分享方式:


Microsoft Sentinel 中的排程分析規則

迄今為止最常見的分析規則類型是排程的規則,它是基於 Kusto 查詢,這些查詢會設定為定期執行並檢查定義的「回溯」期間的未經處理資料。 查詢可以對其目標資料執行複雜的統計作業,顯示事件群組中的基線和異常值。 如果查詢所擷取的結果數目超過規則中設定的閾值,則規則會產生警示。

本文可協助您了解如何建置排程的分析規則,並向您簡介所有設定選項及其意義。 本文中的資訊在兩種情況下很有用:

  • 從範本建立分析規則:使用範本中所定義的查詢邏輯以及排程和回溯設定,或對其進行自訂以建立新規則。

  • 從頭開始建立分析規則:從頭開始建置您自己的查詢和規則。 為了有效地做到這一點,您應該對資料科學和 Kusto 查詢語言有深入的了解。

重要

Microsoft Sentinel 現在通常可在 Microsoft Defender 入口網站的 Microsoft 整合安全性作業平台中使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

分析規則範本

排程規則範本中的查詢是由 Microsoft 或提供範本的解決方案供應商的安全性和資料科學專家所撰寫的。

透過從範本清單中選取範本名稱並根據它建立規則來使用分析規則範本。

每個範本都有必要資料來源的清單。 當您開啟範本時,會自動檢查資料來源的可用性。 可用性表示資料來源已連線,並且該資料正在透過它定期被擷取。 如果有任何必要的資料來源無法使用,您將不被允許建立規則,而且您可能還會看到一則與此相關的錯誤訊息。

當您從範本中建立規則時,規則建立精靈會根據選取的範本開啟。 所有詳細資料都會自動填寫,而您可以自訂邏輯和其他規則設定,以更符合您的特定需求。 您可以重複此流程,以根據範本建立更多規則。 當您到達規則建立精靈的結尾時,即會驗證您的自訂並建立規則。 新的規則會顯示在 [分析] 頁面上的 [作用中規則] 索引標籤中。 同樣地,在 [規則範本] 索引標籤上,您從其中建立規則的範本現在會顯示為具有 In use 標記。

分析規則範本會由其作者持續維護,以修正錯誤或最佳化查詢。 當範本收到更新時,根據該範本的任何規則都會顯示為具有 Update 標記,而且您有機會修改這些規則以包含對範本所做的變更。 您也可以將規則中所做的任何變更還原回其原始範本型的版本。 如需詳細資訊,請參閱管理 Microsoft Sentinel 中排程分析規則的範本版本

在您熟悉本文中的設定選項之後,請參閱從範本建立排程的分析規則

本文的其餘部分將說明自訂規則設定的所有可能性。

分析規則設定

本節說明在開始設定規則之前您需要考慮的重要考量事項。

分析規則名稱和詳細資料

分析規則精靈的第一頁包含規則的基本資訊。

名稱:出現在規則清單和任何基於規則的篩選器中的規則名稱。 該名稱對於您的工作區必須是唯一的。

描述:規則用途的任意文字描述。

識別碼:作為 Azure 資源的規則的 GUID,用於 API 要求和回應等。 此 GUID 只有在建立規則時才會指派,因此只有在您編輯現有規則時才會顯示。 因為它是唯讀欄位,所以會顯示為灰色且無法變更。 從範本或從頭開始建立新規則時,它還不存在。

嚴重性:對此規則所產生的警示進行的評等。 活動的嚴重性是對活動發生的潛在負面影響的計算。

嚴重性 描述
Informational 對系統沒有任何影響,此資訊可能表示威脅執行者計劃的未來步驟。
當下的影響微乎其微。 威脅執行者可能需要執行多個步驟,才能對環境造成影響。
威脅執行者可能會透過此活動對環境造成一些影響,但範圍有限,或需要額外的活動。
所識別的活動提供威脅執行者對環境執行動作的各種存取權,或因對環境的影響而觸發所識別的活動。

嚴重性層級預設值不是目前或環境影響層級的保證。 自訂警示詳細資料,使用查詢輸出中任何相關欄位的值來自訂給定警示實例的嚴重性、策略和其他屬性。

Microsoft Sentinel 分析規則範本的嚴重性定義僅適用於分析規則所建立的警示。 針對從其他服務擷取的警示,會依來源安全性服務來定義其嚴重性。

MITRE ATT&CK:此規則所擷取的活動所代表的攻擊策略和技術的規格。 這些是以 MITRE ATT&CK® 架構的策略和技術為基礎。

規則中這裡所定義的 MITRE ATT&CK 策略和技術適用於規則所產生的任何警示。 它們也適用於從這些警示中所建立的任何事件。

如需最大化 MITRE ATT&CK 威脅態勢涵蓋範圍的詳細資訊,請參閱了解 MITRE ATT&CK® 架構的安全性涵蓋範圍

狀態:當您建立規則時,其狀態預設為已啟用,這表示它會在您完成建立後立即執行。 如果您不希望它立即執行,您有兩個選項:

  • 選取 [已停用],規則會在不執行的情況下建立。 當您希望規則執行時,請在 [作用中規則] 索引標籤中找到它,然後從那裡啟用它。
  • 排程規則以在特定日期和時間首次執行。 此方法目前處於預覽狀態。 請參閱本文稍後的查詢排程

規則查詢

這是規則的本質:您可決定此規則所建立的警示中包含哪些資訊以及如何組織資訊。 此設定會對所產生的事件的外觀以及調查、補救和解決這些事件的難易程度產生後續影響。 讓您的警示包含盡可能豐富的資訊,並讓該資訊易於存取,這一點很重要。

檢視或輸入可分析原始記錄資料的 Kusto 查詢。 如果您要從頭開始建立規則,最好在開啟此精靈之前先規劃及設計您的查詢。 您可以在 [記錄] 頁面中建置及測試查詢。

您在規則查詢視窗中輸入的所有內容都會立即驗證,因此您可以立即發現是否犯了任何錯誤。

分析規則查詢的最佳做法

  • 我們建議您使用進階安全性資訊模型 (ASIM) 剖析器作為您的查詢來源,而不是使用原生資料表。 這可確保查詢支援任何目前或未來的相關資料來源或資料來源系列,而不是依賴單一資料來源。

  • 查詢長度應該介於 1 到 10,000 個字元之間,而且不能包含 「search *」或「union *」。 您可以使用使用者定義的函式來克服查詢長度限制,因為單一函式可以取代數十行程序碼。

  • 不支援使用 ADX 函式在 Log Analytics 查詢視窗中建立 Azure Data Explorer 查詢。

  • 在查詢中使用 bag_unpack 函式時,如果您使用 "project field1" 將資料行投影為欄位,而欄位不存在,則查詢會失敗。 若要防範上述情況,您必須投影資料行,如下所示:

    project field1 = column_ifexists("field1","")

如需建置 Kusto 查詢的更多說明,請參閱 Microsoft Sentinel 中的 Kusto 查詢語言Kusto 查詢語言查詢的最佳做法

警示增強功能

如果您希望警示呈現其發現結果,以便可在事件中立即看見它們,並進行適當的追蹤和調查,請使用警示增強設定來呈現警示中的所有重要資訊。

此警示增強功能還有一個額外的優點,能以易於查看和存取的方式呈現發現結果。

您可以設定三種類型的警示增強功能:

  • 實體對應
  • 自訂詳細資料
  • 警示詳細資料 (也稱為動態內容)

實體對應

實體是任何攻擊故事中任一方的參與者。 識別警示中的所有實體對於偵測和調查威脅至關重要。 為了確保 Microsoft Sentinel 識別未經處理資料中的實體,您必須將 Microsoft Sentinel 所辨識的實體類型對應到您的查詢結果中的欄位。 此對應會將識別的實體整合到您的警示結構描述中的實體 欄位中。

