你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

有关发布Microsoft Sentinel 高质量解决方案的指导

Microsoft Sentinel 是一种可缩放的云原生安全信息事件管理(SIEM)和安全业务流程自动响应(SOAR)解决方案。 它在整个企业中提供智能安全分析和威胁智能。 本文档概述了构建 Microsoft Sentinel 解决方案时要考虑的要求和最佳做法。 一些建议(例如使用无代码连接器框架(CCF)构建数据连接器,是合作伙伴必须满足的要求,才能让Microsoft Sentinel 团队在 GitHub 中认证其代码。 本文档将这些要求归类为必备项。 本文档还提供了最佳做法,尽管不是强制性的,但强烈建议帮助客户最大限度地利用其解决方案的好处,并鼓励使用产品和服务。

Microsoft Sentinel 解决方案包含多个内容项,每个内容项都提供特定用途。 它们使客户能够快速配置解决方案,并在几分钟内开始监视其安全基础结构。 接下来列出了构成Microsoft Sentinel 解决方案的关键组件:

  • 数据连接器 良好的Microsoft Sentinel 解决方案从强大的集成功能开始,允许从各种源(包括云服务、本地系统和第三方解决方案)无缝引入数据。 必须确保收集所有相关日志和遥测数据,以便全面了解潜在威胁。 确保将数据组织到其架构直观且易于理解的表中。
  • 分析规则 对于识别可疑活动和潜在威胁至关重要。 使用 Kusto 查询语言(KQL)编写的分析规则在数据连接器拉取的数据上运行,以识别异常和潜在问题。 创建的警报会在 Microsoft Sentinel 中被汇总用于生成事件。 作为产品所有者,由于没有人比你更了解你的数据,因此请务必确保创建一组识别关键威胁的分析规则。 作为解决方案一部分交付的预定义分析规则激励客户创建自己的解决方案。
  • 运行手册 自动化执行对已识别威胁的响应操作(通过分析规则),确保修正的快速性和一致性。 若要确保 SOC 分析师不会过度负担战术项目,并且可以专注于研究更具战略性和更深层次的漏洞根本原因,则剧本至关重要。 设计解决方案时,请考虑可以采取的自动化作来解决解决方案中定义的分析规则所创建的事件。
  • 搜寻查询 使 SOC 分析师能够主动查找当前计划分析规则未检测到的新异常。 搜寻查询指导 SOC 分析人员提出正确的问题,从 Microsoft Sentinel 中已提供的数据中查找问题,并帮助他们识别潜在的威胁方案。 作为产品所有者,创建搜寻查询使 SOC 分析师能够更好地了解基础架构,并激励他们思考新方案。
  • 分析器 是 KQL 函数,可将自定义数据从第三方产品转换为规范化的 ASIM 架构。 规范化可确保 SOC 分析人员不必了解有关新架构的详细信息,而是在熟悉的规范化架构上生成分析规则和搜寻查询。 查看由 Microsoft Sentinel 提供的可用 ASIM 架构,以识别与您的数据相关的 ASIM 架构(一个或多个),确保 SOC 分析师更轻松地进行上线,并确保为 ASIM 架构编写的现有安全内容可以立即适用于您的产品数据。 有关可用 ASIM 架构的详细信息,请参阅高级安全信息模型 (ASIM) 架构 |Microsoft Learn
  • 工作簿 提供交互式报表和仪表板,可帮助用户可视化安全数据并确定数据中的模式。 工作簿的需求是主观的,取决于手头的特定用例。 设计解决方案时,请考虑可能最直观地解释的方案,尤其是用于跟踪临时性能的方案。

数据连接器

合作伙伴需要使用无代码连接器框架(CCF)来构建数据连接器。 无需编写代码的连接器框架(CCF)为合作伙伴、高级用户和开发人员提供了创建自定义连接器的能力,以便将数据导入Microsoft Sentinel。 使用 CCF 创建的连接器不需要任何服务安装,并且数据轮询和提取的整个基础结构由 Microsoft Sentinel 在后台管理。 CCF 附带内置运行状况监视和 Microsoft Sentinel 的完全支持,并且可自动缩放以支持不同的引入大小。 借助 CCF 平台,客户可以使用简单的 UI 界面来配置引入,而无需在 Azure 中部署资源。 客户无需支付用于轮询并引入数据至 Microsoft Sentinel 的计算容量费用,只对引入 Microsoft Sentinel 的数据收取费用。

