分享方式:

Microsoft Sentinel 中的威脅偵測

  • 文章
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

設定 Microsoft Sentinel 以收集貴組織所有的數據之後,您必須持續深入探索所有數據,以偵測環境的安全性威脅。 若要完成這項工作,Microsoft Sentinel 會提供定期執行的威脅偵測規則、查詢收集的數據並分析以探索威脅。 這些規則有一些不同的類型,統稱為 分析規則

您可以使用內建分析規則精靈從頭開始建立這些規則。 不過,Microsoft強烈建議您透過內容中樞中提供的Microsoft Sentinel 許多解決方案,利用您可用的大量分析規則範本。 這些範本是預先建置的規則原型,由安全性專家和分析師小組根據對已知威脅、常見攻擊媒介和可疑活動呈報鏈的知識所設計。 您可以從這些範本啟用規則,以在您的環境中自動搜尋任何看起來可疑的活動。 您可以自定義許多範本來搜尋特定類型的事件,或根據您的需求加以篩選。

這些規則會在他們找到所要尋找的內容時產生 警示 。 警示包含所偵測到事件的相關信息,例如 涉及的實體 (使用者、裝置、位址和其他專案)。 警示會匯總並相互關聯至 事件-案例檔案,您可以 指派和調查 以瞭解偵測到威脅的完整範圍,並據以回應。

本文可協助您瞭解 Sentinel 如何偵測威脅Microsoft,以及接下來會發生什麼事。

重要

Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Microsoft Defender 入口網站中的 Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

分析規則的類型

您可以在 Microsoft Sentinel 的 [組態] 功能表的 [分析] 頁面上檢視可用的分析規則和範本。 目前 使用中的規則 會顯示在一個索引標籤中,而 範本 則會在另一個索引卷標中建立新的規則。第三個索引標籤會顯示 異常,這是本文稍後所述的特殊規則類型。

若要尋找比目前顯示的更多規則範本,請移至 Microsoft Sentinel 中的內容中樞 ,以安裝相關的產品解決方案或獨立內容。 內容中樞內幾乎每個產品解決方案都可以使用分析規則範本。

Microsoft Sentinel 提供下列類型的分析規則和規則範本:

除了上述規則類型之外,還有一些其他特製化範本類型可以建立規則的一個實例,且組態選項有限:

排程的規則

到目前為止,最常見的分析規則類型,排程規則是以設定為定期執行的 Kusto 查詢為基礎,並檢查來自已定義「回溯」期間的原始數據。 如果查詢所擷取的結果數目通過規則中設定的閾值,規則會產生警示。

排程規則範本中的查詢是由安全性和數據科學專家所撰寫,無論是來自Microsoft,還是來自提供範本的解決方案廠商。 查詢可以對其目標數據執行複雜的統計作業,以事件群組顯示基準和極端值。

查詢邏輯會顯示在規則組態中。 您可以使用範本中所定義的查詢邏輯和排程和回溯設定,或自定義這些設定來建立新的規則。

深入瞭解 Sentinel 中的排程分析規則Microsoft。

近乎即時 (NRT) 規則

NRT 規則是排程規則有限子集。 其設計目的是每分鐘執行一次,以便盡可能提供資訊。

它們的運作方式大多與排程規則類似,而且設定方式類似,但有一些限制。

深入瞭解 使用Microsoft Sentinel 中的近乎即時 (NRT) 分析規則快速偵測威脅。

異常規則

異常規則會使用機器學習來觀察一段時間內的特定行為類型,以判斷基準。 每個規則都有自己的唯一參數和臨界值,適用於所分析的行為。 完成觀察期間之後,就會設定基準。 當規則觀察超出基準中所設定界限的行為時,會將這些出現項目標示為異常。

雖然現成規則的設定無法變更或微調,但您可以複製規則,然後變更並微調重複項目。 在這種情況下,請在正式發行前小眾測試模式中執行重複專案,並在生產模式中同時執行原始版本。 然後比較結果,並在其微調到您的喜好時,將重複專案切換至 生產 環境。

異常不一定會自行指出惡意或甚至可疑的行為。 因此,異常規則不會產生自己的警示。 相反地,他們會在 Anomalies 數據表中 記錄其分析的結果,也就是偵測到的 異常狀況。 您可以查詢此數據表,以提供可改善偵測、調查和威脅搜捕的內容。