若要深入了解實體對應以及取得完整的指示,請參閱將資料欄位對應至 Microsoft Sentinel 中的實體

自訂詳細資料

根據預設,事件中只會顯示警示實體和中繼資料,而不會向下切入查詢結果中的原始事件。 若要讓查詢結果中的其他欄位在您的警示和事件中立即顯示,請將它們定義為自訂詳細資料。 Microsoft Sentinel 會將這些自訂詳細資料整合到您的警示中的 ExtendedProperties 欄位中,使它們顯示在您的警示以及從這些警示建立的任何事件中的前面。

若要深入了解呈現自訂詳細資料並取得完整的指示,請參閱在 Microsoft Sentinel 呈現警示中的自訂事件詳細資料

警示詳細資料

此設定可讓您根據每個個別警示中各種欄位的內容來自訂其他標準警示屬性。 這些自訂會整合到您的警示中的 ExtendedProperties 欄位中。 例如,您可以自訂警示名稱或描述,以包含警示中涉及的使用者名稱或 IP 位址。

若要深入了解自訂警示詳細資料並取得完整的指示,請參閱在 Microsoft Sentinel 中自訂警示詳細資料

注意

在整合安全性作業平台中,Defender XDR 相互關聯引擎僅負責命名事件,因此您自訂的任何警示名稱在從這些警示建立事件時可能會被覆寫。

查詢排程

以下參數會決定排程規則執行的頻率以及它每次執行時檢查的時段。

設定 行為
執行查詢間隔 控制查詢間隔:查詢執行的頻率。
查詢最近的資料 確定回溯期:查詢所涵蓋的時段。
  • 這兩個參數的容許範圍是從 5 分鐘14 天

  • 查詢間隔必須小於或等於回溯期。 如果較短,查詢期會重疊,這可能會導致一些結果的重複。 不過,規則驗證不會允許您設定比回溯期更長的間隔,因為這樣會導致涵蓋範圍出現空白。

開始執行設定 (現在處於預覽狀態) 可讓您建立狀態為已啟用的規則,但將其首次執行延遲到預定的日期和時間。 如果您想要根據預計從來源擷取資料的時間或 SOC 分析師開始工作的時間來安排規則的執行時間,則此設定便會非常有用。

設定 行為
自動 規則會在建立後立即首次執行,之後會按照執行查詢間隔設定中所設定的間隔執行。
在特定時間 (預覽) 設定規則首次執行的日期和時間,之後它將按照執行查詢間隔設定中所設定的間隔執行。
  • 開始執行時間必須在規則建立 (或啟用) 時間之後的 10 分鐘到 30 天之間。

  • [開始執行] 設定下的文字行 (左側有資訊圖示) 會摘要說明目前的查詢排程和回顧設定。

    進階排程切換和設定的螢幕擷取畫面。

注意

擷取延遲

為了考慮在來源的事件產生與其擷取至 Microsoft Sentinel 之間可能發生的延遲,並確保完整涵蓋範圍而不重復資料,Microsoft Sentinel 會在其排程時間的五分鐘延遲上執行排程的分析規則。

如需詳細資訊,請參閱處理排程分析規則中的擷取延遲

警示閾值

許多類型的安全性事件在少量時是正常的,甚至是可預期的,但在大量發生時則是威脅的跡象。 不同規模的大量可能意味著不同類型的威脅。 例如,在一分鐘內有兩到三次失敗的登入嘗試可能只是使用者忘記密碼的跡象,但如果在一分鐘內有五十次失敗的嘗試,則可能是人為攻擊的跡象,而一千次則很可能是自動化的攻擊。

根據您的規則嘗試偵測的活動類型,您可以設定觸發警示所需的最小事件數 (查詢結果)。 閾值對規則每次執行時個別適用,而不是總體適用。

閾值也可以設為最大結果數或精確數。

事件分組

有兩種方法可以將事件分組為警示

  • 將所有事件分組到單一警示:這是預設值。 只要查詢傳回的結果多於上一節中所述的指定警示閾值,則規則就會在每次執行時產生單一警示。 此單一警示彙總了查詢結果中傳回的所有事件。

