步驟 3: 在 Microsoft Sentinel 中內嵌數據源並設定事件偵測
完成設計和實作 Microsoft Sentinel 工作區之後,您可以繼續擷取數據源並設定事件偵測。
數據連接器已設定為啟用資料擷取至工作區。 啟用要內嵌至 Sentinel 的關鍵數據點之後,也必須啟用使用者和實體行為分析 (UEBA) 和分析規則,以擷取異常和惡意活動。 分析規則會指示如何在 Sentinel 實例中產生警示和事件。 透過實體對應為您的環境和組織需求量身打造分析規則,可讓您產生高逼真度事件並減少警示疲勞。
開始之前
確認開啟數據連接器所需的安裝方法、角色和授權。 如需詳細資訊,請參閱尋找您的 Microsoft Sentinel 資料連接器。
下表摘要說明擷取金鑰 Azure 和資料連接器所需的必要條件:
| 資源類型 | 安裝方法 | 需要角色/許可權/授權 |
|---|---|---|
| Microsoft Entra ID | 原生數據連接器 | 安全性系統管理員 登入記錄需要 Microsoft Entra ID P1 或 P2 授權 其他記錄不需要 P1 或 P2 |
| Microsoft Entra ID Protection | 原生數據 連線 or | 安全性系統管理員 授權:Microsoft Entra ID P2 |
| Azure 活動 | Azure 原則 | 訂用帳戶所需的擁有者角色 |
| Microsoft Defender 全面偵測回應 (部分機器翻譯) | 原生數據 連線 or | 安全性系統管理員 授權:Microsoft 365 E5、Microsoft 365 A5 或任何其他 Microsoft Defender 全面偵測回應 合格授權 |
| 適用於雲端的 Microsoft Defender | 原生數據 連線 or | 安全性讀取者 若要啟用雙向同步處理,訂用帳戶上需要參與者/安全性 管理員 角色。 |
| 適用於身分識別的 Microsoft Defender | 原生數據 連線 or | 安全性系統管理員 授權:適用於身分識別的 Microsoft Defender |
| 適用於 Office 365 的 Microsoft Defender | 原生數據 連線 or | 安全性系統管理員 授權:適用於 Office 365 的 Microsoft Defender 方案 2 |
| Office 365 | 原生數據 連線 or | 安全性系統管理員 |
| 適用於 IoT 的 Microsoft Defender | 使用IoT中樞的訂用帳戶參與者 | |
| Microsoft Defender for Cloud Apps | 原生數據 連線 or | 安全性系統管理員 授權:適用於雲端的 Microsoft Defender 應用程式 |
| 適用於端點的 Microsoft Defender | 原生數據 連線 or | 安全性系統管理員 授權:適用於端點的 Microsoft Defender |
| 透過 Azure 監視器代理程式 Windows 安全性 事件 (AMA) | 使用 Agent 的原生數據 連線 or | Log Analytics 工作區的讀取/寫入 |
| Syslog | 使用 Agent 的原生數據 連線 or | 讀取/寫入Log Analytics工作區 |
步驟 1:開啟數據連接器
使用下列建議開始設定資料連接器:
著重於設定免費數據源以內嵌:
Azure 活動記錄:擷取 Azure 活動記錄對於 讓 Sentinel 在整個環境中提供單一窗格的玻璃檢視非常重要 。
Office 365 稽核記錄,包括所有 SharePoint 活動、Exchange 系統管理員活動和 Teams。
安全性警示,包括來自 適用於雲端的 Microsoft Defender、Microsoft Defender 全面偵測回應、適用於 Office 365 的 Microsoft Defender、適用於身分識別的 Microsoft Defender 和的警示適用於端點的 Microsoft Defender:
將安全性警示擷取至 Sentinel,可讓它成為整個環境的「事件管理中央窗格」。
事件調查會在 Sentinel 中啟動,如果需要更深入的分析,應該繼續在 Microsoft Defender 入口網站或 適用於雲端的 Defender。
注意
如果您已啟用 Microsoft Defender 全面偵測回應 連接器,則會自動建立 365 Defender 事件與 Sentinel 之間的雙向同步處理。 為了避免為相同的警示建立重複的事件,我們建議客戶關閉 Microsoft Defender 全面偵測回應 整合產品的所有 Microsoft 事件建立規則(適用於端點的 Defender、適用於身分識別的 Defender、適用於 Office 365 的 Defender、適用於雲端的 Defender應用程式和 Microsoft Entra ID Protection。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 事件和 Microsoft 事件建立規則。
適用於雲端的 Microsoft Defender 應用程式警示。
