共用方式為


建立和管理自定義偵測規則

適用於:

  • Microsoft Defender XDR

自定義偵測規則是您可以使用 進階搜捕 查詢來設計和調整的規則。 這些規則可讓您主動監視各種事件和系統狀態,包括可疑的入侵活動和設定錯誤的端點。 您可以將它們設定為定期執行、產生警示,以及每當有符合事件時採取回應動作。

管理自訂偵測所需的權限

重要事項

Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。

若要管理自訂偵測,您必須被指派以下其中一個角色:

  • (管理) 的安全性設定 — 具有此 Microsoft Defender 全面偵測回應 許可權的使用者可以在 Microsoft Defender 入口網站中管理安全性設定。

  • 安全性系統管理員 - 具有此 Microsoft Entra 角色的使用者可以在 Microsoft Defender 入口網站和其他入口網站和服務中管理安全性設定。

  • 安全性操作員 - 具有此 Microsoft Entra 角色的使用者可以管理警示,並具有安全性相關功能的全域只讀存取權,包括 Microsoft Defender 入口網站中的所有資訊。 只有在 適用於端點的 Microsoft Defender 中關閉角色型訪問控制 (RBAC) 時,此角色才足以管理自定義偵測。 如果您已設定 RBAC,您也需要適用於端點的 Defender 的 [管理安全性設定] 許可權。

如果您有適當的許可權,您可以管理適用於特定 Microsoft Defender 全面偵測回應 解決方案數據的自定義偵測。 例如,如果您只有 適用於 Office 365 的 Microsoft Defender的管理許可權,您可以使用數據表建立自定義偵測,但不能Identity*使用Email*數據表來建立自定義偵測。

同樣地,因為數據IdentityLogonEvents表會保存來自 Microsoft Defender for Cloud Apps 和適用於身分識別的 Defender 的驗證活動資訊,所以您必須擁有這兩個服務的管理許可權,才能管理查詢上述數據表的自定義偵測。

注意事項

若要管理自定義偵測,如果已開啟 RBAC,安全性操作員必須在 適用於端點的 Microsoft Defender 中擁有管理安全性設定許可權。

若要管理必要的許可權,全域管理員可以:

注意事項

使用者也必須擁有其所建立或編輯之自定義偵測規則 裝置範圍中裝置 的適當許可權,才能繼續進行。 如果相同的用戶沒有所有裝置的許可權,使用者就無法編輯範圍為在所有裝置上執行的自定義偵測規則。

建立自定義偵測規則

1. 準備查詢

在 Microsoft Defender 入口網站中,移至 [進階搜捕],然後選取現有的查詢或建立新的查詢。 使用新查詢時,執行查詢以識別錯誤並瞭解可能的結果。

重要事項

為避免服務返回太多警示,每個規則只限在執行時產生 100 個警示。 建立規則之前,請調整您的查詢以避免一般、日常活動的通知。

查詢結果中所需的欄

若要建立自訂偵測規則,查詢必須會返回下列欄:

  • Timestamp— 用來設定所產生警示的時間戳
  • ReportId— 啟用原始記錄的查閱
  • 識別特定裝置、使用者或信箱的下列其中一個欄:
    • DeviceId
    • DeviceName
    • RemoteDeviceName
    • RecipientEmailAddress
    • SenderFromAddress (信封寄件者或退回路徑位址)
    • SenderMailFromAddress (電子郵件客戶程式顯示的寄件者位址)
    • RecipientObjectId
    • AccountObjectId
    • AccountSid
    • AccountUpn
    • InitiatingProcessAccountSid
    • InitiatingProcessAccountUpn
    • InitiatingProcessAccountObjectId

注意事項

當新數據表新增至進階 搜捕架構時,將會新增對其他實體的支援。

簡單查詢,例如不使用 projectsummarize 運算符來自定義或匯總結果的查詢,通常會傳回這些常見的數據行。

有各種方法可確保更複雜的查詢會傳回這些數據行。 例如,如果您想要依之類的資料行下的實體進行匯總和計數,您仍然可以從涉及每個唯DeviceIdDeviceId的最近事件中傳回 TimestampReportId

重要事項

避免使用 資料行篩選自定義偵測 Timestamp 。 用於自定義偵測的數據會根據偵測頻率預先篩選。

下列範例查詢會計算使用防病毒軟體偵測 (DeviceId) 的唯一裝置數目,並使用此計數只尋找具有五個以上偵測的裝置。 若要傳回最新 Timestamp 和對應 ReportId的 ,它會使用 summarize 運算子搭配 arg_max 函式。

DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

提示

若要提升查詢效能,請設定符合規則預期執行頻率的時間篩選。 由於最不頻繁的執行 是每隔 24 小時執行一次,因此過去一天的篩選將會涵蓋所有新數據。

2.建立新規則並提供警示詳細數據

使用查詢編輯器中的查詢,選取 [建立偵測規則 ],並指定下列警示詳細數據:

  • 偵測名稱 - 偵測規則的名稱;應該是唯一的
  • 頻率 - 執行查詢並採取動作的間隔。 請參閱規則頻率一節中的更多指引
  • 警示標題 — 顯示的標題與規則所觸發的警示;應該是唯一的
  • 嚴重性 - 規則所識別之元件或活動的潛在風險
  • 類別 — 規則所識別的威脅元件或活動
  • MITRE ATT&CK 技術 - 一或多個由規則識別的攻擊技術,如 MITRE ATT&CK 架構中所述。 此區段會針對特定警示類別隱藏,包括惡意代碼、勒索軟體、可疑活動和垃圾軟體
  • 描述 - 規則所識別之元件或活動的詳細資訊
  • 建議的動作 — 回應者可能會針對警示採取的其他動作

規則頻率

當您儲存新規則時,它會執行並檢查過去 30 天數據中的相符專案。 然後規則會以固定間隔再次執行,並根據您選擇的頻率套用回溯持續時間:

  • 每24小時 — 每24小時執行一次,檢查過去30天的數據
  • 每 12 小時 — 每 12 小時執行一次,檢查過去 48 小時內的數據
  • 每3小時 — 每3小時執行一次,檢查過去12小時內的數據
  • 每小時 — 每小時執行一次,檢查過去 4 小時的數據
  • 連續 (NRT) - 持續執行、檢查事件的數據,以近乎即時的方式收集和處理 (NRT) ,請參 閱連續 (NRT) 頻率

提示

將查詢中的時間篩選條件與回溯持續時間進行比對。 會忽略回溯持續時間以外的結果。

當您編輯規則時,它會在根據您設定的頻率排定的下一個執行時間中執行已套用變更。 規則頻率是根據事件時間戳而非擷取時間。

連續 (NRT) 頻率

將自定義偵測設定為以連續 (NRT) 頻率執行,可讓您提高組織更快識別威脅的能力。

注意事項

使用連續 (NRT) 頻率對資源使用量的影響很小,因此應該考慮您組織中的任何合格自定義偵測規則。

您可以持續執行的查詢

您可以持續執行查詢,只要:

  • 查詢只會參考一個數據表。
  • 查詢會使用支援的 KQL 運算子清單中的運算符。 支援的 KQL 功能
  • 查詢不會使用聯結、等位或運算 externaldata 符。
  • 查詢不包含任何批注行/資訊。
支援連續 (NRT) 頻率的數據表

下表支援近乎即時偵測:

  • AlertEvidence
  • CloudAppEvents
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • EmailAttachmentInfo
  • EmailEvents除了 和數據行之外,LatestDeliveryLocationLatestDeliveryAction ()
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • UrlClickEvents

注意事項

只有正式推出的數據行才能支持 連續 (NRT) 頻率。

3.選擇受影響的實體

在查詢結果中找出預期會尋找主要受影響或受影響實體的欄標籤。 例如,查詢可能會傳回發件者 (SenderFromAddressSenderMailFromAddress) 和收件者 (RecipientEmailAddress) 位址。 識別哪些欄代表主要受影響的實體,可協助服務匯總相關警示、關聯事件,以及目標回應動作。

每個實體類型 (信箱、使用者或裝置) 只能選取一欄。 無法選取查詢未返回的欄標籤。

4. 指定動作

您的自定義偵測規則可以自動對查詢所傳回的裝置、檔案、使用者或電子郵件採取動作。

顯示 Microsoft Defender 入口網站中自定義偵測動作的螢幕快照。

在裝置上採取動作

這些動作會適用於查詢結果 DeviceId 資料行中的裝置:

對檔案採取動作

  • 選取時,[ 允許/封鎖 ] 動作可以套用至檔案。 只有當您有檔案的 補救 許可權,以及查詢結果已識別出檔案標識碼,例如 SHA1 時,才允許封鎖檔案。 一旦封鎖檔案,也會封鎖所有裝置中相同檔案的其他實例。 您可以控制封鎖套用至哪個裝置群組,但無法控制特定裝置。

  • 選取時, 隔離檔案 動作可以套用至查詢結果之 SHA1InitiatingProcessSHA1SHA256InitiatingProcessSHA256 資料行中的檔案。 此動作會從檔案的目前位置刪除檔案,並隔離一份複製檔案。

對使用者採取動作

  • 選取時, 將對查詢結果 AccountObjectIdInitiatingProcessAccountObjectId、或 RecipientObjectId 資料行中的使用者採取 將使用者標記為遭入侵 動作。 此動作會在 Microsoft Entra ID 中將用戶風險層級設定為「高」,以觸發對應的身分識別保護原則

  • 取 [停用使用者 ] 以暫時防止使用者登入。

  • 選取 [強制密碼重設 ] 以提示使用者在下一個登入會話變更其密碼。

與選項都需要使用者 SID,其位於、 InitiatingProcessAccountSidRequestAccountSidOnPremSid資料列中AccountSidForce password resetDisable user

如需使用者動作的詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 中的補救動作

電子郵件上的動作

  • 如果自定義偵測產生電子郵件訊息,您可以選取 [ 移至信箱] 資料夾 ,將電子郵件移至選取的資料夾 (任何 [ 垃圾郵件]、[ 收件匣] 或 [ 刪除的專案 ] 資料夾) 。 具體來說,您可以藉由選取 [收 件匣 ] 選項,將電子郵件結果從隔離的專案移 (例如,如果是誤判) 。

    Microsoft Defender 入口網站中自定義偵測下的 [收件匣] 選項螢幕快照。

  • 或者,您可以選取 [ 刪除電子郵件 ],然後選擇將電子郵件移至 [刪除的專案] (虛刪除) 或永久刪除選取的電子郵件, (永久刪除) 。

和數據行NetworkMessageIdRecipientEmailAddress必須出現在查詢的輸出結果中,才能將動作套用至電子郵件訊息。

5. 設定規則範圍

設定範圍,以指定規則涵蓋哪些裝置。 範圍會影響檢查裝置的規則,且不會影響僅檢查信箱和使用者帳戶或身分識別的規則。

設定範圍時,您可以選取:

  • 所有裝置
  • 特定裝置群組

只會查詢範圍中裝置的數據。 此外,只會在這些裝置上採取動作。

注意事項

只有當使用者具有規則範圍內所含裝置的對應許可權時,才能夠建立或編輯自定義偵測規則。 例如,如果系統管理員具有所有裝置群組的許可權,就只能建立或編輯範圍為所有裝置群組的規則。

6. 檢閱並啟用規則

在檢閱規則後,選取建立 以儲存。 自訂偵測規則會立即執行。 它會根據已設定的頻率再次執行,檢查符合的項目、產生警示,以及採取回應動作。

重要事項

應定期檢閱自定義偵測,以取得效率和有效性。 若要確定您建立的偵測會觸發真正的警示,請依照 管理現有的自定義偵測規則中的步驟,花一些時間檢閱現有的自定義偵測。

您可控制自定義偵測的廣泛性或特定性,因此自定義偵測所產生的任何錯誤警示都可能表示需要修改規則的特定參數。

管理現有的自訂偵測規則

您可以檢視現有自定義偵測規則的清單、檢查其先前的執行,以及檢閱已觸發的警示。 您也可以視需要執行規則並加以修改。

提示

自定義偵測所引發的警示可透過警示和事件 API 取得。 如需詳細資訊,請參閱支援的 Microsoft Defender 全面偵測回應 API

查看現有規則

若要檢視所有現有的自定義偵測規則,請流覽至 搜捕>自定義偵測規則。 此頁會列出具有下列執行資訊的所有規則:

  • 上次執行 — 上次執行規則以檢查查詢相符項目並產生警示的時間
  • 上次執行狀態 — 規則是否成功執行
  • 下一次執行 — 下一次排程的執行
  • 狀態 - 是否已開啟或關閉規則

檢視規則詳細資料、修改規則及執行規則

若要檢視自定義偵測規則的完整資訊,請移至 搜捕>自定義偵測規則 ,然後選取規則的名稱。 然後,您可以檢視規則的一般資訊,包括資訊、其執行狀態和範圍。 此頁面也提供觸發警示和動作的清單。

Microsoft Defender 入口網站中的 [自定義偵測規則詳細數據] 頁面

您也可以從此頁面對規則採取下列動作:

  • 執行 — 立即執行規則。 這也會重設下一次執行間隔。
  • 編輯 — 修改規則而不變更查詢
  • 修改查詢 — 在進階搜捕中編輯查詢
  • / 關閉 — 啟用規則或停止執行
  • 刪除 — 關閉規則並將移除

查檢視和管理觸發的警示

在 [規則詳細數據] 畫面 (搜捕>自定義偵>測[規則名稱]) 中,移至 [觸發的警示],其中列出符合規則所產生的警示。 選取警示以檢視其詳細資訊,並採取下列動作:

  • 設定警示的狀態和分類(真或假警示)以管理警示
  • 將警示連結至事件
  • 執行在進階搜捕時觸發警示的查詢

檢閱動作

在 [規則詳細數據] 畫面 (搜捕>自定義偵>測[規則名稱]) 中,移至 [觸發的動作],其中列出根據與規則相符專案所採取的動作。

提示

若要快速檢視資訊,並針對數據表中的項目採取動作,請使用表格左側的選取數據行 [✓]。

注意事項

本文中的某些數據行可能無法在 適用於端點的 Microsoft Defender 中使用。 開啟 Microsoft Defender 全面偵測回應,以使用更多數據源來搜捕威脅。 您可以遵循從 適用於端點的 Microsoft Defender 移轉進階搜捕查詢中的步驟,將進階搜捕工作流程從 適用於端點的 Microsoft Defender 移至 Microsoft Defender 全面偵測回應

另請參閱

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群