Skapa och anpassa analysregler i Microsoft Sentinel

  • 7 minuter

När du har anslutit dina datakällor till Microsoft Sentinel skapar du anpassade analysregler som hjälper dig att identifiera hot och avvikande beteenden i din miljö.

Analysregler söker efter specifika händelser eller uppsättningar av händelser i din miljö, varnar dig när vissa händelsetrösklar eller villkor nås, genererar incidenter för din SOC för att sortera och undersöka och svara på hot med automatiserade spårnings- och reparationsprocesser.

Skapa en anpassad analysregel med en schemalagd fråga

  1. På Microsoft Sentinel-navigeringsmenyn väljer du Analys.

  2. I åtgärdsfältet längst upp väljer du + Skapa och väljer Schemalagd frågeregel. Då öppnas guiden Analysregel.

Skärmbild som visar ett exempel på hur du kör en schemalagd fråga.

Guiden Analysregel – fliken Allmänt

  • Ange ett unikt namn och en beskrivning.
  • I fältet Taktik och tekniker kan du välja bland de kategorier av attacker som regeln ska klassificeras efter. Dessa baseras på taktiken och teknikerna i MITRE ATT&CK-ramverket.
  • Incidenter som skapas från aviseringar som identifieras av regler som mappas till MITRE ATT&CK-taktiker och tekniker ärver automatiskt regelns mappning.
  • Ange allvarlighetsgrad för aviseringen efter behov.
    • Informativt. Ingen inverkan på systemet, men informationen kan tyda på framtida steg som planeras av en hotskådespelare.
    • Låg. Den omedelbara effekten skulle vara minimal. En hotskådespelare skulle sannolikt behöva utföra flera steg innan en miljö påverkas.
    • Medel. Hotskådespelaren kan ha viss inverkan på miljön med den här aktiviteten, men den skulle vara begränsad i omfånget eller kräva ytterligare aktivitet.
    • Hög. Den identifierade aktiviteten ger hotaktören omfattande åtkomst till att utföra åtgärder i miljön eller utlöses av påverkan på miljön.
  • Standardvärden för allvarlighetsgrad är inte en garanti för aktuell eller miljömässig påverkansnivå. Anpassa aviseringsinformation för att anpassa allvarlighetsgrad, taktik och andra egenskaper för en viss instans av en avisering med värdena för relevanta fält från en frågas utdata.
  • Allvarlighetsgradsdefinitioner för Microsoft Sentinel-analysregelmallar är endast relevanta för aviseringar som skapats av analysregler. För aviseringar som matas in från andra tjänster definieras allvarlighetsgraden av källsäkerhetstjänsten.
  • När du skapar regeln är statusen Aktiverad som standard, vilket innebär att den körs direkt när du har skapat den. Om du inte vill att den ska köras omedelbart väljer du Inaktiverad, så läggs regeln till på fliken Aktiva regler och du kan aktivera den därifrån när du behöver den.

Skärmbild som visar ett exempel på hur du skapar en ny regel.

Definiera regelfrågelogik och konfigurera inställningar

På fliken Ange regellogik kan du antingen skriva en fråga direkt i fältet Regelfråga eller skapa frågan i Log Analytics och sedan kopiera och klistra in den här.

  • Frågor skrivs med Kusto Query Language (KQL).
  • Exemplet som visas i den här skärmbilden frågar tabellen SecurityEvent om du vill visa en typ av misslyckade Windows-inloggningshändelser.

Skärmbild som visar ett exempel på hur du anger regellogik.

Här är en annan exempelfråga som varnar dig när ett avvikande antal resurser skapas i Azure Activity.

Kusto

AzureActivity

| where OperationNameValue == "MICROSOFT. COMPUTE/VIRTUALMACHINES/WRITE" eller OperationNameValue == "MICROSOFT. RESURSER/DISTRIBUTIONER/SKRIVNING"

| where ActivityStatusValue == "Succeeded"

| make-series dcount(ResourceId) default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller

Viktigt!

Vi rekommenderar att din fråga använder en ASIM-parser (Advanced Security Information Model) och inte en intern tabell. Detta säkerställer att frågan stöder alla aktuella eller framtida relevanta datakällor i stället för en enda datakälla.

Metodtips för regelfråga:

  • Frågelängden ska vara mellan 1 och 10 000 tecken och får inte innehålla search * eller union *. Du kan använda användardefinierade funktioner för att övervinna frågelängdsbegränsningen.
  • Det går inte att använda ADX-funktioner för att skapa Azure Data Explorer-frågor i Log Analytics-frågefönstret.
  • När du använder bag_unpack funktionen i en fråga misslyckas frågan om du projicerar kolumnerna som fält med och project field1 kolumnen inte finns. För att skydda dig mot detta måste du projicera kolumnen på följande sätt:
    • project field1 = column_ifexists("field1","")