如需詳細資訊,請參閱 免費數據源。
下表列出您可以在 Microsoft Sentinel 中啟用的免費數據源:
提示
如需最新 Sentinel 定價的詳細資訊,請參閱 Microsoft Sentinel 定價。
Microsoft Sentinel 數據連接器 免費數據類型 Azure 活動記錄 AzureActivity Microsoft Entra ID Protection SecurityAlert (IPC) Office 365 OfficeActivity (SharePoint)
OfficeActivity (Exchange)
OfficeActivity (Teams)適用於雲端的 Microsoft Defender SecurityAlert (適用於雲端的 Defender) 適用於 IoT 的 Microsoft Defender SecurityAlert (適用於 IoT 的 Defender) Microsoft Defender 全面偵測回應 (部分機器翻譯) SecurityIncident
SecurityAlert適用於端點的 Microsoft Defender SecurityAlert (Microsoft Defender 進階威脅防護 (MDATP)) 適用於身分識別的 Microsoft Defender SecurityAlert (Azure 進階威脅防護 (AATP)) Microsoft Defender for Cloud Apps SecurityAlert (適用於雲端的 Defender Apps) 若要提供更廣泛的監視和警示涵蓋範圍,請專注於下列數據連接器:
注意
從區段中所列的來源擷取數據的費用
Microsoft Entra ID
Microsoft Defender 全面偵測回應 連接器
如果需要下列任何一項,請將 Microsoft Defender 全面偵測回應 記錄傳送至 Sentinel:
利用 Sentinel 的融合警示。
- 融合會讓多個產品的數據源相互關聯,以偵測整個環境的多階段攻擊。
保留時間比 Microsoft Defender 全面偵測回應 中提供的保留時間長。
適用於端點的 Microsoft Defender 所提供的內建補救未涵蓋自動化。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 中的補救動作。
如果部署在 Azure 中,請使用下列連接器,將這些資源的診斷記錄傳送至 Sentinel:
- Azure 防火牆
- Azure 應用程式閘道
- Keyvault
- Azure Kubernetes Service
- Azure SQL
- 網路安全性群組
- Azure-Arc 伺服器
建議的方法是設定 Azure 原則,要求將其記錄轉送至基礎Log Analytics工作區。 如需詳細資訊,請參閱使用 Azure 原則 大規模建立診斷設定。
針對裝載於內部部署或其他雲端中需要收集其記錄的虛擬機,請使用:
- 使用 AMA Windows 安全性 事件
- 使用舊版代理程式的安全性事件
- 透過適用於端點的 Defender 事件(適用於伺服器)
- Syslog 連接器
針對產生一般事件格式 (CEF) 或 SYSLOG 記錄的網路虛擬裝置或其他內部部署來源,請使用下列連接器:
- 透過 AMA 的通用事件格式 (CEF)
- 透過舊版代理程式常見的事件格式 (CEF)
如需詳細資訊, 請參閱將記錄轉寄站部署至內嵌 Syslog 和 CEF 記錄至 Microsoft Sentinel。
請考慮從舊版代理程式移轉至新的整合 Azure 監視器代理程式指引。 如需詳細資訊,請參閱 從舊版代理程式到 Azure 監視器代理程式的 MIgrat。
在內容中樞中搜尋其他裝置的軟體即服務 (SaaS) 應用程式,這些應用程式需要將記錄傳送至 Sentinel。 如需詳細資訊,請參閱 探索及管理現用的 Microsoft Sentinel 內容 。
步驟 2:啟用使用者實體行為分析
在 Sentinel 中設定數據連接器之後,請務必啟用 使用者實體行為分析 ,以識別可能導致網路釣魚入侵和最終攻擊的可疑行為,例如勒索軟體。 通常,透過 UEBA 的異常偵測是早期偵測零日惡意探索的最佳方法。
所需的資料來源:
- Active Directory 記錄 (適用於身分識別的 Microsoft Defender)
- Microsoft Entra ID
- 稽核記錄
- Azure 活動
- 安全性事件
- 登入記錄檔
使用 UEBA 可讓 Microsoft Sentinel 跨時間和對等群組建立組織實體的行為配置檔,以識別異常活動。 這增加了公用程式有助於判斷資產是否遭到入侵的探險。 因為它識別了對等群組關聯,這也有助於確定上述妥協的爆炸半徑。
步驟 3:啟用分析規則
Sentinel 的大腦來自分析規則。 這些規則是您設定為告訴 Sentinel 向事件發出警示,其中包含一組您認為很重要的條件。 Sentinel 做出的現用決策是以用戶實體行為分析 (UEBA) 和跨多個數據源的數據相互關聯為基礎。
注意
