共用方式為


從頭開始建立排程分析規則

您已在整個數位資產中設定連接器以及收集活動資料的其他方式。 現在,您需要深入探索所有資料以偵測活動模式,並且探索不符合這些模式且可能代表安全性威脅的活動。

Microsoft Sentinel 和其許多解決方案會針對最常使用的分析規則類型提供範本,而且強烈建議您利用這些範本,以對其進行自訂以符合您的特定案例。 但您可能需要完全不同的資訊,因此,在此情況下,您可以使用分析規則精靈從頭建立規則。

本文說明從頭開始建立分析規則的程序,包括使用 [分析規則精靈]。 Azure 入口網站和 Defender 入口網站都有可存取精靈的螢幕擷取畫面和指示,而前者適用於還不是 Microsoft Defender 訂閱者的 Microsoft Sentinel 使用者,後者則適用於 Microsoft Defender 統一安全性作業平台的使用者。

重要

Microsoft Sentinel 現在通常可在 Microsoft Defender 入口網站的 Microsoft 整合安全性作業平台中使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

必要條件

  • 您必須具有 Microsoft Sentinel 參與者角色,或任何其他角色或權限集,包括 Log Analytics 工作區和其資源群組的寫入權限。

  • 您至少應該基本熟悉資料科學和分析以及 Kusto 查詢語言。

  • 您應該熟悉分析規則精靈,以及所有可用的設定選項。 如需詳細資訊,請參閱 Microsoft Sentinel 中的排程分析規則

設計和建置您的查詢

執行任何其他動作之前,您應該使用 Kusto 查詢語言 (KQL) 來設計和建置查詢,而您的規則將會使用此查詢來查詢 Log Analytics 工作區中的一或多個資料表。

  1. 判斷您想要搜尋以偵測異常或可疑活動的一個資料來源或一組資料來源。 尋找 Log Analytics 資料表的名稱,而這些來源中的資料會內嵌至此資料表中。 您可以在該來源的資料連接器頁面上找到資料表名稱。 使用此資料表名稱 (或以其為基礎的函數) 作為查詢的基礎。

  2. 決定您想要此查詢對資料表執行何種分析。 此決策將決定您應該在查詢中使用的命令和函數。

  3. 從查詢結果,決定您想要的資料元素 (欄位、資料行)。 此決策將決定如何建構查詢的輸出。

  4. 在 [記錄] 畫面中,建置和測試查詢。 當您滿意時,請儲存查詢以用於您的規則中。

如需建置 Kusto 查詢的一些實用提示,請參閱分析規則查詢的最佳做法

如需建置 Kusto 查詢的更多協助,請參閱 Microsoft Sentinel 中的 Kusto 查詢語言以及 Kusto 查詢語言查詢的最佳做法

建立分析規則

本節說明如何使用 Azure 或 Defender 入口網站來建立規則。

開始建立排程查詢規則

若要開始使用,請前往 Microsoft Sentinel 中的 [分析] 頁面,以建立排程分析規則。

  1. 針對 Azure 入口網站中的 Microsoft Sentinel,請在 [設定] 下方選取 [分析]
    針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel] > [設定] > [分析]

  2. 選取 [+建立],然後選取 [排程查詢規則]

命名規則並定義一般資訊

在 Azure 入口網站中,階段會以視覺方式呈現為索引標籤。 在 Defender 入口網站中,其會以視覺方式呈現為時間表上的里程碑。

  1. 輸入規則的下列資訊。

    欄位 描述
    名稱 規則的唯一名稱。
    說明 規則的任意文字描述。
    嚴重性 如果規則確判為真,則比對可觸發規則的活動對目標環境的影響。

    資訊:不會影響您的系統,但資訊可能表示威脅行為者所規劃的未來步驟。
    :立即影響會最小。 威脅執行者可能需要執行多個步驟,才能對環境造成影響。
    :威脅行為者可能會對此活動的環境造成一些影響,但範圍有限,或需要額外的活動。
    :所識別的活動會提供威脅行為者對環境執行動作的廣泛存取權,或因對環境的影響而觸發。
    MITRE ATT&CK 選擇適用於您規則的威脅活動。 從下拉式清單中呈現的 MITRE ATT&CK 策略和技術中進行選取。 您可以複選。

    如需最大化 MITRE ATT&CK 威脅態勢涵蓋範圍的詳細資訊,請參閱瞭解 MITRE ATT&CK® 架構的安全性涵蓋範圍
    狀態 已啟用:規則會在建立時立即執行,或在您選擇排程規則的特定日期和時間 (目前為預覽版)
    已停用:已建立但不會執行規則。 在您需要時,稍後從 [作用中規則] 索引標籤中予以啟用。
  2. 選取 [下一步:設定規則邏輯]


定義規則邏輯

下一個步驟是設定規則邏輯,其包括新增您已建立的 Kusto 查詢。

  1. 輸入規則查詢和警示增強設定。

    設定 描述
    規則查詢 將您已設計、建置和測試的查詢貼入 [規則查詢] 視窗中。 您在此視窗中所做的每項變更都會立即進行驗證,因此,如果發生任何錯誤,則您將會在視窗下方看到指示。
    對應實體 展開 [實體對應],並定義將最多 10 種 Microsoft Sentinel 所辨識的實體類型對應至查詢結果中的欄位。 此對應會將識別到的實體整合到警示結構描述中的 [實體] 欄位

    如需對應實體的完整指示,請參閱將資料欄位對應至 Microsoft Sentinel 中的實體
    呈現警示中的自訂詳細資料 展開 [自訂詳細資料],並定義查詢結果中您想要在警示中以自訂詳細資料形式呈現的任何欄位。 這些欄位也會出現在任何產生的事件中。

    如需呈現自訂詳細資料的完整指示,請參閱在 Microsoft Sentinel 中呈現警示中的自訂事件詳細資料
    自訂警示詳細資料 展開 [警示詳細資料],並根據每個個別警示中各種欄位的內容來自訂其他標準警示屬性。 例如,自訂警示名稱或描述,以包括警示中精選的使用者名稱或 IP 位址。

    如需自訂警示詳細資料的完整指示,請參閱在 Microsoft Sentinel 中自訂警示詳細資料
  2. 排程並設定查詢範圍。在 [查詢排程] 區段中,設定下列參數:

    設定 描述/選項
    查詢執行間隔 控制「查詢間隔」:查詢的執行頻率。
    允許的範圍:「5 分鐘」到「14 天」
    查閱資料 (來自上一個) 決定查詢所涵蓋的「回顧期間」:查詢所涵蓋的時段。
    允許的範圍:「5 分鐘」到「14 天」
    必須大於或等於查詢間隔。
    開始執行 自動:規則將會在建立時立即首次執行,並在此時間之後依查詢間隔立即執行。
    在特定時間 (預覽):設定規則第一次執行的日期和時間,並在此時間之後依查詢間隔執行。
    允許的範圍:規則建立 (或啟用) 時間後的「10 分鐘」到「30 天」
  3. 設定用於建立警示的閾值。

    使用 [警示閾值] 區段來定義規則的敏感度層級。 例如,設定最小閾值 100:

    設定 描述
    產生警示的條件為查詢結果數目 大於
    事件數目 100

    如果您不想要設定閾值,則請在 [數字] 欄位中輸入 0

  4. 設定事件群組設定。

    在 [事件分組] 底下,選擇兩種方式其一,將 [事件] 群組分組處理到 [警示] 中:

    設定 行為
    將所有事件歸納成單一警示
    (預設值)
    只要查詢傳回的結果超過上述指定的 [警示閾值],則規則每次執行時均會產生單一警示。 此單一警示會摘要說明查詢結果中所傳回的所有事件。
    觸發每個事件的警示 此規則會針對查詢所傳回的每個事件產生唯一警示。 如果您想要個別顯示事件,或您想要依特定參數 (依使用者、主機名稱或其他資訊) 進行分組,則這十分有用。 您可以在查詢中定義上述參數。
  5. 產生警示之後暫時抑制規則。

    若要在產生警示時抑制超出其下一次執行時間的規則,請 [開啟] [在產生警示後停止執行查詢] 設定。 如果您開啟此功能,則請將 [停止執行查詢] 設定為查詢應停止執行的時間量 (最多 24 小時)。

  6. 模擬查詢和邏輯設定的結果。

    在 [結果模擬] 區域中,選取 [使用目前的資料進行測試],以查看規則結果在目前資料上執行時的外觀。 Microsoft Sentinel 會使用定義的排程,來模擬對目前的資料執行規則 50 次,並顯示結果圖表 (記錄事件)。 如果您修改查詢,請再次選取 [使用目前的資料進行測試] 以更新圖形。 此圖表顯示 [查詢排程] 區段中的設定所定義時段內的結果數目。

  7. 選取 [下一步: 事件設定]

設定事件建立設定

在 [事件設定] 索引標籤中,選擇 Microsoft Sentinel 是否將警示變成可採取動作的事件,以及是否將警示一起分組到事件中和分組方式。

  1. 啟用事件建立。

    在 [事件設定] 區段中,預設會將 [根據此分析規則所觸發的警示來建立事件] 設定為 [已啟用],這表示 Microsoft Sentinel 會建立單一且個別獨立的事件,以及規則所觸發的每個警示。

    • 例如,如果您不想讓此規則建立任何事件 (例如,如果此規則僅用於收集後續分析的資訊),請將此選項設定為 [已停用]

      重要

      如果您已在 Microsoft Defender 入口網站中將 Microsoft Sentinel 上線至整合安全性作業平台,則請將此設定保留 [已啟用]

    • 如果您想要從一組警示建立單一事件,而不是針對每個單一警示建立單一事件,請參閱下一節。

  2. 設定警示群組設定。

    在 [警示分組] 區段中,如果您想要透過最多包含 150 個類似或週期性警示的群組產生單一事件 (請參閱附註),請將 [將此分析規則所觸發的相關警示分組為事件] 設定為 [已啟用],並設定下列參數。