  • 針對每個事件觸發警示:此規則會針對查詢所傳回的每個事件 (結果) 產生唯一警示。 如果您想要個別顯示事件,或想要按某些參數 (按使用者、主機名稱或其他參數) 對事件進行分組,則此模式便會非常有用。 您可以在查詢中定義上述參數。 |

分析規則最多可以產生 150 個警示。 如果事件分組設為針對每個事件觸發警示,且規則的查詢傳回超過 150 個事件,則前 149 個事件將分別產生唯一的警示 (針對 149 個警示),而第 150 個警示將彙總整組傳回的事件。 換句話說,第 150 個警示就是在將事件分組設為將所有事件分組到單一警示時會產生的警示。

針對每個事件觸發警示設定可能會導致查詢結果看似遺失或與預期不同的問題。 如需此案例的詳細資訊,請參閱在 Microsoft Sentinel 中針對分析規則進行疑難排解 | 問題:查詢結果中沒有出現任何事件

歸併

如果您希望此規則在產生警示後停止工作一段時間,請將產生警示後停止執行查詢設定設為開啟。 然後,您必須將停止執行查詢設為查詢應停止執行的時間,最多 24 小時。

結果模擬

分析規則精靈可讓您透過在目前資料集上執行來測試其功效。 當您執行測試時,結果模擬視窗會向您顯示查詢在過去 50 次執行中根據目前定義的排程產生的結果圖表。 如果您修改查詢,則可以再次執行測試來更新圖表。 此圖表顯示了定義時段內的結果數,該時段由您所定義的查詢排程決定。

以下是上述螢幕擷取畫面中查詢的結果模擬外觀。 左側是預設檢視,右側是您將滑鼠停留在圖形上某個時間點時所看到的內容。

結果模擬的螢幕擷取畫面。

如果您發現您的查詢會觸發過多或過於頻繁的警示,您可以嘗試調整排程和閾值設定並再次執行模擬。

事件設定

選擇 Microsoft Sentinel 是否將警示轉換為可採取動作的事件。

預設會啟用事件建立。 Microsoft Sentinel 會從規則所產生的每個警示中建立單一個別的事件。

例如,如果您不想讓此規則建立任何事件 (例如,如果此規則僅用於收集後續分析的資訊),請將此選項設定為 [已停用]

重要

如果您將 Microsoft Sentinel 上線到整合安全性作業平台,則 Microsoft Defender XDR 會負責建立事件。 不過,如果您希望 Defender XDR 為此警示建立事件,則必須將此設定保留為已啟用。 Defender XDR 會採用此處定義的指令。

請勿將這個與 Microsoft 安全性 類型的分析規則混淆,此類規則會針對 Microsoft Defender 服務中所產生的警示建立事件。 當您將 Microsoft Sentinel 上線到整合安全性作業平台時,這些規則會自動停用。

如果您想要從一組警示建立單一事件,而不是針對每個單一警示建立單一事件,請參閱下一節。

警示分組

選擇警示在事件中如何分組在一起。 根據預設,Microsoft Sentinel 會為每個產生的警示建立一個事件。 您可以選擇將數個警示分組成單一事件。

只有在產生所有警示之後才會建立事件。 所有警示都會在事件建立後立即新增到事件中。

最多 150 個警示可以分組成單一事件。 如果將警示分組為單一事件的規則產生了超過 150 個警示,則會產生一個與原始事件具有相同事件詳細資料的新事件,而多餘的警示會被分組到新事件中。

若要將警示分組在一起,請將警示分組設定設為已啟用

將警示分組時需要考慮幾個選項:

  • 時間範圍:根據預設,在事件中第一個警示發生後最多 5 小時內所建立的警示會被新增到同一個事件中。 5 小時之後,會建立一個新事件。 您可以將此時段變更為 5 分鐘到 7 天之間的任意時間。

