分享方式:

使用比對分析來偵測威脅

  • 文章
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

利用 Microsoft 所產生的威脅情報,使用 [Microsoft Defender 威脅情報分析] 規則來產生高逼真度的警示和事件。 Microsoft Sentinel 中這個內建規則會將具有常見事件格式 (CEF) 記錄的指標與具有網域和 IPv4 威脅指標的 Windows DNS 事件、syslog 資料等等進行比對。

重要

比對分析目前處於預覽狀態。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的更多法律條款。

必要條件

您必須安裝一或多個支援的資料連接器,才能產生高逼真度的警示和事件。 不需要進階 Microsoft Defender 威脅情報授權。 從內容中樞安裝適當的解決方案,以連結這些資料來源:

  • 常見事件格式
  • DNS (預覽)
  • Syslog
  • Office 活動記錄
  • Azure 活動記錄
  • ASIM DNS 記錄
  • ASIM 網路會話

顯示 Microsoft Defender 威脅情報分析規則資料來源連線的螢幕擷取畫面。

例如,視您的資料來源而定,您可以使用下列解決方案和資料連接器:

解決方案 Data connector (資料連接器)
Sentinel 的常見事件格式解決方案 Microsoft Sentinel 的常見事件格式連接器
Windows Server DNS Microsoft Sentinel 的 DNS 連接器
Sentinel 的 Syslog 解決方案 Microsoft Sentinel 的 Syslog 連接器
Sentinel 的 Microsoft 365 解決方案 Microsoft Sentinel 的 Office 365 連接器
Sentinel 的 Azure 活動解決方案 Microsoft Sentinel 的 Azure 活動連接器

設定相符的分析規則

當您啟用 Microsoft Defender 威脅情報分析規則時,會設定比對分析。

  1. 在 [設定] 區段下,選取 [Analytics] 功能表。

  2. 選取 [規則範本] 索引標籤。

  3. 在搜尋視窗中輸入 [威脅情報]

  4. 選取 [Microsoft Defender 威脅情報分析] 規則範本。

  5. 請選取建立規則。 規則詳細資料是唯讀的,且已啟用規則的預設狀態。

  6. 選取 [檢閱]>[建立]

顯示 [作用中] 規則索引標籤上已啟用 Microsoft Defender 威脅情報分析規則的螢幕擷取畫面。

資料來源和指標

Microsoft Defender 威脅情報分析會以下列方式將您的記錄與網域、IP 和 URL 指標進行比對:

  • 內嵌到 Log Analytics CommonSecurityLog 資料表中的 CEF 記錄若在 RequestURL 欄位填入會比對 URL 和網域指標,而在 DestinationIP 欄位填入則會比對 IPv4 指標。
  • Windows DNS 記錄,其中內嵌到 DnsEvents 資料表的 SubType == "LookupQuery"Name 欄位填入會比對網域指標,而在 IPAddresses 欄位填入則會比對 IPv4 指標。
  • Syslog 事件,其中內嵌到 Syslog 資料表的 Facility == "cron" 會比對直接來自 SyslogMessage 欄位的網域與 IPv4 指標。
  • 內嵌到 OfficeActivity 資料表的 Office 活動記錄會比對直接來自 ClientIP 欄位的 IPv4 指標。
  • 內嵌到 AzureActivity 資料表的 Azure 活動記錄會比對直接來自 CallerIpAddress 欄位的 IPv4 指標。
  • 如果欄位中已填入 ,則 ASIM DNS 記錄 會內嵌到 ASimDnsActivityLogs 資料表中 DnsQuery 符合網域指標,以及欄位中的 DnsResponseName IPv4 指標。
  • 如果填入下列一或多個字段,則內嵌到數據表中的 ASIM 網路會話會比對 IPv4 指標:DstIpAddr、、DstNatIpAddrSrcNatIpAddrSrcIpAddr、 。ASimNetworkSessionLogsDvcIpAddr

對透過比對分析所產生的事件進行分級

如果 Microsoft 的分析找到相符項,則所產生的任何警示都會分組為事件。

使用下列步驟,將 Microsoft Defender 威脅情報分析規則所產生的事件分級:

  1. 在已啟用 Microsoft Defender 威脅情報分析規則的 Microsoft Sentinel 工作區中,選取 [事件],然後搜尋 [Microsoft Defender 威脅情報分析]

    找到的任何事件都會出現在方格中。

  2. 選取 [檢視完整詳細資料],以檢視實體和其他關於事件的詳細資料,例如特定警示。

    以下是範例。

    透過比對分析與詳細資料窗格所產生的事件的螢幕擷取畫面。

  3. 觀察指派給警示和事件的嚴重性。 根據指標的比對方式,將適當的嚴重性 (InformationalHigh) 指派給警示。 例如,如果指標與允許流量的防火牆記錄相符,就會產生高嚴重性警示。 如果相同的指標與封鎖流量的防火牆記錄相符,則產生的警示為低或中。

    然後,警示會根據個別的可觀察項目進行分組。 例如,在 24 小時的時段內產生的所有警示,只要符合 contoso.com 網域都會被分組為單一事件,並根據最高警示嚴重性指派嚴重性。

  4. 觀察指標資訊。 找到相符項目時,指標會發佈至 Log Analytics ThreatIntelligenceIndicators 資料表,並顯示在 [威脅情報] 頁面中。 針對由此規則發佈的任何指標,來源會定義為 Microsoft Defender 威脅情報分析

以下是 ThreatIntelligenceIndicators 資料表的範例。

顯示 ThreatIntelligenceIndicator 資料表的螢幕擷取畫面,其中顯示具有 Microsoft 威脅情報分析的 SourceSystem 的指標。

以下是 [威脅情報] 頁面的範例。

顯示威脅情報概觀的螢幕擷取畫面,其中選取的指標顯示來源為 Microsoft 威脅情報分析。

從 Microsoft Defender 威脅情報分析中取得其他內容

除了高逼真度警示和事件外,某些 Microsoft Defender 威脅情報指標包含 Microsoft Defender 威脅情報社群入口網站中參考文章的連結。

顯示具有 Microsoft Defender 威脅情報參考文章連結的事件的螢幕擷取畫面。

如需詳細資訊,請參閱什麼是 Microsoft Defender 威脅情報?

相關內容

在本文中,您已了解如何連接 Microsoft 所產生的威脅情報來產生警示和事件。 若要進一步了解 Microsoft Sentinel 的威脅情報,請參閱下列文章: