Aracılığıyla paylaş

Özel algılama kuralları oluşturma

  • Şunlara uygulanır: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Özel algılama kuralları, gelişmiş tehdit avcılığı sorgularını kullanarak tasarlayabileceğiniz ve ayarlayabileceğiniz kurallardır. Bu kurallar, şüpheli ihlal etkinliği ve yanlış yapılandırılmış uç noktalar dahil olmak üzere çeşitli olayları ve sistem durumlarını proaktif olarak izlemenize olanak sağlar. Bunları düzenli aralıklarla çalışacak şekilde ayarlayabilir, uyarılar oluşturabilir ve her eşleşme olduğunda yanıt eylemleri gerçekleştirebilirsiniz.

Özel algılamaları yönetmek için gerekli izinler

Önemli

Microsoft, rolleri en az izinle kullanmanızı önerir. Bu, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.

Özel algılamaları yönetmek için şu rollerden birine atanmış olmanız gerekir:

  • Güvenlik ayarları (yönetme) - Bu Microsoft Defender XDR iznine sahip kullanıcılar Microsoft Defender portalında güvenlik ayarlarını yönetebilir.

  • Güvenlik Yöneticisi - Bu Microsoft Entra rolüne sahip kullanıcılar Microsoft Defender portalında ve diğer portallarda ve hizmetlerde güvenlik ayarlarını yönetebilir.

  • Güvenlik operatörü - Bu Microsoft Entra rolüne sahip kullanıcılar uyarıları yönetebilir ve Microsoft Defender portalındaki tüm bilgiler de dahil olmak üzere güvenlikle ilgili özelliklere genel olarak salt okunur erişime sahip olabilir. Bu rol, yalnızca rol tabanlı erişim denetimi (RBAC) Uç Nokta için Microsoft Defender kapalı olduğunda özel algılamaları yönetmek için yeterlidir. RBAC'yi yapılandırdıysanız, Uç Nokta için Defender için *Güvenlik Ayarlarını Yönet iznine de ihtiyacınız vardır.

Belirli Microsoft Defender XDR çözümleri için doğru izinlere sahipseniz, verilere uygulanan özel algılamaları yönetebilirsiniz. Örneğin, yalnızca Office 365 için Microsoft Defender için yönetme izinleriniz varsa tabloları kullanarak Email* özel algılamalar oluşturabilirsiniz, tabloları değilIdentity*.

Benzer şekilde, IdentityLogonEvents tabloda hem Microsoft Defender for Cloud Apps hem de Kimlik için Defender'dan kimlik doğrulama etkinliği bilgileri bulunduğundan, söz dizimini sorgulayan özel algılamaları yönetmek için her iki hizmet için de yönetim izinlerine sahip olmanız gerekir.

Not

Özel algılamaları yönetmek için, RBAC açıksa Güvenlik İşleçlerinin Uç Nokta için Microsoft Defender'de Güvenlik Ayarlarını Yönet iznine sahip olması gerekir.

Genel Yönetici gerekli izinleri yönetmek için şunları yapabilir:

  • Microsoft 365 yönetim merkezi'da Rol> Güvenlik Yöneticisi altında Güvenlik Yöneticisi veya Güvenlik operatörü rolünüatayın.

  • Ayarlar>İzinleri>Rolleri altındaki Microsoft Defender XDR Uç Nokta için Microsoft Defender için RBAC ayarlarını denetleyin. Güvenlik ayarlarını yönetme iznini atamak için ilgili rolü seçin.

Not

Ayrıca kullanıcının devam etmeden önce oluşturduğu veya düzenlediği özel bir algılama kuralının cihaz kapsamındaki cihazlar için uygun izinlere sahip olması gerekir. Aynı kullanıcının tüm cihazlar için izinleri yoksa, kullanıcı kapsamı tüm cihazlarda çalışacak şekilde belirlenmiş bir özel algılama kuralını düzenleyemez.

