步驟 3： 在 Sentinel Microsoft內嵌數據源並設定事件偵測

• 適用於:

  Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

完成設計和實作 Microsoft Sentinel 工作區之後，請繼續內嵌數據源並設定事件偵測。

Microsoft Sentinel 中的解決方案提供整合方式，讓您透過單一部署步驟取得工作區中的Microsoft Sentinel 內容，例如數據連接器、活頁簿、分析和自動化。

數據連接器已設定為啟用資料擷取至工作區。 啟用將關鍵數據點內嵌至 Microsoft sentinel 之後，也必須啟用使用者和實體行為分析 （UEBA） 和分析規則來擷取異常和惡意活動。 分析規則會指示警示和事件在Microsoft Sentinel 實例中產生的方式。 透過實體對應為您的環境和組織需求量身打造分析規則，可讓您產生高精確度事件並減少警示疲勞。

如果您已將工作區上線至 統一的安全性作業平臺，則此步驟中的程式可在 Azure 和 Defender 入口網站中取得。

開始之前

確認開啟數據連接器所需的安裝方法、角色和授權。 如需詳細資訊，請參閱尋找您的 Microsoft Sentinel 資料連接器。

下表摘要說明擷取 Azure 和 Microsoft 服務 Microsoft Sentinel 數據連接器所需的必要條件：

資源類型	安裝方法	需要角色/許可權/授權
Microsoft Entra ID	原生數據連接器	安全性系統管理員 登入記錄需要Microsoft Entra ID P1 或 P2 授權 其他記錄不需要 P1 或 P2
Microsoft Entra ID Protection	原生數據連接器	安全性系統管理員 授權：Microsoft Entra ID P2
Azure 活動	Azure 原則	訂用帳戶所需的擁有者角色
Microsoft Defender 全面偵測回應 (部分機器翻譯)	原生數據連接器	安全性系統管理員 授權：Microsoft 365 E5、Microsoft 365 A5 或任何其他 Microsoft Defender 全面偵測回應 合格授權
適用於雲端的 Microsoft Defender	原生數據連接器	安全性讀取者 若要啟用雙向同步處理，訂用帳戶上需要參與者/安全性系統管理員角色。
適用於身分識別的 Microsoft Defender	原生數據連接器	安全性系統管理員 授權：適用於身分識別的 Microsoft Defender
適用於 Office 365 的 Microsoft Defender	原生數據連接器	安全性系統管理員 授權：適用於 Office 365 的 Microsoft Defender 方案 2
Microsoft 365	原生數據連接器	安全性系統管理員
適用於 IoT 的 Microsoft Defender (部分機器翻譯)		使用IoT中樞的訂用帳戶參與者
適用於雲端應用程式的 Microsoft Defender	原生數據連接器	安全性系統管理員 授權：適用於雲端的 Microsoft Defender 應用程式
適用於端點的 Microsoft Defender	原生數據連接器	安全性系統管理員 授權：適用於端點的 Microsoft Defender
Windows 安全性事件 透過 Azure 監控器代理程式 （AMA）	使用 Agent 的原生數據連接器	Log Analytics 工作區的讀取/寫入
Syslog	使用 Agent 的原生數據連接器	讀取/寫入Log Analytics工作區

步驟 1：安裝解決方案並開啟資料連接器

使用下列建議來開始安裝解決方案和設定數據連接器。 如需詳細資訊，請參閱

• Microsoft Sentinel 內容中樞目錄
• 探索和管理員Microsoft Sentinel 現用內容

設定免費數據源

首先，著重於設定要內嵌的免費數據源，包括：

• Azure 活動記錄：擷取 Azure 活動記錄對於 啟用Microsoft Sentinel 提供整個環境單一窗格的玻璃檢視非常重要 。

• Office 365 稽核記錄，包括所有 SharePoint 活動、Exchange 系統管理員活動和 Teams。

• 安全性警示，包括來自 適用於雲端的 Microsoft Defender、Microsoft Defender 全面偵測回應、適用於 Office 365 的 Microsoft Defender、適用於身分識別的 Microsoft Defender、和 適用於端點的 Microsoft Defender。