  • 分組準則:選擇如何決定群組中包含哪些警示。 下表顯示了可能的選擇:

    選項 描述
    如果所有實體均相符,則將警示分組為單一事件 如果警示對於先前定義的每個對應實體共用相同的值,則它們會被分組在一起。 此為建議設定值。
    將此規則所觸發的所有警示分組為單一事件 即使這些警示沒有共用相同的值,此規則所產生的所有警示都分為一組。
    如果選取的實體和詳細資料符合,則將警示分組為單一事件 如果警示對於您為此設定選取的所有對應實體警示詳細資料自訂詳細資料共用相同的值,則它們會被分組在一起。 從選取此選項時出現的下拉式清單中選擇實體和詳細資料。

    例如,如果您想要根據來源或目標 IP 位址來建立個別事件,或者如果您想要將符合特定實體和嚴重性的警示分組,則建議您使用此設定。

    注意:選取此選項時,您必須至少為規則選取一個實體或詳細資料。 否則,規則驗證會失敗且不會建立規則。
  • 重新開啟事件:如果某個事件已解決並關閉,隨後又產生了另一個應屬於該事件的警示,請將此設定設為已啟用 (如果您希望重新開啟已關閉的事件的話),如果您希望新警示建立新事件,請保留為已停用

    如果您將 Microsoft Sentinel 上線到整合安全性作業平台,則重新開啟已關閉事件的選項無法使用

自動化回應

Microsoft Sentinel 可讓您在下列情況下設定要發生的自動回應:

  • 此分析規則會產生警示。
  • 事件會從此分析規則所產生的警示中建立。
  • 會使用此分析規則所產生的警示來更新事件。

若要詳細了解可以精心設計和自動化的不同類型的回應,請參閱使用自動化規則在 Microsoft Sentinel 中自動執行威脅回應

自動化規則標題下,精靈會顯示整個工作區中已定義的自動化規則清單,這些規則的條件適用於此分析規則。 您可以編輯這些任何現有規則,也可以建立新的自動化規則以僅適用於此分析規則。

使用自動化規則來執行基本分類、指派、工作流程和事件結束。

自動化更複雜的工作,並從遠端系統叫用回應,藉由從這些自動化規則呼叫劇本來修正威脅。 您可以針對事件和個別警示叫用劇本。

  • 如需建立劇本和自動化規則的詳細資訊和指示,請參閱自動化威脅回應

  • 如需何時使用事件建立觸發程序事件更新觸發程序警示建立觸發程序的詳細資訊,請參閱使用 Microsoft Sentinel 劇本中的觸發程序與動作

  • 警示自動化 (傳統) 標題下,您可能會看到一份設定為使用舊方法自動執行的劇本清單,該舊方法將於 2026 年 3 月被取代。 您無法將任何內容新增至此清單中。 此處所列的任何劇本都應該根據警示建立觸發程序來建立自動化規則,以叫用劇本。 完成此動作後,請選取此處所列的劇本行結尾的省略符號,然後選取 [移除]。 如需完整指示,請參閱將 Microsoft Sentinel 警示觸發程序劇本移轉至自動化規則

下一步

使用 Microsoft Sentinel 分析規則偵測環境中的威脅時,請確保啟用與連線的資料來源相關聯的所有規則,以確保環境的全面安全性涵蓋範圍。

若要自動啟用規則,請透過 APIPowerShell 將規則推送到 Microsoft Sentinel,儘管這樣做需要額外的工作。 使用 API 或 PowerShell 時,您必須先將規則匯出至 JSON,才能啟用規則。 API 或 PowerShell 在多個 Microsoft Sentinel 執行個體中啟用規則,且每個執行個體中的設定都相同時,可能會很有幫助。

如需詳細資訊,請參閱

此外,使用自訂連接器監視 Zoom時,請透過使用自訂分析規則的範例進行學習。