步骤 3. 在 Microsoft Sentinel 中引入数据源并配置事件检测

项目
06/19/2024
适用于:

Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

完成 Microsoft Sentinel 工作区的设计和实现后，继续引入数据源并配置事件检测。

Microsoft Sentinel 中的解决方案提供一种统一的方式，可通过单个部署步骤在工作区中获取 Microsoft Sentinel 内容（如数据连接器、工作簿、分析和自动化）。

数据连接器被设为启用，将数据引入到工作区。实现将关键数据点引入 Microsoft Sentinel 后，还必须实现用户和实体行为分析 (UEBA) 以及分析规则，以捕获异常和恶意活动。分析规则决定了如何在 Microsoft Sentinel 实例中生成警报和事件。通过实体映射根据环境和组织需求定制分析规则，可以生成高保真事件并缓解警报疲劳。

如果已将工作区加入到统一安全运营平台，则此步骤中的过程可在 Azure 和 Defender 门户中使用。

开始之前

确认开启数据连接器所需的安装方法、角色和许可证。如需详细信息，请参阅查找 Microsoft Sentinel 数据连接器。

下表汇总了为 Azure 和 Microsoft 服务引入关键 Microsoft Sentinel 数据连接器所需的先决条件：

资源类型	安装方法	所需的角色/权限/许可证
Microsoft Entra ID	本机数据连接器	安全管理员登录日志需要 Microsoft Entra ID P1 或 P2 许可证其他日志不需要 P1 或 P2
Microsoft Entra ID 保护	本机数据连接器	安全管理员许可证：Microsoft Entra ID P2
Azure 活动	Azure Policy	订阅所需的所有者角色
Microsoft Defender XDR	本机数据连接器	安全管理员许可证：Microsoft 365 E5、Microsoft 365 A5 或任何其他符合条件的 Microsoft Defender XDR 许可证
Microsoft Defender for Cloud	本机数据连接器	安全读取者若要启用双向同步，订阅时需要使用参与者/安全管理员角色。
Microsoft Defender for Identity	本机数据连接器	安全管理员许可证：Microsoft Defender for Identity
Microsoft Defender for Office 365	本机数据连接器	安全管理员许可证：Microsoft Defender for Office 365 计划 2
Microsoft 365	本机数据连接器	安全管理员
Microsoft Defender for IoT		订阅 IoT 中心的参与者
Microsoft Defender for Cloud Apps	本机数据连接器	安全管理员许可证：Microsoft Defender for Cloud Apps
Microsoft Defender for Endpoint	本机数据连接器	安全管理员许可证：Microsoft Defender for Endpoint
Windows 安全事件通过 Azure Monitor 代理 (AMA)	使用代理的本机数据连接器	Log Analytics 工作区上的读取/写入
Syslog	使用代理的本机数据连接器	读取/写入 Log Analytics 工作区

步骤 1：安装解决方案并开启数据连接器

使用以下建议开始安装解决方案并配置数据连接器。有关详细信息，请参阅：

设置免费数据源

首先，重点介绍如何设置要引入的免费数据源，包括：

Azure 活动日志：引入 Azure 活动日志对于使 Microsoft Sentinel 能够在整个环境中提供单窗格玻璃视图至关重要。
Office 365 审核日志，包括所有 SharePoint 活动、Exchange 管理员活动和 Teams。
安全警报，包括来自 Microsoft Defender for Cloud、Microsoft Defender XDR、Microsoft Defender for Office 365、Microsoft Defender for Identity 和 Microsoft Defender for Endpoint 的警报。

如果尚未将工作区加入到统一安全运营平台并在 Azure 门户中工作，那么将安全警报引入到 Microsoft Sentinel 中可让 Azure 门户成为整个环境中的事件管理中心窗格。在这种情况下，事件调查在 Microsoft Sentinel 中开始，如果需要进行更深入的分析，则应在 Microsoft Defender 门户或 Defender for Cloud 中继续。

有关详细信息，请参阅 Microsoft Defender XDR 事件和 Microsoft 事件创建规则。
Microsoft Defender for Cloud Apps 警报。

有关详细信息，请参阅 Microsoft Sentinel 定价和免费数据源。

设置付费数据源

若要提供更广泛的监视和警报覆盖范围，请将重点放在添加 Microsoft Entra ID 和 Microsoft Defender XDR 数据连接器。从这些源引入数据需要付费。

如果需要以下任何一项，请确保将 Microsoft Defender XDR 日志发送到 Microsoft Sentinel：

加入到统一安全运营平台，该平台提供了一个门户，用于在 Microsoft Defender 中管理事件。
Microsoft Sentinel 融合警报，可将来自多个产品的数据源关联起来，以检测环境中的多阶段攻击。
比 Microsoft Defender XDR 中提供的保留期更长的保留期。
Microsoft Defender for Endpoint 提供的内置修正措施未涵盖的自动化。

有关详细信息，请参阅：

根据环境设置数据源

本部分介绍可能需要使用的数据源，具体取决于环境中所使用的服务和部署方法。

场景	数据源
Azure 服务	如果在 Azure 中部署了以下任一服务，请使用以下连接器将这些资源的诊断日志发送到 Microsoft Sentinel： - Azure 防火墙 - Azure 应用程序网关 - Keyvault - Azure Kubernetes 服务 - Azure SQL - 网络安全组 - Azure-Arc 服务器建议设置 Azure Policy，要求将其日志转发到基础 Log Analytics 工作区。有关详细信息，请参阅使用 Azure Policy 大规模创建诊断设置。
虚拟机	对于在本地或其他云中托管的需要收集其日志的虚拟机，请使用以下数据连接器： - 使用 AMA 的 Windows 安全事件 - 通过 Defender for Endpoint 的事件（适用于服务器） - Syslog
网络虚拟设备/本地源	对于生成通用事件格式 (CEF) 或 SYSLOG 日志的网络虚拟设备或其他本地源，请使用以下数据连接器： - Syslog（通过 AMA） - 通过 AMA 的通用事件格式 (CEF) 有关详细信息，请参阅使用 Azure Monitor 代理将 Syslog 和 CEF 消息引入 Microsoft Sentinel。

完成后，请在 Microsoft Sentinel 内容中心搜索需要将日志发送到 Microsoft Sentinel 的其他设备和服务型软件 (SaaS) 应用。

有关更多信息，请参阅发现和管理 Microsoft Sentinel 的现成内容。

步骤 2：启用用户实体行为分析

在 Microsoft Sentinel 中设置数据连接器后，请确保启用用户实体行为分析，以识别可能导致网络钓鱼攻击并最终受到勒索软件等攻击的可疑行为。通常来说，采用 UEBA 的异常情况检测是尽早发现零时差漏洞的最佳方法。

使用 UEBA，Microsoft Sentinel 可以跨时间和对等组生成组织实体的行为配置文件，以便识别异常的活动。该新增的实用工具可帮助加快确定某项资源是否被盗用。由于它会识别对等组关联，因此还可帮助确定上述入侵事件的影响范围。

有关详细信息，请参阅使用实体行为分析识别威胁

步骤 3：启用分析规则

Microsoft Sentinel 的智能来自分析规则。这些规则是你设置的，用于告知 Microsoft Sentinel 在事件满足一组你认为很重要的条件时向你发出警报。 Microsoft Sentinel 根据用户实体行为分析 (UEBA) 以及跨多个数据源的数据关联做出开箱即用的决策。

为 Microsoft Sentinel 启用分析规则时，应根据连接的数据源、组织风险和 MITRE 策略来确定启用的优先级。

避免重复事件

如果已启用 Microsoft Defender XDR 连接器，则会自动建立 365 Defender 事件与 Microsoft Sentinel 之间的双向同步。

为了避免对相同警报创建重复事件，建议禁用 Microsoft Defender XDR 集成产品（包括 Defender for Endpoint、Defender for Identity、Defender for Office 365、Defender for Cloud Apps 和 Microsoft Entra ID 保护）的所有 Microsoft 事件创建规则。

有关详细信息，请参阅 Microsoft Defender XDR 事件和 Microsoft 事件创建规则。

使用融合警报

默认情况下，Microsoft Sentinel 会启用“Fusion 高级多阶段攻击检测”分析规则，以自动识别多阶段攻击。

Microsoft Sentinel 利用在网络杀伤链中观察到的异常行为和可疑活动事件生成事件，这些事件让你能够了解包含两个或更多具有高可信度的警报活动的入侵事件。

融合警报技术将广泛的数据信号点与扩展机器学习 (ML) 分析相关联，以帮助确定已知、未知和新出现的威胁。例如，融合检测可以采用针对勒索软件场景创建的异常规则模板和计划查询，并将其与来自 Microsoft 安全套件服务的警报配对，例如：

Microsoft Entra ID 保护
Microsoft Defender for Cloud
Microsoft Defender for IoT
Microsoft Defender XDR
Microsoft Defender for Cloud Apps
用于终结点的 Microsoft Defender
Microsoft Defender for Identity
Microsoft Defender for Office 365

使用异常规则

Microsoft Sentinel 异常规则开箱即用，并默认启用。异常规则基于使用工作区中的数据训练的机器学习模型和 UEBA 来标记用户、主机等的异常行为。

通常，网络钓鱼攻击会引发某些执行步骤，例如本地或云帐户操作/控制或者恶意脚本执行。异常规则完全可以查找以下类型的活动，例如：

查看每个活动的异常规则和异常分数阈值。例如，如果观察到误报，请考虑按照优化异常规则中所述的步骤复制规则并修改阈值。

使用 Microsoft 威胁情报分析规则

查看并修改融合和异常规则后，启用开箱即用的 Microsoft 威胁情报分析规则。使用 Microsoft 生成的威胁情报，验证此规则与你的日志数据匹配。 Microsoft 拥有庞大的威胁情报数据存储库，此分析规则使用其中一部分来生成高保真警报和事件，供 SOC（安全运营中心）团队进行分类处理。

进行 MITRE Att&ck 对照

启用融合、异常和威胁情报分析规则后，进行 MITRE Att&ck 对照，从而帮助确定还需要启用哪些分析规则，并完成实现成熟的 XDR（扩展检测和响应）过程。这样，便可以在攻击的整个生命周期内进行检测和响应。

MITRE Att&ck 研究部门创建了 MITRE 方法，并且该方法已作为 Microsoft Sentinel 的一部分提供，以简化实现。确保你的分析规则能够延伸攻击途径方法的长度和广度。

查看现有活动分析规则涵盖的 MITRE 技术。
在“模拟”下拉列表中选择“分析规则模板”和“异常规则”。这将向你展示所涵盖的对手策略和/或技术，以及应该考虑启用哪些分析规则来改进覆盖范围。

例如，若要检测潜在的网络钓鱼攻击，请查看针对“网络钓鱼”技术的“分析规则模板”，并优先启用专门查询已载入 Microsoft Sentinel 的数据源的规则。

一般情况下，人为操作的勒索软件攻击有五个阶段，“网络钓鱼”属于“初始访问”，如下图所示：
- Defender 门户（预览版）
- Azure 门户
继续执行其余步骤，以使用适当的分析规则覆盖整个杀伤链：
1. 初始访问
2. 凭据盗窃
3. 横向移动
4. 持久性
5. 防御规避
6. 外泄（这是检测到勒索软件的阶段）