  如果您尚未將工作區上線至統一的安全性作業平臺，且正在 Azure 入口網站 中工作，將安全性警示內嵌至 Microsoft Sentinel，可讓 Azure 入口網站 成為整個環境事件管理的中央窗格。 在這種情況下，事件調查會在 sentinel Microsoft 開始，如果需要更深入的分析，則應該繼續在 Microsoft Defender 入口網站或 適用於雲端的 Defender。

  如需詳細資訊，請參閱 Microsoft Defender 全面偵測回應 事件和Microsoft事件建立規則。

• 適用於雲端的 Microsoft Defender Apps 警示。

如需詳細資訊，請參閱 Microsoft Sentinel 定價 和 免費數據源。

設定付費數據源

若要提供更廣泛的監視和警示涵蓋範圍，請專注於新增Microsoft Entra標識符和 Microsoft Defender 全面偵測回應 數據連接器。 從這些來源擷取數據需要付費。

如果需要下列其中一項，請務必將 Microsoft Defender 全面偵測回應 記錄傳送至Microsoft Sentinel：

• 上線至統一的安全性作業平臺，提供單一入口網站，以在 Microsoft Defender 中管理事件。
• Microsoft Sentinel 融合警示，讓多個產品的數據源相互關聯，以偵測整個環境的多階段攻擊。
• 保留時間比 Microsoft Defender 全面偵測回應 中提供的保留時間長。
• 適用於端點的 Microsoft Defender 所提供的內建補救未涵蓋自動化。

如需詳細資訊，請參閱

• 整合 Microsoft 365 Defender
• 將數據從 Microsoft Defender 全面偵測回應 連線到 sentinel Microsoft
• 將 Microsoft Entra 數據連線到 Microsoft Sentinel

根據您的環境設定數據源

本節說明您可能想要使用的數據源，視您環境中所使用的服務和部署方法而定。

案例	資料來源
Azure 服務	如果下列任何服務部署在 Azure 中，請使用下列連接器，將這些資源的診斷記錄傳送至 Microsoft Sentinel： - Azure 防火牆 - Azure 應用程式閘道 - Keyvault - Azure Kubernetes Service - Azure SQL - 網路安全性群組 - Azure-Arc 伺服器 建議您設定 Azure 原則，要求將其記錄轉送至基礎 Log Analytics 工作區。 如需詳細資訊，請參閱使用 Azure 原則 大規模建立診斷設定。
虛擬機器	針對裝載於內部部署或其他雲端的虛擬機，需要收集其記錄，請使用下列數據連接器： - 使用 AMA Windows 安全性 事件 - 透過 適用於端點 的 Defender 的事件（適用於伺服器） - Syslog
網路虛擬設備/內部部署來源	針對產生一般事件格式 （CEF） 或 SYSLOG 記錄的網路虛擬裝置或其他內部部署來源，請使用下列資料連接器： - 透過 AMA 的 Syslog - 透過 AMA 的通用事件格式 （CEF） 如需詳細資訊，請參閱 使用 Azure 監視器代理程式將 Syslog 和 CEF 訊息內嵌至 Microsoft Sentinel。

當您完成時，請在 Microsoft Sentinel 內容中樞 搜尋其他裝置和軟體即服務 （SaaS） 應用程式，要求將記錄傳送至 Microsoft Sentinel。

如需詳細資訊，請參閱 探索和管理Microsoft Sentinel 現用內容 。

步驟 2：啟用使用者實體行為分析

在 Microsoft Sentinel 中設定數據連接器之後，請務必啟用使用者實體行為分析，以識別可能導致網路釣魚入侵和最終攻擊，例如勒索軟體等可疑行為。 通常，透過 UEBA 的異常偵測是早期偵測零日惡意探索的最佳方法。

使用 UEBA 可讓Microsoft Sentinel 跨時間和對等群組來建立組織實體的行為配置檔，以識別異常活動。 這增加了公用程式有助於判斷資產是否遭到入侵的探險。 因為它識別了對等群組關聯，這也有助於確定上述妥協的爆炸半徑。

如需詳細資訊，請參閱 使用實體行為分析識別威脅

步驟 3：啟用分析規則

Microsoft Sentinel 的大腦來自分析規則。 這些規則是您設定為告訴Microsoft Sentinel，以一組您認為很重要的條件警示事件。 Sentinel 所做出的現用 Microsoft決策是以用戶實體行為分析 （UEBA） 和跨多個數據源的數據相互關聯為基礎。