如需詳細資訊,請參閱使用可自訂的異常來偵測 Microsoft Sentinel 中的威脅使用 Microsoft Sentinel 中的異常偵測分析規則

Microsoft安全性規則

雖然排程和 NRT 規則會自動為其產生的警示建立事件,但在外部服務中產生的警示並內嵌至 Microsoft Sentinel 不會建立自己的事件。 Microsoft安全性規則會自動從其他Microsoft安全性解決方案所產生的警示建立Microsoft Sentinel 事件。 您可以使用Microsoft安全性範本來建立具有類似邏輯的新規則。

重要

如果您有下列專案,則無法使用Microsoft安全性規則

在這些案例中,Microsoft Defender 全面偵測回應 改為建立事件。

您事先定義的任何這類規則都會自動停用。

如需Microsoft安全性事件建立規則的詳細資訊,請參閱從Microsoft安全性警示自動建立事件。

威脅情報

利用Microsoft所產生的威脅情報,利用 Microsoft威脅情報分析 規則來產生高精確度的警示和事件。 此唯一規則無法自訂,但啟用時,會自動比對來自 Microsoft 威脅情報的通用事件格式 (CEF) 記錄、Syslog 資料或 Windows DNS 事件與網域、IP 和 URL 威脅指標。 某些指標透過 MDTI 包含更多內容資訊(Microsoft Defender 威脅情報)。

如需如何啟用此規則的詳細資訊,請參閱使用比對分析來偵測威脅
如需 MDTI 的詳細資訊,請參閱什麼是 Microsoft Defender 威脅情報

進階多階段攻擊偵測 (Fusion)

Microsoft Sentinel 使用 Fusion 相互關聯引擎及其可調整的機器學習演算法,藉由將多個產品的許多低精確度警示和事件相互關聯至高精確度且可採取動作的事件,來偵測進階的多階段攻擊。 默認會啟用進 階多階段攻擊偵測 規則。 因為邏輯是隱藏的,因此無法自定義,所以此範本只能有一個規則。

Fusion 引擎也可以將排程分析規則所產生的警示與其他系統的警示相互關聯,從而產生高精確度事件。

重要

如果您有下列專案,則無法使用進階多階段攻擊偵測規則類型

在這些案例中,Microsoft Defender 全面偵測回應 會改為建立事件。

此外,某些 Fusion 偵測範本目前處於 預覽 狀態(請參閱 Microsoft Sentinel 中的進階多階段攻擊偵測,以查看哪些專案)。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。

機器學習 (ML) 行為分析

利用Microsoft專屬的機器學習演算法,利用 ML 行為分析 規則產生高逼真度警示和事件。 這些唯一規則(目前為 預覽版)無法自定義,但啟用時,會根據IP和地理位置和使用者歷程記錄資訊偵測特定的異常 SSH 和 RDP 登入行為。

分析規則的存取權限

當您建立分析規則時,存取權限權杖會套用至規則,並連同它一起儲存。 此令牌可確保規則可以存取包含規則所查詢數據的工作區,而且即使規則的建立者失去該工作區的存取權,此存取仍會維持。

不過,這項存取有一個例外:建立規則以存取其他訂用帳戶或租使用者中的工作區時,例如 MSSP 的情況,Microsoft Sentinel 會採取額外的安全性措施,以防止未經授權的客戶數據存取。 針對這些類型的規則,建立規則的使用者認證會套用至規則,而不是獨立的存取權杖,如此一來,當使用者無法再存取其他訂用帳戶或租用戶時,規則就會停止運作。

如果您在跨訂用帳戶或跨租用戶案例中操作 Microsoft Sentinel,當其中一位分析師或工程師無法存取特定工作區時,該使用者所建立的任何規則都會停止運作。 在此情況下,您會收到有關「資源存取不足」的健康情況監視訊息,且規則 會在失敗一定次數後自動停用

將規則匯出至 ARM 範本

如果您想要以程式碼方式管理和部署規則,您可以輕鬆地將規則匯出至 Azure Resource Manager (ARM) 範本。 您也可以從範本檔案匯入規則,以便在使用者介面中檢視和編輯規則。

下一步