谨慎

对于所有新的数据连接器,合作伙伴需要使用无代码连接器框架(CCF),而不是 Azure Functions。 如果在开发数据连接器的过程中发现由于 CCF 框架限制而导致的任何阻碍,请在 https://github.com/Azure/Azure-Sentinel/issues 中使用标题“CCF 限制”记录问题。 Microsoft Sentinel 团队将与你合作解决问题或提供解决方法。 如果问题是一个障碍,Microsoft Sentinel 团队将与你携手合作,为你的数据连接器创建例外处理。

分析规则

合作伙伴必须至少创建一个分析规则作为 Sentinel 解决方案的一部分 分析规则是Microsoft Sentinel 解决方案为客户提供的价值的核心。 将数据放入 Microsoft Sentinel 只是第一步。 但是,客户必须监视其安全基础结构并收到任何问题的通知。 将数据导入 Microsoft Sentinel 中,如果没有基于数据的检测,将无法为客户带来价值。 为了确保客户可以部署 Microsoft Sentinel 解决方案并开始监视其安全基础结构,请务必将预生成分析规则作为解决方案的一部分。 这可确保客户在安装和配置 Microsoft Sentinel 解决方案后立即立即获得价值,而无需客户做出任何额外的开发工作。

分析规则必须具有适当的 MITRE 映射,以确保客户可以在安全基础结构中监视和可视化其威胁覆盖范围。 有关详细信息,请参阅 通过 Microsoft Sentinel 查询贵组织的针对 MITRE 的覆盖范围 | Microsoft Learn在认证期间,不带 MITRE 映射的分析规则将被拒绝。

创建分析规则时,请务必确保规则的范围涵盖数据连接器拉取的所有关键数据列。 当客户为引入的数据付费时,请务必确保分析规则的范围涵盖数据连接器正在拉取的所有数据。 这可确保客户不会为未使用的数据付费。

创建分析规则时,如果适用,请确保实体映射到规则输出。 将规则输出映射到标准化实体能确保其能够与 Microsoft Sentinel 中的其他数据点相关联,从而为 SOC 分析师提供更全面的威胁故事。 实体的一些常见示例包括用户帐户、主机、邮箱、IP 地址、文件、云应用程序、进程和 URL。 若要详细了解 Microsoft Sentinel 中的实体,请参阅 Microsoft Sentinel 中的实体 | Microsoft Learn

谨慎

解决方案至少需要一个分析规则。 如果您有不在解决方案中包含分析规则的有效理由,请在合并请求的注释部分提供您的理由。 Microsoft Sentinel 团队将评审你的 PR 并相应地提供反馈。

演练手册

Playbook 是使用 Azure 逻辑应用构建的,它允许与各种服务和应用程序轻松集成。 这种灵活性使组织能够创建自定义工作流,使其符合其特定的事件响应流程。 通过使用剧本,安全团队可以自动化重复任务,例如发送通知、创建工单或执行修复操作,从而减少响应事件所需的人工工作量。

剧本可以由特定的警报或事件触发,从而为每种情况提供定制响应。 例如,如果检测到高严重性警报,操作手册可以自动启动一系列行动,例如通知安全团队、隔离受影响的系统,以及收集相关日志以供进一步分析。 这种自动化不仅加快了响应时间,而且还可确保一致且不延迟地采取关键作。

注释

尽管我们不强制将剧本作为解决方案的一部分提供,但我们强烈建议将剧本作为解决方案的一部分包含在内。 若要确保 SOC 分析师不会过度负担战术项目,并且可以专注于研究更具战略性和更深层次的漏洞根本原因,则剧本至关重要。 设计解决方案时,请考虑可以采取的自动化作来解决解决方案中定义的分析规则所创建的事件。

搜寻查询

搜寻查询是 KQL 查询,用于主动搜索引入到 Microsoft Sentinel 中的数据中的潜在威胁和异常。 这些查询允许安全分析人员浏览数据并确定可能指示恶意活动的模式或行为。 通过使用搜寻查询,组织可以领先于新兴威胁并增强其整体安全态势。

生成搜寻查询时,请考虑以下最佳做法:

  • 使用 MITRE 框架识别潜在威胁:MITRE 框架提供一组全面的策略、技术和过程(TTP),可用于识别数据中的潜在威胁。 通过使用 MITRE 框架,可以确保搜寻查询符合行业最佳做法,并帮助你更有效地识别潜在威胁。
  • 创建包含数据连接器正在拉取的所有重要数据列的查询。 这确保了您的狩猎查询的全面性,并提供指导说明是否需要将新的数据点添加到数据连接器中,或者是否需要删除任何现有的数据点。
  • 合并威胁情报(TI)可以为搜寻查询提供有价值的上下文。 将Microsoft Sentinel 中提供的威胁情报合并到搜寻查询中,确保 SOC 分析师具有有价值的上下文来识别潜在威胁。 有关Microsoft Sentinel 中的威胁情报的详细信息,请参阅 Microsoft Sentinel 中的威胁情报 |Microsoft Learn