Aviseringsberikning

  • Använd konfigurationsavsnittet Entitetsmappning för att mappa parametrar från dina frågeresultat till Microsoft Sentinel-identifierade entiteter. Entiteter berikar reglernas utdata (aviseringar och incidenter) med viktig information som fungerar som byggstenar i eventuella utredningsprocesser och åtgärdsåtgärder som följer. De är också de kriterier som du kan gruppera aviseringar med i incidenter på fliken Incidentinställningar.
  • Använd konfigurationsavsnittet Anpassad information för att extrahera händelsedataobjekt från din fråga och visa dem i aviseringarna som skapas av den här regeln, vilket ger dig omedelbar synlighet för händelseinnehåll i dina aviseringar och incidenter.
  • Använd konfigurationsavsnittet Aviseringsinformation för att åsidosätta standardvärdena för aviseringens egenskaper med information från de underliggande frågeresultaten. Med aviseringsinformation kan du till exempel visa en angripares IP-adress eller kontonamn i själva aviseringens rubrik, så att den visas i din incidentkö, vilket ger dig en mycket rikare och tydligare bild av hotlandskapet.

Kommentar

Storleksgränsen för en hel avisering är 64 KB.

  • Aviseringar som blir större än 64 kB trunkeras. När entiteter identifieras läggs de till i aviseringen en i taget tills aviseringsstorleken når 64 KB och eventuella återstående entiteter tas bort från aviseringen.
  • De andra aviserings berikandena bidrar också till aviseringens storlek.
  • Om du vill minska storleken på aviseringen använder du operatorn project-away i frågan för att ta bort onödiga fält. (Överväg även operatorn project om det bara finns några få fält som du behöver behålla.)

Tröskelvärde för frågeschemaläggning och avisering

  • I avsnittet Frågeschemaläggning anger du följande parametrar:

Skärmbild som visar ett exempel på hur du skapar en ny schemalagd regel.

  • Ställ in Kör fråga var för att styra hur ofta frågan körs – så ofta som var 5:e minut eller så sällan som en gång var 14:e dag.
  • Ange uppslagsdata från den sista för att fastställa tidsperioden för de data som omfattas av frågan, till exempel kan den fråga de senaste 10 minuterna av data eller de senaste 6 timmarna av data. Maximalt är 14 dagar.
  • För den nya inställningen Börja köra (i förhandsversion):
    • Låt den vara inställd på Fortsätt det ursprungliga beteendet automatiskt: regeln körs för första gången omedelbart när den skapas och därefter vid det intervall som anges i varje inställning för Kör fråga.
    • Växla växeln till Vid en viss tidpunkt om du vill avgöra när
    • regeln körs först, i stället för att köra den omedelbart. Välj sedan datumet med kalenderväljaren och ange tiden i formatet för exemplet som visas.

Skärmbild som visar ett exempel på hur du konfigurerar parametrar för frågeschemaläggning.

Framtida körningar av regeln sker vid det angivna intervallet efter den första körningen.

Textraden under inställningen Börja köra (med informationsikonen till vänster) sammanfattar de aktuella frågeschemaläggnings- och återblicksinställningarna.

Frågeintervall och återblicksperiod

Dessa två inställningar är oberoende av varandra, upp till en viss punkt. Du kan köra en fråga med ett kort intervall som täcker en tidsperiod som är längre än intervallet (i själva verket har överlappande frågor), men du kan inte köra en fråga med ett intervall som överskrider täckningsperioden, annars har du luckor i den övergripande frågetäckningen.

Inmatningsfördröjning

För att ta hänsyn till svarstider som kan uppstå mellan en händelses generering vid källan och dess inmatning till Microsoft Sentinel, och för att säkerställa fullständig täckning utan dataduplicering, kör Microsoft Sentinel schemalagda analysregler på fem minuters fördröjning från den schemalagda tiden.

Använd avsnittet Aviseringströskel för att definiera känslighetsnivån för regeln. Ange till exempel Generera avisering när antalet frågeresultat är större än och ange talet 1 000 om du bara vill att regeln ska generera en avisering om frågan returnerar fler än 1 000 resultat varje gång den körs. Det här är ett obligatoriskt fält, så om du inte vill ange ett tröskelvärde , dvs. om du vill att din avisering ska registrera varje händelse, anger du 0 i nummerfältet.

Konfigurera inställningarna för incidentskapande

På fliken Incident Inställningar kan du välja om och hur Microsoft Sentinel omvandlar aviseringar till åtgärdsbara incidenter. Om den här fliken lämnas ensam skapar Microsoft Sentinel en enskild, separat incident från varje avisering. Du kan välja att inte skapa några incidenter eller gruppera flera aviseringar i en enda incident genom att ändra inställningarna på den här fliken.

Incidentinställningar

I avsnittet Incidentinställningar anges Skapa incidenter från aviseringar som utlöses av den här analysregeln som standard till Aktiverad, vilket innebär att Microsoft Sentinel skapar en enskild, separat incident från varje avisering som utlöses av regeln.

  • Om du inte vill att den här regeln ska leda till att incidenter skapas (till exempel om den här regeln bara är att samla in information för efterföljande analys) anger du detta till Inaktiverad.
  • Om du vill att en enskild incident ska skapas från en grupp av aviseringar går du till nästa avsnitt i stället för en för varje avisering.