如果您已啟用 Microsoft Defender 全面偵測回應 連接器,則會自動建立 365 Defender Incidents 與 Sentinel 之間的雙向同步處理。 為了避免為相同的警示建立重複的事件,我們建議客戶關閉所有 Microsoft 事件建立規則以進行 Microsoft Defender 全面偵測回應 整合的產品(適用於端點的 Defender、適用於身分識別的 Defender、適用於 Office 365 的 Defender、適用於雲端的 Defender應用程式和 Microsoft Entra ID Protection。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 事件和 Microsoft 事件建立規則。
Microsoft Sentinel 預設會啟用 Fusion Advanced 多階段攻擊偵測分析規則,以自動識別多階段攻擊。 利用在網路殺傷鏈上觀察到的異常行為和可疑活動事件,Microsoft Sentinel 會產生事件,讓您以高度信賴度地查看其中兩個或更多警示活動的入侵事件。
融合警示技術會將廣泛的數據訊號點與延伸機器學習 (ML) 分析相互關聯,以協助判斷已知、未知和新興的威脅。 例如,Fusion 偵測可以採用針對勒索軟體案例建立的異常規則範本和排程查詢,並將其與來自 Microsoft Security Suite 產品的警示配對:
- Microsoft Entra ID Protection
- Microsoft Defender for Cloud
- 適用於 IoT 的 Microsoft Defender
- Microsoft Defender 全面偵測回應 (部分機器翻譯)
- Microsoft Defender for Cloud Apps
- 適用於端點的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender
- 適用於 Office 365 的 Microsoft Defender
默認啟用的另一組現用規則是 Sentinel 中的異常規則。 這些是以 機器學習 模型和 UEBA 為基礎,這些模型和 UEBA 會訓練工作區中的數據,以標示使用者、主機和其他使用者之間的異常行為。 網路釣魚攻擊通常會導致執行步驟,例如本機或雲端帳戶操作/控制或惡意腳本執行。 例外規則完全符合這些類型的活動:
檢閱每個規則的異常規則和異常分數閾值。 例如,如果您觀察到誤判,請考慮遵循 Tune 異常規則中所述的步驟來複製規則並修改閾值。
檢閱和修改 Fusion 和 Anomaly 規則之後,請啟用現用的 Microsoft 威脅情報分析規則。 確認 此規則符合您的記錄數據與 Microsoft 產生的威脅情報。 Microsoft 擁有龐大的威脅情報數據存放庫,而此分析規則會使用其中一部分來產生高逼真度警示和事件,讓 SOC(安全性作業中心)小組進行分級。
啟用融合、異常和威脅情報分析規則后,您應該執行 MITRE Att&ck 交叉行走 ,以協助您決定要啟用的剩餘分析規則,並完成實作成熟的 XDR(擴充偵測和回應)程式。 這可讓您偵測並回應整個攻擊生命週期。
MITRE Att&ck 研究部門建立了 MITRE 方法,並提供它作為 Microsoft Sentinel 的一部分,以簡化您的實作。 您應該確定您有分析規則,以延展攻擊向量方法的長度和廣度。 首先,檢閱現有 [使用中] 分析規則所涵蓋的 MITRE 技術,然後在 [模擬] 下拉式清單中選取 [分析規則範本] 和 [異常規則]。 現在,它會顯示您目前涵蓋的敵人戰術和/或技術,以及您應該考慮啟用來改善涵蓋範圍的位置。 例如,若要偵測潛在的網路釣魚攻擊,請檢閱 網路釣魚技術的分析規則範本 ,並優先啟用專門查詢您上線至 Sentinel 之數據源的規則。
一般而言,人為操作的勒索軟體攻擊有五個階段,而網路釣魚屬於初始存取,如下列螢幕快照所示。 繼續進行其餘步驟,以使用適當的分析規則涵蓋整個終止鏈結:
- 初始存取
- 認證竊取
- 橫向移動
- 持續性
- 防禦規避
- 外洩 (這是偵測到勒索軟體本身的位置)
總而言之,開啟 Sentinel 的分析規則時,請優先透過連線的數據源、組織風險和 MITRE 策略來啟用。
建議的訓練
使用資料連接器,將資料連接至 Microsoft Sentinel
| 訓練 | 使用數據連接器將數據 連線 至 Microsoft Sentinel |
|---|---|
|
連線記錄資料的主要方法是使用 Microsoft Sentinel 所提供的資料連接器。 此課程模組提供可用資料連接器的總覽。 |
將記錄連線至 Microsoft Sentinel
| 訓練 | 將記錄連線至 Microsoft Sentinel |
|---|---|
|
在內部部署和在多個雲端,跨所有使用者、裝置、應用程式及基礎結構,將雲端規模的資料連線至 Microsoft Sentinel。 |
使用「行為分析」識別威脅
| 訓練 | 使用行為分析識別威脅 |
|---|---|
|
連線記錄資料的主要方法是使用 Microsoft Sentinel 所提供的資料連接器。 此課程模組提供可用資料連接器的總覽。 |
下一步
繼續進行步驟 4 以回應事件。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應