    1. 將群組限制在所選時間範圍內建立的警示:設定將類似或週期性警示分組在一起的時間範圍。 在此時間範圍外部發生的警示會產生一個個別事件或一組事件。

    2. 將此分析規則所觸發的警示分組為單一事件,依據為:選擇警示分組在一起的方式:

      選項 描述
      如果所有實體均相符,則將警示分組為單一事件 如果警示針對各個已對應的實體 (定義在上述的設定規則邏輯索引標籤中) 共用相同值,警示會分組在一起。 此為建議設定值。
      將此規則所觸發的所有警示分組為單一事件 即使這些警示沒有共用相同的值,此規則所產生的所有警示都分為一組。
      如果選取的實體和詳細資料符合,則將警示分組為單一事件 如果從個別下拉式清單中選取的所有對應實體、警示詳細資料,以及自訂詳細資料的警示共用相同的值,則會將警示分為一組。
    3. 重新開啟已關閉的相符事件:如果事件已解決並關閉,而稍後在另一個警示上產生應屬於該事件的警示,若您想要重新開啟已關閉的事件,請將此設定設定設為 [已啟用],如果想要讓警示建立新的事件,請保留為 [已停用]

    注意

    最多 150 個警示可以分組成單一事件。

    • 只有在產生所有警示之後,才會建立此事件。 建立事件時,所有警示都會立即新增至事件。

    • 如果將警示分組為單一事件的規則會產生超過 150 個警示,就會使用與原始事件相同的事件詳細資料來建立新事件,並將過量的警示分組至新事件中。

  3. 選取 [下一步: 自動化回應]

檢閱或新增自動化回應

  1. 在 [自動化回應] 索引標籤中,查看清單中所顯示的自動化規則。 如果您想要新增現有規則尚未涵蓋的任何回應,則您有兩個選項:

    • 如果您想要將新增的回應套用至許多或所有規則,則請編輯現有的規則。
    • 選取 [新增]建立新的自動化規則,而此自動化規則將只會套用至這個分析規則。

    若要深入了解如何使用自動化規則,請參閱使用自動化規則將 Microsoft Sentinel 中的威脅回應自動化

    • 在畫面底部的 [警示自動化 (傳統)] 下方,您將會看到您在使用舊方法來產生警示時已設定為自動執行的任何劇本。
      • 「自 2023 年 6 月起」,您無法再將劇本新增至此清單。 除非此方法「自 2026 年 3 月起被取代」,否則此處已列出的劇本將會繼續執行。

      • 如果您這裡仍列出任何劇本,則應該改為根據「警示建立觸發程序」來建立自動化規則,並從自動化規則叫用劇本。 完成之後,請選取此處所列劇本行結尾的省略號,然後選取 [移除]。 如需完整指示,請參閱將 Microsoft Sentinel 警示觸發程序劇本移轉至自動化規則

  1. 選取 [下一步:檢閱並建立],以檢閱新分析規則的所有設定。

驗證設定並建立規則

  1. 出現 [驗證通過] 訊息時,請選取 [建立]

  2. 如果出現錯誤,則請在精靈中發生錯誤的索引標籤上尋找並選取紅色 X。

  3. 更正錯誤,並返回 [檢閱並建立] 索引標籤,以再次執行驗證。

檢視規則及其輸出

檢視規則定義

您可以在主要 [分析] 畫面的 [使用中的規則] 索引標籤下,於資料表中找到您新建立的「已排程」類型的自訂規則。 您可以從此清單中啟用、停用或刪除每個規則。

檢視規則的結果

若要檢視您在 Azure 入口網站中所建立分析規則的結果,請前往 [事件] 頁面,您可以在其中將事件分級、調查事件以及補救威脅

螢幕擷取畫面:Azure 入口網站中的事件頁面。

調整規則

注意

Microsoft Sentinel 中產生的警示可透過 Microsoft Graph 安全性取得。 如需詳細資訊,請參閱Microsoft Graph 安全性警示文件

將規則匯出至 ARM 範本

如果您想要封裝規則以程式碼的形式管理及部署,可以輕鬆將規則匯出至 Azure Resource Manager (ARM) 範本。 您也可以從範本檔案匯入規則,以便在使用者介面中檢視和編輯規則。

下一步

使用分析規則來偵測來自 Microsoft Sentinel 的威脅時,請確定您啟用所有與已連線資料來源相關聯的規則,以確保完整涵蓋您環境的安全性。

若要將規則啟用自動化,請透過 APIPowerShell 以將規則推送至 Microsoft Sentinel,但這麼做需要額外的工作。 使用 API 或 PowerShell 時,您必須先將規則匯出至 JSON,才能啟用規則。 API 或 PowerShell 在多個 Microsoft Sentinel 執行個體中啟用規則,且每個執行個體中的設定都相同時,可能會很有幫助。

如需詳細資訊,請參閱

此外,使用自訂連接器監視 Zoom時,請透過使用自訂分析規則的範例進行學習。