Özel algılama kuralı oluşturma

1. Sorguyu hazırlama

Microsoft Defender portalında Gelişmiş tehdit avcılığı'na gidin ve var olan bir sorguyu seçin veya yeni bir sorgu oluşturun. Yeni bir sorgu kullanırken, hataları belirlemek ve olası sonuçları anlamak için sorguyu çalıştırın.

Önemli

Hizmetin çok fazla uyarı döndürmesini önlemek için, her kural her çalıştırıldığında yalnızca 100 uyarı oluşturmakla sınırlıdır. Kural oluşturmadan önce, normal, günlük etkinlik uyarılarını önlemek için sorgunuzda ayarlamalar yapın.

Sorgu sonuçlarında gerekli sütunlar

Özel algılama kuralı oluşturmak için sorgu aşağıdaki sütunları döndürmelidir:

  1. Timestamp - Bu sütun, oluşturulan uyarıların zaman damgasını ayarlamak için kullanılır. Timestamp Sorgudan döndürülen sorguda işlenmemiş olmalı ve tam olarak ham olayda göründüğü gibi döndürülmelidir.

  2. Defender XDR tablolarında olayı benzersiz olarak tanımlayan sütun veya sütun birleşimi:

    • Uç Nokta için Microsoft Defender tablolardaTimestamp, , DeviceIdve ReportId sütunları aynı olayda görünmelidir
    • Uyarı* tabloları için olayda Timestamp görünmelidir
    • Gözlem* tabloları Timestampiçin ve ObservationId aynı olayda görünmelidir
    • Diğer tüm kullanıcılar Timestamp için ve ReportId aynı olayda görünmelidir

  3. Etkilenen bir varlık için tanımlayıcı içeren aşağıdaki sütunlardan biri:

    • DeviceId
    • DeviceName
    • RemoteDeviceName
    • RecipientEmailAddress
    • SenderFromAddress (zarf gönderen veya Return-Path adresi)
    • SenderMailFromAddress (e-posta istemcisi tarafından görüntülenen gönderen adresi)
    • RecipientObjectId
    • AccountObjectId
    • AccountSid
    • AccountUpn
    • InitiatingProcessAccountSid
    • InitiatingProcessAccountUpn
    • InitiatingProcessAccountObjectId

Not

Gelişmiş tehdit avcılığı şemasına yeni tablolar eklendikçe daha fazla varlık desteği eklenecektir.

Sonuçları özelleştirmek veya toplamak için veya summarize işlecini kullanmayanlar project gibi basit sorgular genellikle bu ortak sütunları döndürür.

Daha karmaşık sorguların bu sütunları döndürmesini sağlamanın çeşitli yolları vardır. Örneğin, gibi DeviceIdbir sütun altında varlığa göre toplamayı ve sayma işlemini tercih ederseniz, yine de Timestamp döndürebilir ve ReportId her benzersiz DeviceIdiçeren en son olaydan alabilirsiniz.

Önemli

Sütunu kullanarak özel algılamaları filtrelemekten Timestamp kaçının. Özel algılamalar için kullanılan veriler, algılama sıklığına göre önceden filtrelenmiştir.

Aşağıdaki örnek sorgu, virüsten koruma algılamaları olan benzersiz cihazların (DeviceId) sayısını sayar ve yalnızca beşten fazla algılaması olan cihazları bulmak için bu sayıyı kullanır. En son Timestamp ve karşılık gelen ReportIddeğerini döndürmek için işleviyle birlikte işlecini arg_max kullanırsummarize.

DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

İpucu

Daha iyi sorgu performansı için, kural için hedeflenen çalışma sıklığınızla eşleşen bir zaman filtresi ayarlayın. En az sık çalıştırılan 24 saatte bir olduğundan, önceki güne yönelik filtreleme tüm yeni verileri kapsar.

