenderar vi att kunden inaktiverar alla Microsoft-regler för incidentskapande för Microsoft Defender XDR-integrerade produkter (Defender för Endpoint, Defender för identitet, Defender för Office 365, Defender för molnet Apps och Microsoft Entra ID Protection). Mer information finns i Microsoft Defender XDR-incidenter och Regler för att skapa Microsoft-incidenter.
Microsoft Sentinel aktiverar analysregeln fusion advanced multistage attackidentifiering som standard för att automatiskt identifiera flerstegsattacker. Med hjälp av avvikande beteende och misstänkta aktivitetshändelser som observerats i cyberdödskedjan genererar Microsoft Sentinel incidenter som gör att du kan se kompromissincidenterna med två eller flera aviseringsaktiviteter i den med hög grad av förtroende.
Fusionsvarningsteknik korrelerar breda punkter av datasignaler med utökad maskininlärningsanalys (ML) för att fastställa kända, okända och framväxande hot. Fusionsidentifiering kan till exempel ta mallar för avvikelseregel och schemalagda frågor som skapats för scenariot med utpressningstrojaner och para ihop dem med aviseringar från Microsoft Security Suite-produkter:
- Microsoft Entra ID Protection
- Microsoft Defender for Cloud
- Microsoft Defender for IoT
- Microsoft Defender XDR
- Microsoft Defender för Cloud Apps
- Microsoft Defender för slutpunkter
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
En annan uppsättning färdiga regler som är aktiverade som standard är avvikelseregler i Sentinel. Dessa baseras på Machine Learning-modeller och UEBA som tränar på data på din arbetsyta för att flagga avvikande beteende för användare, värdar och andra. Ofta leder en nätfiskeattack till ett körningssteg, till exempel lokal eller molnbaserad kontomanipulering/kontroll eller körning av skadligt skript. Avvikelseregler letar exakt efter dessa typer av aktiviteter:
- Borttagning av avvikande kontoåtkomst
- Skapande av avvikande konto
- Borttagning av avvikande konto
- Avvikande kontomanipulering
- Avvikande kodkörning (UEBA)
- Avvikande dataförstörelse
- Ändring av avvikande defensiv mekanism
- Avvikande misslyckad inloggning
- Avvikande lösenordsåterställning
- Avvikande behörighet beviljad
- Avvikande inloggning
Granska tröskelvärdet för avvikelseregler och avvikelsepoäng för var och en. Om du till exempel observerar falska positiva identifieringar kan du överväga att duplicera regeln och ändra tröskelvärdet genom att följa stegen som beskrivs i Justera avvikelseregler.
När du har granskat och modifierat fusions- och avvikelseregler aktiverar du den färdiga Microsoft Threat Intelligence Analytics-regeln. Kontrollera att den här regeln matchar dina loggdata med Microsoft-genererad hotinformation. Microsoft har en omfattande lagringsplats med hotinformationsdata, och den här analysregeln använder en delmängd av den för att generera aviseringar och incidenter med hög återgivning för SOC-team (security operations centers) för att sortera.
Med fusions-, avvikelse- och hotinformationsanalysregler aktiverade bör du utföra en MITRE Att&ck-korsning som hjälper dig att avgöra vilka återstående analysregler som ska aktiveras och slutföra implementeringen av en mogen XDR-process (utökad identifiering och svar). På så sätt kan du identifiera och svara under hela livscykeln för en attack.
MITRE Att&ck-forskningsavdelningen skapade MITRE-metoden och den tillhandahålls som en del av Microsoft Sentinel för att underlätta implementeringen. Du bör se till att du har analysregler som sträcker ut längden och bredden på angreppsvektormetoden. Börja med att granska MITRE-teknikerna som omfattas av dina befintliga "aktiva" analysregler och välj sedan Mallar för analysregler och Avvikelseregler i listrutan Simulerad. Nu visar det dig var du har den motståndare taktik och / eller teknik som omfattas och där det finns tillgängliga analysregler bör du överväga att göra det möjligt att förbättra din täckning. Om du till exempel vill identifiera potentiella nätfiskeattacker granskar du analysregelmallarna för nätfisketekniken och prioriterar aktivering av regler som specifikt frågar efter de datakällor som du har registrerat i Sentinel.
I allmänhet finns det fem faser i en attack med utpressningstrojaner som drivs av människor, och Nätfiske faller under initial åtkomst, vilket visas i skärmbilden nedan. Fortsätt genom de återstående stegen för att täcka hela kill-kedjan med lämpliga analysregler:
- Inledande åtkomst
- Stöld av autentiseringsuppgifter
- Sidorörelse
- Bevarande
- Försvarsundandragande
- Exfiltrering (det är här utpressningstrojaner identifieras)
Sammanfattningsvis prioriterar du aktivering av anslutna datakällor, organisationsrisker och MITRE-taktiker när du aktiverar analysregler för Sentinel.
Rekommenderad träning
Anslut data till Microsoft Sentinel med hjälp av dataanslutningar
| Utbildning | Anslut data till Microsoft Sentinel med hjälp av dataanslutningar |
|---|---|
|
Den primära metoden för att ansluta loggdata är att använda dataanslutningsappar som tillhandahålls av Microsoft Sentinel. Den här modulen ger en översikt över tillgängliga dataanslutningar. |
Anslut loggar till Microsoft Sentinel
| Utbildning | Anslut loggar till Microsoft Sentinel |
|---|---|
|
Anslut data i molnskala för alla användare, enheter, program och infrastruktur, både lokalt och i flera moln till Microsoft Sentinel. |
Identifiera hot med beteendeanalys
| Utbildning | Identifiera hot med beteendeanalys |
|---|---|
|
Den primära metoden för att ansluta loggdata är att använda dataanslutningsappar som tillhandahålls av Microsoft Sentinel. Den här modulen ger en översikt över tillgängliga dataanslutningar. |
Nästa steg
Fortsätt till steg 4 för att svara på en incident.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för