你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用匹配分析检测威胁
利用 Microsoft 生成的威胁情报,通过“Microsoft Defender 威胁情报分析”规则生成高保真警报和事件。 Microsoft Sentinel 中的此内置规则将指标与通用事件格式 (CEF) 日志、具有域和 IPv4 威胁指示器的 Windows DNS 事件、syslog 数据等进行匹配。
重要
匹配分析目前以预览版提供。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
先决条件
为了生成高保真警报和事件,必须安装一个或多个受支持的数据连接器,但不需要高级 MDTI 许可证。 若要连接这些数据源,请从内容中心安装相应的解决方案。
- 通用事件格式 (CEF)
- DNS(预览)
- Syslog
- Office 活动日志
- Azure 活动日志
例如,根据数据源,可以使用以下解决方案和数据连接器。
配置匹配分析规则
启用“Microsoft Defender 威胁情报分析”规则时会配置匹配分析。
从“配置”部分单击“分析”菜单。
选择“规则模板”菜单选项卡。
在搜索窗口中键入“威胁情报”。
选择“Microsoft Defender 威胁情报分析”规则模板。
单击“创建规则”。 规则详细信息是只读的,并且已启用规则的默认状态。
单击“审阅”>“创建”。
数据源和指标
Microsoft Defender 威胁情报 (MDTI) 分析通过以下方式将日志与域、IP 和 URL 指标匹配:
引入到 Log Analytics CommonSecurityLog 表中的 CEF 日志,如果填充了
RequestURL
字段,将匹配 URL 和域名指标,如果填充了DestinationIP
字段,将匹配 IPv4 指标。事件
SubType == "LookupQuery"
引入到 DnsEvents 表的 Windows DNS 日志与Name
字段中填充的域指标和IPAddresses
字段中填充的 IPv4 指标匹配。Facility == "cron"
引入到 Syslog 表的 Syslog 事件直接与SyslogMessage
字段中的域指标和 IPv4 指标匹配。引入到 OfficeActivity 表中的 Office 活动日志直接与
ClientIP
字段中的 IPv4 指标相匹配。引入到 AzureActivity 表中的 Azure 活动日志直接与
CallerIpAddress
字段中的 IPv4 指标相匹配。
对通过匹配分析生成的事件进行会审
如果 Microsoft 的分析发现了匹配,产生的任何警报都会被归类为事件。
使用以下步骤会审 Microsoft Defender 威胁情报分析规则生成的事件:
在 Microsoft Sentinel 工作区(启用了“Microsoft Defender 威胁情报分析”规则)中,选择“事件”并搜索“Microsoft Defender 威胁情报分析”。
找到的任何事件都显示在网格中。
选择“查看完整详细信息”以查看实体和有关事件的其他详细信息,例如特定警报。
例如:
观察分配给警报和事件的严重性。 根据指示器的匹配方式,将相应的严重性(从
Informational
到High
)分配给警报。 例如,如果指示器与允许流量的防火墙日志匹配,则会生成高严重性警报。 如果同一指示器与阻止流量的防火墙日志匹配,则生成的警报将为低或中严重性。然后,根据指示器的可观测性对警报进行分组。 例如,在 24 小时时间段内生成的所有警报(与
contoso.com
域匹配)都将分组为按照最高警报严重性来分配严重性的单个事件。观察指示器详细信息。 找到匹配项后,该指标会发布到 Log Analytics 的 ThreatIntelligenceIndicators 表,并显示在“威胁情报”页面中。 对于此规则发布的任何指标,将源定义为“Microsoft Defender 威胁情报分析”。
例如,在 ThreatIntelligenceIndicators 表中:
在威胁情报页面:
从 Microsoft Defender 威胁情报获取更多上下文
除了高保真警报和事件之外,某些 MDTI 指标还包括 MDTI 社区门户中参考文章的链接。
有关详细信息,请参阅 MDTI 门户和什么是 Microsoft Defender 威胁情报?
相关内容
本文介绍了如何连接 Microsoft 生成的威胁情报以生成警报和事件。 有关 Microsoft Sentinel 中威胁情报的详细信息,请参阅以下文章:
- 使用 Microsoft Sentinel 中的威胁指标。
- 将 Microsoft Sentinel 连接到 STIX/TAXII 威胁情报源。
- 将威胁情报平台连接到 Microsoft Sentinel。
- 查看哪些 TIP 平台、TAXII 源和扩充可轻松与 Microsoft Sentinel 集成。