2. Yeni kural oluşturun ve uyarı ayrıntılarını sağlayın

Sorguyu sorgu düzenleyicisinde kullanarak Algılama kuralı oluştur'u seçin ve aşağıdaki uyarı ayrıntılarını belirtin:

  • Algılama adı - Algılama kuralının adı; benzersiz olmalıdır
  • Frequency -Sorguyu çalıştırma ve eylem gerçekleştirme aralığı. Kural sıklığı bölümünde daha fazla kılavuza bakın
  • Uyarı başlığı - Kural tarafından tetiklenen uyarılarla görüntülenen başlık; benzersiz ve düz metin olmalıdır. Dizeler güvenlik amacıyla temizlenir, bu nedenle HTML, Markdown ve diğer kod çalışmaz.
  • Önem derecesi - Kural tarafından tanımlanan bileşenin veya etkinliğin olası riski.
  • Kategori - Kural tarafından tanımlanan tehdit bileşeni veya etkinliği.
  • MITRE ATT&CK teknikleri - MITRE ATT&CK çerçevesinde belgelendiği gibi kural tarafından tanımlanan bir veya daha fazla saldırı tekniği. Bu bölüm kötü amaçlı yazılım, fidye yazılımı, şüpheli etkinlik ve istenmeyen yazılımlar gibi bazı uyarı kategorileri için gizlenir.
  • Açıklama - Kural tarafından tanımlanan bileşen veya etkinlik hakkında daha fazla bilgi. Dizeler güvenlik amacıyla temizlenir, bu nedenle HTML, Markdown ve diğer kod çalışmaz.
  • Önerilen eylemler - Yanıtlayanların uyarıya yanıt olarak gerçekleştirebileceği ek eylemler.

Kural sıklığı

Yeni bir kural kaydettiğinizde çalıştırılır ve son 30 günlük verilerin eşleşmelerini denetler. Kural daha sonra sabit aralıklarla yeniden çalıştırılır ve seçtiğiniz sıklık temelinde bir geri arama dönemi uygular:

  • Her 24 saatte bir - Son 30 güne ait verileri denetleden her 24 saatte bir çalışır.
  • Her 12 saatte bir - Son 48 saatteki verileri denetleden 12 saatte bir çalışır.
  • Her 3 saatte bir - Son 12 saatteki verileri denetleden her 3 saatte bir çalışır.
  • Saatte bir - Son 4 saatteki verileri denetleden saatlik olarak çalışır.
  • Sürekli (NRT) - Gerçek zamanlıya yakın (NRT) olarak toplanan ve işlenen olaylardaki verileri denetleden sürekli çalışır, bkz . Sürekli (NRT) sıklık.

İpucu

Sorgunuzdaki zaman filtrelerini geri arama dönemiyle eşleştirin. Geri arama dönemi dışındaki sonuçlar yoksayılır.

Bir kuralı düzenlediğinizde, bir sonraki çalışma zamanında uygulanan değişiklikler ayarladığınız sıklık değerine göre zamanlanmış olarak çalıştırılır. Kural sıklığı, alım süresini değil olay zaman damgasını temel alır.

Sürekli (NRT) frekans

Özel algılamayı Sürekli (NRT) sıklıkta çalışacak şekilde ayarlamak, kuruluşunuzun tehditleri daha hızlı tanımlama becerisini artırmanıza olanak tanır. Sürekli (NRT) sıklığının kullanılması, kaynak kullanımınızı en az düzeyden hiçbir şekilde etkilemez ve bu nedenle kuruluşunuzdaki herhangi bir nitelikli özel algılama kuralı için dikkate alınmalıdır.

Özel algılama kuralları sayfasından, Sürekli (NRT) sıklığına uyan özel algılama kurallarını tek bir düğmeyle geçirebilirsiniz, Şimdi geçir:

Gelişmiş avcılıkta şimdi geçir düğmesinin ekran görüntüsü.

Geçiş'i seçtiğinizde artık KQL sorgusuna göre tüm uyumlu kuralların bir listesi oluşturulur. Tüm veya seçili kuralları yalnızca tercihlerinize göre geçirmeyi seçebilirsiniz:

Gelişmiş avcılıkta sürekli frekans uyumlu sorguların ekran görüntüsü.

Kaydet'e tıkladığınızda, seçili kuralların sıklığı Sürekli (NRT) sıklık olarak güncelleştirilir.

Sürekli çalıştırabileceğiniz sorgular

Sorguyu şu süre boyunca sürekli çalıştırabilirsiniz:

  • Sorgu yalnızca bir tabloya başvurur.
  • Sorgu, Desteklenen KQL özellikleri listesinden bir işleç kullanır. (için matches regex, normal ifadeler dize değişmez değerleri olarak kodlanmalı ve dize alıntılama kurallarına uymalıdır. Örneğin, normal ifade \A KQL'de olarak "\\A"temsil edilir. Ek ters eğik çizgi, diğer ters eğik çizginin normal ifadenin \Abir parçası olduğunu gösterir.)
  • Sorgu birleştirmeleri, birleşimleri veya externaldata işleci kullanmaz.
  • Sorgu herhangi bir açıklama satırı/bilgisi içermez.
Sürekli (NRT) sıklığını destekleyen tablolar

Aşağıdaki tablolar için neredeyse gerçek zamanlı algılamalar desteklenir:

  • AlertEvidence
  • CloudAppEvents
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • EmailAttachmentInfo
  • EmailEvents(ve LatestDeliveryAction sütunları hariçLatestDeliveryLocation)
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • UrlClickEvents

Not

Yalnızca genel kullanıma sunulan sütunlar Sürekli (NRT) sıklığını destekleyebilir.

3. Etkilenen varlıkları seçin

Sorgu sonuçlarınızda, etkilenen veya etkilenen ana varlığı bulmayı beklediğiniz sütunları belirleyin. Örneğin, bir sorgu gönderen (SenderFromAddress veya SenderMailFromAddress) ve alıcı (RecipientEmailAddress) adresleri döndürebilir. Bu sütunlardan hangisinin ana etkilenen varlığı temsil ettiği belirlenerek hizmetin ilgili uyarıları toplaması, olayları ilişkilendirmesi ve hedef yanıt eylemlerine yardımcı olur.

Her varlık türü (posta kutusu, kullanıcı veya cihaz) için yalnızca bir sütun seçebilirsiniz. Sorgunuz tarafından döndürülmedi sütunlar seçilemiyor.

4. Eylemleri belirtme

Özel algılama kuralınız, sorgu tarafından döndürülen cihazlarda, dosyalarda, kullanıcılarda veya e-postalarda otomatik olarak eylemler gerçekleştirebilir.

Microsoft Defender portalında özel algılama eylemlerinin gösterildiği ekran görüntüsü.

Cihazlardaki eylemler

Bu eylemler, sorgu sonuçlarının sütunundaki DeviceId cihazlara uygulanır:

Dosyalardaki eylemler

  • Seçildiğinde, dosyaya İzin Ver/Engelle eylemi uygulanabilir. Engelleme dosyalarına yalnızca dosyalar için Düzeltme izinleriniz varsa ve sorgu sonuçları SHA1 gibi bir dosya kimliği tanımladıysa izin verilir. Bir dosya engellendikten sonra, aynı dosyanın tüm cihazlardaki diğer örnekleri de engellenir. Engellemenin hangi cihaz grubuna uygulandığını denetleyebilirsiniz ancak belirli cihazlara uygulanmaz.

  • Seçildiğinde, Dosyayı karantinaya al eylemi sorgu sonuçlarının SHA1, InitiatingProcessSHA1, SHA256veya InitiatingProcessSHA256 sütunundaki dosyalara uygulanabilir. Bu eylem dosyayı geçerli konumundan siler ve bir kopyasını karantinaya alır.

Kullanıcılara yönelik eylemler

  • Seçildiğinde, sorgu sonuçlarının , InitiatingProcessAccountObjectIdveya RecipientObjectId sütunundaki AccountObjectIdkullanıcılar üzerinde Kullanıcıyı güvenliği aşılmış olarak işaretle eylemi gerçekleştirilen eylemdir. Bu eylem, kullanıcıların risk düzeyini Microsoft Entra ID "yüksek" olarak ayarlar ve ilgili kimlik koruma ilkelerini tetikler.

