你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用匹配分析检测威胁

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

利用 Microsoft 生成的威胁情报,通过“Microsoft Defender 威胁情报分析”规则生成高保真警报和事件。 Microsoft Sentinel 中的此内置规则将指标与通用事件格式 (CEF) 日志、具有域和 IPv4 威胁指示器的 Windows DNS 事件、syslog 数据等进行匹配。

重要

匹配分析目前以预览版提供。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

先决条件

为了生成高保真警报和事件,必须安装一个或多个受支持的数据连接器,但不需要高级 MDTI 许可证。 若要连接这些数据源,请从内容中心安装相应的解决方案。

  • 通用事件格式 (CEF)
  • DNS(预览)
  • Syslog
  • Office 活动日志
  • Azure 活动日志

屏幕截图显示“Microsoft Defender 威胁情报分析”规则数据源连接。

例如,根据数据源,可以使用以下解决方案和数据连接器。

解决方案 数据连接器
适用于 Sentinel 的通用事件格式解决方案 适用于 Microsoft Sentinel 的通用事件格式 (CEF) 连接器
Windows Server DNS 适用于 Microsoft Sentinel 的 DNS 连接器
适用于 Sentinel 的 Syslog 解决方案 适用于 Microsoft Sentinel 的 Syslog 连接器
适用于 Sentinel 的 Microsoft 365 解决方案 适用于 Microsoft Sentinel 的 Office 365 连接器
适用于 Sentinel 的 Azure 活动解决方案 适用于 Microsoft Sentinel 的 Azure 活动连接器

配置匹配分析规则

启用“Microsoft Defender 威胁情报分析”规则时会配置匹配分析。

  1. 从“配置”部分单击“分析”菜单。

  2. 选择“规则模板”菜单选项卡。

  3. 在搜索窗口中键入“威胁情报”。

  4. 选择“Microsoft Defender 威胁情报分析”规则模板。

  5. 单击“创建规则”。 规则详细信息是只读的,并且已启用规则的默认状态。

  6. 单击“审阅”>“创建”。

屏幕截图显示“活动规则”选项卡中已启用的“Microsoft Defender 威胁情报分析”规则。

数据源和指标

Microsoft Defender 威胁情报 (MDTI) 分析通过以下方式将日志与域、IP 和 URL 指标匹配:

  • 引入到 Log Analytics CommonSecurityLog 表中的 CEF 日志,如果填充了 RequestURL 字段,将匹配 URL 和域名指标,如果填充了 DestinationIP 字段,将匹配 IPv4 指标。

  • 事件 SubType == "LookupQuery" 引入到 DnsEvents 表的 Windows DNS 日志与 Name 字段中填充的域指标和 IPAddresses 字段中填充的 IPv4 指标匹配。

  • Facility == "cron" 引入到 Syslog 表的 Syslog 事件直接与 SyslogMessage 字段中的域指标和 IPv4 指标匹配。

  • 引入到 OfficeActivity 表中的 Office 活动日志直接与 ClientIP 字段中的 IPv4 指标相匹配。

  • 引入到 AzureActivity 表中的 Azure 活动日志直接与 CallerIpAddress 字段中的 IPv4 指标相匹配。

对通过匹配分析生成的事件进行会审

如果 Microsoft 的分析发现了匹配,产生的任何警报都会被归类为事件。

使用以下步骤会审 Microsoft Defender 威胁情报分析规则生成的事件:

  1. 在 Microsoft Sentinel 工作区(启用了“Microsoft Defender 威胁情报分析”规则)中,选择“事件”并搜索“Microsoft Defender 威胁情报分析”。

    找到的任何事件都显示在网格中。

  2. 选择“查看完整详细信息”以查看实体和有关事件的其他详细信息,例如特定警报。

    例如:

    通过将分析与详细信息窗格匹配生成的事件的屏幕截图。

  3. 观察分配给警报和事件的严重性。 根据指示器的匹配方式,将相应的严重性(从 InformationalHigh)分配给警报。 例如,如果指示器与允许流量的防火墙日志匹配,则会生成高严重性警报。 如果同一指示器与阻止流量的防火墙日志匹配,则生成的警报将为低或中严重性。

    然后,根据指示器的可观测性对警报进行分组。 例如,在 24 小时时间段内生成的所有警报(与 contoso.com 域匹配)都将分组为按照最高警报严重性来分配严重性的单个事件。

  4. 观察指示器详细信息。 找到匹配项后,该指标会发布到 Log Analytics 的 ThreatIntelligenceIndicators 表,并显示在“威胁情报”页面中。 对于此规则发布的任何指标,将源定义为“Microsoft Defender 威胁情报分析”。

例如,在 ThreatIntelligenceIndicators 表中:

Log Analytics 中 ThreatIntelligenceIndicator 表的屏幕截图,其中显示了 Microsoft 威胁情报分析的 SourceSystem 的指标。

在威胁情报页面:

威胁情报概述的屏幕截图,其中选择了一个指标,显示来源为 Microsoft 威胁情报分析。

从 Microsoft Defender 威胁情报获取更多上下文

除了高保真警报和事件之外,某些 MDTI 指标还包括 MDTI 社区门户中参考文章的链接。

某个事件的屏幕截图,其中附带了一条指向参考 MDTI 文章的链接。

有关详细信息,请参阅 MDTI 门户什么是 Microsoft Defender 威胁情报?

相关内容

本文介绍了如何连接 Microsoft 生成的威胁情报以生成警报和事件。 有关 Microsoft Sentinel 中威胁情报的详细信息,请参阅以下文章: