下一步

从向导创建分析规则

8 分钟

可以创建自定义分析规则，以便在 Contoso 中搜索可疑活动和威胁。

创建自定义计划分析规则

从计划的查询规则类型创建自定义规则可提供最高级别的自定义。可以定义自己的 KQL 代码，设置计划以运行警报，或通过关联规则与 Microsoft Sentinel Playbook 来提供自动化操作。

若要创建计划的查询规则，请在 Azure 门户中的“Microsoft Sentinel”下，选择“分析”。在标题栏中，选择“+创建”，然后选择“计划的查询规则”。

备注

还可通过从“分析”窗格中的“规则和模板”列表中选择计划的规则，然后在详细信息窗格中选择“创建规则”来创建计划的规则。

创建的计划的查询规则包含下列元素：

“常规”选项卡

下表列出了“常规”窗格上的输入字段。

字段	描述
名称	提供描述性名称来说明警报检测到的可疑活动类型。
说明	输入详细说明，以帮助其他安全分析人员了解规则的作用。
策略	从“策略”下拉列表中，从可用的攻击类别中选择一个类别，以根据 MITRE 策略对规则进行分类。
严重性	选择“严重性”下拉列表，将警报的重要性级别分类为以下四种选项之一：高、中等、低或信息性。
状态	指定规则的状态。默认情况下，状态为“启用”。如果要在规则生成大量误报时禁用规则，则可以选择“禁用”来禁用规则。

设置规则逻辑选项卡

在“设置规则逻辑”选项卡上，可以通过指定针对 Microsoft Sentinel 工作区运行的 KQL 代码来定义检测方法。 KQL 查询筛选用于触发和创建事件的安全数据。

在“规则查询”字段中输入 KQL 查询字符串时，可以使用“结果模拟(预览)”部分来查看查询结果。 “结果模拟(预览)”部分有助于确定查询是否返回了预期结果。

Screenshot of wizard used to create a scheduled analytics rule.

下面的示例查询在 Azure 活动中创建异常数量的资源时发出警报。

AzureActivity
| where OperationName == "MICROSOFT.COMPUTE/VIRTUALMACHINES/WRITE"
| where ActivityStatus == "Succeeded"
| make-series dcount(ResourceId)  default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller

提示

有关 KQL 查询语言的帮助，请参阅 Kusto 查询语言 (KQL) 概述。

警报扩充（预览版）

通过警报扩充，可以进一步自定义查询结果。

实体映射

在“实体映射”部分中，可以从查询结果中定义最多五个实体，然后使用这些实体执行深入分析。通过选择“添加新实体”，在查询规则中添加这些实体。这些实体可以帮助你执行直观调查，因为它们会在“事件”选项卡上以组的形式出现。某些实体包含表示用户、主机或 IP 地址的信息。

自定义详细信息

在“自定义详细信息”部分，可以设置键值对，如果键值对出现在查询结果中，则会在结果中显示事件参数。

警报详细信息

在“警报详细信息”部分中，可以输入自由文本作为可在警报的每个实例中表示的参数；这些还可以包含分配给警报实例的策略和严重性。

查询计划

在“查询计划”部分，你可以配置查询应运行的频率以及查询应搜索的历史数据的时间。不要搜索早于查询运行频率的数据，因为这样会创建重复警报。

警报阈值

在“警报阈值”部分，你可以指定在生成警报之前可以为规则返回的肯定结果的数量。可以使用以下逻辑运算符定义适当的逻辑表达式：

大于
小于
等于
不等于

事件分组

在“事件分组”部分，可以选择以下两个选项之一：

将所有事件分组到一个警报中。这是默认选项，如果查询返回的结果多于指定的警报阈值，则会创建一个警报。
为每个事件触发警报。此选项为查询返回的每个事件创建唯一警报。

禁止

在“抑制”部分，可以将“在生成警报后停止运行查询”选项设置为“打开”或“关闭”。选择“打开”时，如果在要抑制规则的持续时间内再次触发规则，则 Microsoft Sentinel 会暂停创建其他事件。

事件设置（预览版）

使用“事件设置”选项卡创建事件，这些事件是通过基于触发器和时间范围对警报进行分组而生成的。

在“警报分组”部分，可以通过将多个警报分组到一个事件来减少它们的干扰。启用相关警报的分组后，可以从以下选项中选择：

如果所有实体都匹配，则将警报分组到单个事件中(建议)
将此规则触发的所有警报分组到单个事件中
如果所选实体匹配，则将警报分组到单个事件中（例如源或目标 IP 地址）。

如果生成了属于之前关闭的事件的另一个警报，还可以重新打开已关闭的匹配事件。

自动响应选项卡

尚未在本练习中使用。

设置规则逻辑选项卡 - 练习

在“自动响应”选项卡上，选择现有自动化规则或创建新规则。自动化规则可以根据所选的触发器和条件运行 playbook。

若要详细了解如何创建 playbook 并在创建事件时运行自动完成的活动，请参阅“Microsoft Sentinel Playbook 的威胁响应”模块。

“审核并创建”选项卡

在“查看和创建”选项卡上，查看在创建新规则之前已在向导中配置的设置。

知识检查

你需要配置新的 KQL 代码以检测 Azure 活动日志中的可疑活动。可以在哪个部分输入你的自定义 KQL 代码？

设置规则逻辑

事件设置

自动响应

以下哪项有关计划查询规则的陈述是正确的？

默认情况下，它们是预先创建的。

只能在没有自定义的情况下启用它们。

可以创建自己的查询来定义威胁检测。

在检查工作前，必须回答所有问题。

继续