  • Kullanıcının oturum açmasını geçici olarak engellemek için Kullanıcıyı devre dışı bırak'ı seçin.

  • Kullanıcıdan bir sonraki oturum açma oturumunda parolasını değiştirmesini istemesi için Parola sıfırlamaya zorla'yı seçin.

  • Disable user Hem ve Force password reset seçenekleri, , , RequestAccountSidInitiatingProcessAccountSidve OnPremSidsütunlarında AccountSidbulunan kullanıcı SID'sini gerektirir.

Kullanıcı eylemleri hakkında daha fazla ayrıntı için Kimlik için Microsoft Defender düzeltme eylemleri makalesini okuyun.

E-postalardaki eylemler

  • Özel algılama e-posta iletilerini verirse, e-postayı seçili bir klasöre (Gereksiz, Gelen Kutusu veya Silinmiş öğeler klasörlerinden herhangi biri) taşımak için Posta kutusu klasörüne taşı'yı seçebilirsiniz. Özel olarak, Gelen Kutusu seçeneğini belirleyerek karantinaya alınan öğelerden (örneğin, hatalı pozitif sonuçlar) e-posta sonuçlarını taşıyabilirsiniz.

    Microsoft Defender portalındaki özel algılamalar altındaki Gelen Kutusu seçeneğinin ekran görüntüsü. Microsoft Defender portalındaki özel algılamalar altındaki Gelen Kutusu seçeneğinin ekran görüntüsü.

  • Alternatif olarak, E-postayı sil'i seçip e-postaları Silinmiş Öğeler'e taşımayı (Geçici silme) veya seçili e-postaları kalıcı olarak silmeyi (Sabit silme) seçebilirsiniz.

ve sütunlarının NetworkMessageIdRecipientEmailAddress , e-posta iletilerine eylem uygulamak için sorgunun çıktı sonuçlarında bulunması gerekir.

5. Kural kapsamını ayarlama

Kuralın kapsamına giren cihazları belirtmek için kapsamı ayarlayın. Kapsam, cihazları denetleyen kuralları etkiler ve yalnızca posta kutularını ve kullanıcı hesaplarını veya kimliklerini denetleyen kuralları etkilemez.

Kapsamı ayarlarken şunları seçebilirsiniz:

  • Tüm cihazlar
  • Belirli cihaz grupları

Yalnızca kapsamdaki cihazlardan veriler sorgulanır. Ayrıca, eylemler yalnızca bu cihazlarda gerçekleştirilen işlemlerdir.

Not

Kullanıcılar yalnızca kuralın kapsamına dahil edilen cihazlar için ilgili izinlere sahip olmaları durumunda özel bir algılama kuralı oluşturabilir veya düzenleyebilir. Örneğin, yöneticiler yalnızca tüm cihaz grupları için izinleri varsa, kapsamı tüm cihaz gruplarına göre belirlenmiş kurallar oluşturabilir veya düzenleyebilir.

6. Kuralı gözden geçirin ve açın

Kuralı gözden geçirdikten sonra oluştur'u seçerek kaydedin. Özel algılama kuralı hemen çalışır. Eşleşmeleri denetlemek, uyarılar oluşturmak ve yanıt eylemleri uygulamak için yapılandırılmış sıklık temelinde yeniden çalışır.

Önemli

Özel algılamalar, verimlilik ve verimlilik açısından düzenli olarak gözden geçirilmelidir. Sorgularınızı iyileştirme konusunda rehberlik için Gelişmiş tehdit avcılığı sorgusu en iyi yöntemlerini izleyin. Gerçek uyarıları tetikleyen algılamalar oluşturduğunuzdan emin olmak için Mevcut özel algılama kurallarını yönetme bölümündeki adımları izleyerek mevcut özel algılamalarınızı gözden geçirin.

Özel algılamalarınızın genişliği veya özgüllüğü üzerinde denetim sahibi olursunuz, böylece özel algılamalar tarafından oluşturulan yanlış uyarılar kuralların belirli parametrelerini değiştirme gereksinimini gösterebilir.

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.