Microsoft Sentinel 中的威脅偵測
設定 Microsoft Sentinel 以從組織收集資料之後,您必須持續挖掘所有資料,以偵測環境的安全性威脅。 若要完成這項工作,Microsoft Sentinel 會提供定期執行的威脅偵測規則、查詢收集的資料並分析以探索威脅。 這些規則有幾種不同的類型,統稱為分析規則。
這些規則會在他們找到要尋找的內容時,產生警示。 警示包含所偵測到事件的相關資訊,例如實體 (使用者、裝置、位址及其他項目) 相關。 警示會匯總並相互關聯至事件 (案例檔案),您可以指派和調查,以瞭解偵測到威脅的完整範圍並據以回應。 您也可以在規則自己的設定中建置預先決定的自動化回應。
您可以使用內建分析規則精靈,從頭開始建立這些規則。 不過,Microsoft 強烈建議您透過內容中樞提供的 Microsoft Sentinel 的許多解決方案使用大量可用的分析規則範本。 這些範本是預先建置的規則原型,由安全性專家和分析師小組根據對已知威脅、常見攻擊媒介及可疑活動升級鏈的知識所設計。 您可以從這些範本啟用規則,以在您的環境中自動搜尋任何看起來可疑的活動。 您可以自訂許多範本來搜尋特定類型的事件,或根據您的需求加以篩選。
本文可協助您瞭解 Microsoft Sentinel 如何偵測威脅,以及接下來會發生什麼事。
重要
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
分析規則的類型
您可以在 Microsoft Sentinel 中組態功能表的 [Analytics] 頁面上,檢視可供您使用的分析規則和範本。 目前作用中規則會顯示在一個索引標籤中,範本在另一個索引標籤中建立新規則。第三個索引標籤會顯示異常,這是本文稍後所述的特殊規則類型。
若要尋找比目前顯示的更多規則範本,請移至 Microsoft Sentinel 中的內容中樞,以安裝相關的產品解決方案或獨立內容。 內容中樞內幾乎每個產品解決方案都可以使用分析規則範本。
Microsoft Sentinel 提供下列類型的分析規則和規則範本:
除了上述規則類型之外,還有一些其他特製化範本類型可以建立規則的一個執行個體,且設定選項有限:
排程規則
迄今為止最常見的分析規則類型是排程的規則,它是基於 Kusto 查詢,這些查詢會設定為定期執行並檢查定義的「回溯」期間的未經處理資料。 如果查詢所擷取的結果數目超過規則中設定的閾值,則規則會產生警示。
排程規則範本中的查詢是由 Microsoft 或提供範本的解決方案供應商的安全性和資料科學專家所撰寫的。 查詢可以對其目標資料執行複雜的統計作業,顯示事件群組中的基線和異常值。
查詢邏輯會顯示在規則設定中。 您可以使用範本中所定義的查詢邏輯以及排程和回溯設定,或對其進行自訂以建立新規則。 或者,您可以從頭開始建立全新的規則。
深入瞭解 Microsoft Sentinel 中的排程分析規則。
近即時 (NRT) 規則
NRT 規則是排程規則的有限子集。 其設計目的是每分鐘執行一次,以便盡可能為您提供最新資訊。
它們的運作方式大多與排程規則類似,而且設定方式類似,但有一些限制。
深入瞭解 Microsoft Sentinel 中使用近即時 (NRT) 分析規則快速威脅偵測。
異常規則
異常規則會使用機器學習來觀察一段時間內的特定行為類型,以判斷基準。 每個規則都有自己的唯一參數和臨界值,適用於所分析的行為。 完成觀察期間之後,就會設定基準。 當規則觀察超出基準中所設定界限的行為時,會將這些出現項目標示為異常。
雖然現成規則的設定無法變更或微調,但您可以複製規則,然後變更並微調重複項目。 在此情況下,在發行小眾測試版模式中執行重複項,並在實際執行模式中同時執行原始項目。 然後比較結果,並在其微調符合您的喜好時,將重複項切換至實際執行。
異常不一定會自行指出惡意或甚至可疑的行為。 因此,異常規則不會產生自己的警示。 相反,他們將分析結果 (偵測到的異常) 記錄在異常表中。 您可以查詢此資料表,以提供可改善偵測、調查及威脅搜捕的內容。
如需詳細資訊,請參閱使用可自訂的異常來偵測 Microsoft Sentinel 中的威脅和使用 Microsoft Sentinel 中的異常偵測分析規則。
Microsoft 安全性規則
雖然排程和 NRT 規則會自動為其產生的警示建立事件,但在外部服務中產生的警示並內嵌至 Microsoft Sentinel 不會建立自己的事件。 Microsoft 安全性規則會即時自動從其他 Microsoft 安全性解決方案中產生的警示建立 Microsoft Sentinel 事件。 您可以使用 Microsoft 安全性範本來建立具有類似邏輯的新規則。
重要
如果您有下列項目,Microsoft 安全性規則無法使用:
- 已啟用 Microsoft Defender 全面偵測回應事件整合、或
- Microsoft Sentinel 上線至整合安全性作業平台。
在這些案例中,Microsoft Defender 全面偵測回應會改為建立事件。
您事先定義的任何這類規則都會自動停用。
如需 Microsoft安全性事件建立規則的詳細資訊,請參閱 從 Microsoft 安全性警示自動建立事件。
威脅情報
利用 Microsoft 所產生的威脅情報,以使用 [Microsoft 威脅情報分析] 規則來產生高精確度警示和事件。 此唯一規則無法自訂,但啟用時,會自動比對來自 Microsoft 威脅情報的通用事件格式 (CEF) 記錄、Syslog 資料或 Windows DNS 事件與網域、IP 和 URL 威脅指標。 特定指標將會透過 MDTI (Microsoft Defender 威脅情報) 來包含更多內容資訊。
如需如何啟用此規則的詳細資訊,請參閱使用比對分析來偵測威脅。
如需 MDTI 的詳細資訊,請參閱什麼是 Microsoft Defender 威脅情報。
進階多階段攻擊偵測 (Fusion)
Microsoft Sentinel 使用融合相互關聯引擎搭配其可調整的機器學習演算法,藉由將多個產品的許多低精確度警示和事件相互關聯至高精確度且可採取動作的事件,來偵測進階的多階段攻擊。 預設會啟用進階多階段攻擊偵測規則。 因為邏輯是隱藏的,因此無法自訂,所以此範本只能有一個規則。
Fusion 引擎也可以將排程分析規則所產生的警示與其他系統的警示相互關聯,從而產生高精確度事件。
重要
如果您有下列項目,進階多階段攻擊偵測規則類型無法使用:
- 已啟用 Microsoft Defender 全面偵測回應事件整合、或
- Microsoft Sentinel 上線至整合安全性作業平台。
在這些案例中,Microsoft Defender 全面偵測回應會改為建立事件。
此外,一些 Fusion 偵測範本目前處於 PREVIEW (請參閱 Microsoft Sentinel 中的進階多階段攻擊偵測,以查看哪些範本)。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
機器學習 (ML) 行為分析
利用 Microsoft 專屬的機器學習演算法,利用 ML 行為分析規則來產生高逼真度警示和事件。 這些唯一規則 (目前在 Preview中) 無法自訂,但啟用時,根據 IP 和地理位置和使用者歷程記錄資訊偵測特定的異常 SSH 和 RDP 登入行為。
分析規則的存取權限
當您建立分析規則時,存取權限權杖會套用至規則,並連同它一起儲存。 此權杖可確保規則可以存取包含規則所查詢資料的工作區,而且即使規則的建立者失去該工作區的存取權,此存取仍會維持。
不過,這項存取有一個例外:建立規則以存取其他訂用帳戶或租用戶中的工作區時 (例如 MSSP 的情況),Microsoft Sentinel 會採取額外的安全性措施,以防止未經授權的客戶資料存取。 針對這些類型的規則,建立規則的使用者認證會套用至規則,而不是獨立的存取權杖,如此一來,當使用者無法再存取其他訂用帳戶或租用戶時,規則就會停止運作。
如果您在跨訂用帳戶或跨租用戶案例中操作 Microsoft Sentinel,當其中一位分析師或工程師無法存取特定工作區時,該使用者所建立的任何規則都會停止運作。 在此情況下,您會收到有關「資源存取不足」的健康情況監視訊息,且規則在失敗一定次數後自動停用。
將規則匯出至 ARM 範本
如果您想要以程式碼方式管理和部署規則,您可以輕鬆地將規則匯出至 Azure Resource Manager (ARM) 範本。 您也可以從範本檔案匯入規則,以便在使用者介面中檢視和編輯規則。
下一步
深入瞭解 Sentinel Microsoft 中的排程分析規則,以及使用 Microsoft Sentinel 中的近即時 (NRT) 分析規則快速威脅偵測。
若要尋找更多規則範本,請參閱探索和管理 Microsoft Sentinel 現成可用的內容。