注释

尽管我们不强制将搜寻查询作为解决方案的一部分提供,但我们强烈建议将搜寻查询作为解决方案的一部分包含在内。 通过创建搜寻查询,SOC 分析师可以更好地了解基础架构,并激励他们思考新方案。

分析器

分析器是 KQL 函数,可将自定义数据从第三方产品转换为规范化的 ASIM 架构。 规范化可确保 SOC 分析人员不必了解有关新架构的详细信息,而是在熟悉的规范化架构上生成分析规则和搜寻查询。 查看由 Microsoft Sentinel 提供的可用 ASIM 架构,以识别与您的数据相关的 ASIM 架构(一个或多个),确保 SOC 分析师更轻松地进行上线,并确保为 ASIM 架构编写的现有安全内容可以立即适用于您的产品数据。 有关可用 ASIM 架构的详细信息,请参阅 高级安全信息模型 (ASIM) 架构 |Microsoft Learn

Microsoft Sentinel 为许多数据源提供了多个内置特定于源分析器。 在以下情况下,可能需要修改或开发新的分析程序:

  • 如果设备提供适用于 ASIM 架构的事件,但设备的特定于源的分析程序和相关架构在 Microsoft Sentinel 中不可用。
  • 如果 ASIM 特定于源的分析程序可用于设备,但设备以不同于 ASIM 分析程序所需的方法或格式发送事件。 例如:
  • 源设备可配置为以非标准方式发送事件。
  • 你的设备的版本可能不同于 ASIM 分析程序支持的版本。
  • 中间系统可能会收集、修改和转发这些事件。
  • 了解分析程序如何适应 ASIM 体系结构,请参阅 ASIM 体系结构关系图。

注释

我们不要求在解决方案中提供分析程序。 但是,如果我们的认证团队确定你的数据与现有的 ASIM 架构紧密映射,我们的团队可能会要求创建分析程序来利用规范化的好处。

工作簿

工作簿为用户提供了一种方法,让用户以可视方式可视化有关安全的数据,并且能够有效地识别趋势和异常,这些趋势和异常可用于衡量安全状况以及识别潜在问题。 工作簿可用于创建仪表板,这些仪表板提供安全数据的高级概述,使用户能够快速识别需要关注的领域。 它们还可用于向下钻取到特定的数据点,从而更详细地查看安全事件和事件。 可以自定义工作簿以满足组织的特定需求,允许用户创建与其角色和职责相关的安全数据的定制视图。 此自定义项可以包括按特定条件筛选数据,例如时间范围、严重级别或数据源。 通过提供灵活且可自定义的方式来可视化安全数据,工作簿可以帮助组织改善其安全状况,并更有效地应对潜在威胁。

创建工作簿时,请考虑以下最佳做法:

  • 使用清晰简洁的标题和说明:确保工作簿的标题和说明清晰简洁,使用户能够轻松了解每个工作簿的用途。
  • 使用适当的可视化效果:为呈现的数据选择正确的可视化效果类型。 例如,可以使用折线图显示一段时间内的趋势,使用条形图进行比较,并使用表格展示详细数据。
  • 使用筛选器和参数:合并筛选器和参数,允许用户自定义工作簿中显示的数据。 这有助于用户专注于特定时间范围、数据源或其他与其需求相关的条件。
  • 优化性能:如果工作簿处理大量数据,则可能会影响性能。 在这些情况下,建议使用摘要规则聚合数据,并确保工作簿处理汇总数据,而不是基础原始数据。
  • 提供文档:在工作簿中包含文档或工具提示,以帮助用户了解如何有效地使用它。 这包括数据源、可视化效果以及可用的任何筛选器或参数的说明。

注释

我们不要求解决方案中工作簿的可用性,因为它们依赖于用例。 但是,如果确实创建了工作簿,请确保它们与引入的数据相关,并向客户提供价值。

维护解决方案

发布解决方案后,请务必确保定期维护和更新解决方案。 这包括:解决方案维护

  • 考虑已弃用的功能: 如果解决方案中使用的功能已弃用,Microsoft 建议在功能终止或服务结束事件前六个月,更新解决方案以应对弃用。
  • 确保“解决方案说明”页准确且按预期运行: 应根据需要更新解决方案说明页,以确保其准确且功能全面。 应修复任何已损坏的链接。
  • 解决 GitHub CodeQL 警报: 如果解决方案发布者标识 GitHub CodeQL 警报,则应及时解决这些问题。