从 Microsoft Sentinel 中评估警报和事件
设置 Microsoft Sentinel 以收集整个组织的数据后,需要挖掘所有这些数据来检测对环境的安全威胁。 但不必担心,Microsoft Sentinel 提供的模板可帮助你创建威胁检测规则来完成所有工作。 这些规则被称为分析规则。
这些规则模板是由 Microsoft 的安全专家和分析师团队基于已知威胁、常见攻击途径和可疑活动升级链设计的。 基于这些模板创建的规则可自动在环境中搜索任何看起来可疑的活动。 可以自定义许多模板以搜索活动,或根据需要筛选它们。 由这些规则生成的警报会创建可在环境中分配和调查的事件。
查看检测
要查看 Microsoft Sentinel 中已安装的分析规则和检测,请转到“分析”>“规则模板”。 根据下表中显示的类型,此选项卡包含所有已安装的规则模板。 要查找更多规则模板,请转到 Microsoft Sentinel 中的内容中心以安装相关产品解决方案或独立内容。
检测包括:
| 规则类型 | 描述 |
|---|---|
| Microsoft 安全 | Microsoft 安全模板根据其他 Microsoft 安全解决方案中生成的警报自动实时创建 Microsoft Sentinel 事件。 可以使用 Microsoft 安全规则作为模板,以创建具有类似逻辑的新规则。 有关安全规则的详细信息,请参阅从 Microsoft 安全警报自动创建事件。 |
| 融合物 (预览版中的一些检测) |
Microsoft Sentinel 使用 Fusion 关联引擎及其可缩放的机器学习算法,通过将多个产品中的许多低保真警报和事件关联到高保真和可操作的事件中来检测高级多阶段攻击。 默认情况下启用 Fusion。 由于逻辑是隐藏的,因此无法自定义,只能使用此模板创建一个规则。 Fusion 引擎也可以将由计划分析规则生成的警报与来自其他系统的警报相关联,从而生成高保真事件。 |
| 机器学习 (ML) 行为分析 | ML 行为分析模板基于专有的 Microsoft 机器学习算法,因此无法查看其工作方式的内部逻辑和运行时间。 由于逻辑是隐藏的,因此无法自定义,只能使用此类型的每个模板创建一个规则。 |
| 威胁情报 | 利用 Microsoft 生成的威胁情报,通过 Microsoft 威胁情报分析规则生成高保真警报和事件。 此唯一规则不可自定义,但启用后,会自动将通用事件格式 (CEF) 日志、Syslog 数据或 Windows DNS 事件与 Microsoft 威胁情报中的域、IP 和 URL 威胁指示器相匹配。 某些指标会通过 MDTI(Microsoft Defender 威胁情报)包含更多上下文信息。 有关如何启用此规则的详细信息,请参阅使用匹配分析来检测威胁。 有关 MDTI 的详细信息,请参阅什么是 Microsoft Defender 威胁情报 |
| 异常 | 异常规则模板使用机器学习来检测特定类型的异常行为。 每个规则都有其唯一参数和阈值,适用于正在分析的行为。 虽然无法更改或微调现成规则的配置,但可以复制规则,然后更改并微调副本。 在这种情况下,请在“外部测试”模式下运行副本,并同时在“生产”模式下运行 。 然后,比较结果,如果微调满足你的要求,则将复制切换到“生产”。 有关详细信息,请参阅使用可自定义的异常来检测 Microsoft Sentinel 中的威胁和使用 Microsoft Sentinel 中的异常检测分析规则。 |
| 计划 | 计划分析规则基于由 Microsoft 安全专家编写的查询。 可以查看查询逻辑并对其进行更改。 可以使用计划规则模板并自定义查询逻辑和计划设置以创建新规则。 几个新的计划分析规则模板生成警报,Fusion 引擎将这些警报与来自其他系统的警报相关联,以生成高保真事件。 有关详细信息,请参阅高级多阶段攻击检测。 提示:规则计划选项包括将规则配置为每隔指定的分钟数、小时数或天数运行,并在启用规则时开始计时。 建议在启用新建或已编辑的分析规则时多加小心,以确保这些规则及时获取新的事件堆栈。 例如,你可能希望在 SOC 分析师开始工作时同步运行规则,然后启用这些规则。 |
| 近实时 (NRT) | NRT 规则是一组有限的计划规则,设计为每分钟运行一次,以便尽可能为你提供最新信息。 它们的功能主要类似于计划规则并且配置类似,但有一些限制。 有关详细信息,请参阅使用 Microsoft Sentinel 中的近实时 (NRT) 分析规则快速检测威胁。 |
重要
一些融合检测模板目前以预览版提供(请参阅 Microsoft Sentinel 中的高级多阶段攻击检测以了解哪些模板)。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
使用分析规则模板
要使用分析规则模板,请执行以下操作:
- 在“Microsoft Sentinel”>“分析”>“规则模板”页中,选择模板名称,然后在“详细信息”窗格中选择“创建规则”按钮,以基于该模板创建新的活动规则。 每个模板都具有所需数据源的列表。 打开模板时,会自动检查数据源的可用性。 如果存在可用性问题,则可能会禁用“创建规则”按钮,或者你可能会看到有关此影响的警告。
- 选择“创建规则”将根据所选模板打开规则创建向导。 所有详细信息都将自动填充,通过使用“计划”或“Microsoft 安全”模板可以自定义逻辑和其他规则设置,以更好地满足你的特定需求 。 可以重复此过程以基于模板创建更多规则。 完成规则创建向导中的步骤后,你就完成了基于模板创建规则的过程。 新规则显示在“活动规则”选项卡中。有关如何在规则创建向导中自定义规则的更多详细信息,请参阅创建自定义分析规则以检测威胁。
提示
请确保启用与连接的数据源关联的所有规则,从而确保环境的完整安全覆盖。 启用分析规则的最有效方法是直接从数据连接器页面操作,该页面列出了所有相关规则。 有关详细信息,请参阅连接数据源。
- 此外,也可以通过 API 和 PowerShell 将规则推送到 Microsoft Sentinel,但这样做需要额外的工作量。
- 使用 API 或 PowerShell 时,必须先将规则导出到 JSON,然后才能启用规则。 在 Microsoft Sentinel 的多个实例(每个实例的设置都相同)中启用规则时,API 或 PowerShell 可能会有所帮助。
分析规则的访问权限
在创建分析规则时,访问权限令牌将应用于该规则并与其一起保存。 此令牌可确保规则可以访问包含规则所查询的数据的工作区,并且即使规则创建者失去对该工作区的访问权限,也会保持此访问权限。
但是,有一个例外:在创建规则以访问其他订阅或租户中的工作区(例如对于 MSSP 所发生的情况)时,Microsoft Sentinel 会采取额外的安全措施来防止未经授权访问客户数据。 对于这些类型的规则,创建规则的用户凭据将应用于规则而不是独立的访问令牌,以便当用户不再有权访问其他订阅或租户时,规则将停止工作。
如果在跨订阅或跨租户方案中操作 Microsoft Sentinel,则如果其中一名分析师或工程师失去对特定工作区的访问权限,该用户创建的任何规则将会停止工作。 你会收到有关“资源访问权限不足”的运行状况监视消息,并且规则会在失败一定次数后自动禁用。
将规则导出到 ARM 模板
如果要将规则作为代码进行管理和部署,可以轻松将规则导出到 Azure 资源管理器 (ARM) 模板。 还可以从模板文件导入规则,以便在用户界面中进行查看和编辑。