Aviseringsgruppering

Om du vill att en enskild incident ska genereras från en grupp på upp till 150 liknande eller återkommande aviseringar i avsnittet Aviseringsgruppering (se anmärkning), anger du Grupprelaterade aviseringar, utlöses av den här analysregeln, till incidenter till Aktiverade och anger följande parametrar.

  • Begränsa gruppen till aviseringar som skapats inom den valda tidsramen: Fastställa den tidsram inom vilken liknande eller återkommande aviseringar ska grupperas tillsammans. Alla motsvarande aviseringar inom den här tidsramen genererar tillsammans en incident eller en uppsättning incidenter (beroende på grupperingsinställningarna nedan). Aviseringar utanför den här tidsramen genererar en separat incident eller uppsättning incidenter.
  • Gruppera aviseringar som utlöses av den här analysregeln i en enskild incident av: Välj den grund som aviseringar ska grupperas på:
Alternativ Beskrivning
Gruppera aviseringar i en enskild incident om alla entiteter matchar Aviseringar grupperas tillsammans om de delar identiska värden för var och en av de mappade entiteterna (definieras på fliken Ange regellogik ovan). Detta är den rekommenderade inställningen.
Gruppera alla aviseringar som utlöses av den här regeln i en enda incident Alla aviseringar som genereras av den här regeln grupperas tillsammans även om de inte delar några identiska värden.
Gruppera aviseringar i en enskild incident om de valda entiteterna och informationen matchar Aviseringar grupperas tillsammans om de delar identiska värden för alla mappade entiteter, aviseringsinformation och anpassad information som valts från respektive listruta.

Du kanske vill använda den här inställningen om du till exempel vill skapa separata incidenter baserat på källans eller målets IP-adresser, eller om du vill gruppera aviseringar som matchar en viss entitet och allvarlighetsgrad.

Obs! När du väljer det här alternativet måste du ha minst en entitetstyp eller ett fält valt för regeln. Annars misslyckas verifieringen av regeln och regeln skapas inte.
  • Öppna stängda matchningsincidenter igen: Om en incident har lösts och stängts, och senare om en annan avisering genereras som ska tillhöra incidenten, anger du den här inställningen till Aktiverad om du vill att den stängda incidenten ska öppnas igen och lämnar som Inaktiverad om du vill att aviseringen ska skapa en ny incident.

Kommentar

Upp till 150 aviseringar kan grupperas i en enda incident.

  • Incidenten skapas först när alla aviseringar har genererats. Alla aviseringar läggs till i incidenten omedelbart när den har skapats.
  • Om fler än 150 aviseringar genereras av en regel som grupperar dem i en enda incident genereras en ny incident med samma incidentinformation som originalet och de överskjutande aviseringarna grupperas i den nya incidenten.

Ange automatiserade svar och skapa regeln

På fliken Automatiserade svar kan du använda automatiseringsregler för att ställa in automatiserade svar vid någon av tre typer av tillfällen:

  1. När en avisering genereras av den här analysregeln.
  2. När en incident skapas med aviseringar som genereras av den här analysregeln.
  3. När en incident uppdateras med aviseringar som genereras av den här analysregeln.

Rutnätet som visas under Automation-regler visar de automatiseringsregler som redan gäller för den här analysregeln (på grund av att den uppfyller de villkor som definieras i dessa regler). Du kan redigera någon av dessa genom att välja ellipsen i slutet av varje rad. Eller så kan du skapa en ny automatiseringsregel.

Använd automatiseringsregler för att utföra grundläggande sortering, tilldelning, arbetsflöde och stängning av incidenter.

Automatisera mer komplexa uppgifter och anropa svar från fjärrsystem för att åtgärda hot genom att anropa spelböcker från dessa automatiseringsregler. Du kan göra detta för incidenter och för enskilda aviseringar.

Skärmbild som visar ett exempel på hur du konfigurerar ett automatiserat svar.

  • Under Aviseringsautomatisering (klassisk) längst ned på skärmen ser du alla spelböcker som du har konfigurerat för att köras automatiskt när en avisering genereras med den gamla metoden.
    • Från och med juni 2023 kan du inte längre lägga till spelböcker i den här listan. Spelböcker som redan anges här fortsätter att köras tills den här metoden är inaktuell, från och med mars 2026.
    • Om du fortfarande har några spelböcker listade här bör du i stället skapa en automatiseringsregel baserat på utlösaren som skapats av aviseringen och anropa spelboken därifrån. När du har gjort det väljer du ellipsen i slutet av spelboken som visas här och väljer Ta bort.

Välj Granska och skapa för att granska alla inställningar för din nya analysregel. När meddelandet "Validering har skickats" visas väljer du Skapa.

Visa regeln och dess utdata

  • Du hittar din nyligen skapade anpassade regel (av typen "Schemalagd") i tabellen under fliken Aktiva regler på huvudskärmen för analys. I den här listan kan du aktivera, inaktivera eller ta bort varje regel.
  • Om du vill visa resultatet av de analysregler som du skapar går du till sidan Incidenter, där du kan sortera incidenter, undersöka dem och åtgärda hoten.
  • Du kan uppdatera regelfrågan för att undanta falska positiva identifieringar.