開啟Microsoft Sentinel 的分析規則時，請優先透過連線的數據源、組織風險和 MITRE 策略來啟用。

避免重複的事件

如果您啟用 Microsoft Defender 全面偵測回應 連接器，則會自動建立 365 Defender 事件與 Microsoft Sentinel 之間的雙向同步處理。

若要避免為相同的警示建立重複的事件，建議您關閉所有 Microsoft Defender 全面偵測回應 Microsoft事件建立規則，包括適用於端點的 Defender、適用於身分識別的 Defender、適用於 Office 365 的 Defender、適用於雲端的 Defender應用程式和Microsoft Entra ID Protection。

如需詳細資訊，請參閱 Microsoft Defender 全面偵測回應 事件和Microsoft事件建立規則。

使用融合警示

根據預設，Microsoft Sentinel 可讓 Fusion 進階多階段攻擊偵測 分析規則自動識別多階段攻擊。

使用在網路殺傷鏈上觀察到的異常行為和可疑活動事件，Microsoft Sentinel 會產生事件，讓您以高度信賴度查看其中兩個或多個警示活動的入侵事件。

融合警示技術會將廣泛的數據訊號點與延伸機器學習 （ML） 分析相互關聯，以協助判斷已知、未知和新興的威脅。 例如，融合偵測可以採用針對勒索軟體案例建立的異常規則範本和排程查詢，並將其與來自安全性套件服務Microsoft警示配對，例如：

• Microsoft Entra ID Protection
• Microsoft Defender for Cloud
• 適用於 IoT 的 Microsoft Defender
• Microsoft Defender 全面偵測回應 (部分機器翻譯)
• Microsoft Defender for Cloud Apps
• 適用於端點的 Microsoft Defender
• 適用於身分識別的 Microsoft Defender
• 適用於 Office 365 的 Microsoft Defender

使用異常規則

Microsoft Sentinel 異常規則可用，且預設為啟用。 異常規則是以機器學習模型和 UEBA 為基礎，這些模型會定型工作區中的數據，以標示使用者、主機和其他使用者之間的異常行為。

網路釣魚攻擊通常會導致執行步驟，例如本機或雲端帳戶操作/控制或惡意腳本執行。 異常規則完全符合這些類型的活動，例如：

• 異常帳戶存取移除
• 建立異常帳戶
• 異常帳戶刪除
• 異常帳戶操作
• 例外程式代碼執行 （UEBA）
• 異常數據解構
• 異常防禦機制修改
• 異常失敗的登入
• 異常密碼重設
• 授與異常許可權
• 異常登入

檢閱每個規則的異常規則和異常分數閾值。 例如，如果您觀察到誤判，請考慮遵循 Tune 異常規則中所述的步驟來複製規則並修改閾值。

使用Microsoft威脅情報分析規則

檢閱和修改融合和異常規則之後，請啟用現用Microsoft威脅情報分析規則。 確認 此規則符合您的記錄數據與Microsoft產生的威脅情報。 Microsoft具有龐大的威脅情報數據存放庫，而此分析規則會使用其中一部分來產生高精確度的警示和事件，讓 SOC（安全性作業中心）小組進行分級。

進行 MITRE Att&ck 交叉行走

啟用融合、異常和威脅情報分析規則后，進行 MITRE Att&ck 交叉行走 ，以協助您決定要啟用的剩餘分析規則，並完成實作成熟的 XDR（延伸偵測和回應）程式。 這可讓您偵測並回應整個攻擊生命週期。

MITRE Att&ck 研究部門建立了 MITRE 方法，並在Microsoft Sentinel 中提供，以簡化您的實作。 請確定您有可延展攻擊向量方法長度和廣度的分析規則。

1. 檢閱現有使用中分析規則所涵蓋的 MITRE 技術。

2. 在 [模擬] 下拉式清單中選取 [分析規則範本] 和 [異常規則]。 這會顯示您的對手策略和/或技術涵蓋的位置，以及您應該考慮啟用以改善涵蓋範圍可用的分析規則。

   例如，若要偵測潛在的網路釣魚攻擊，請檢閱網路釣魚技術的分析規則範本，並優先啟用特別查詢您上線至 Sentinel Microsoft數據源的規則。

   一般而言，人為操作的勒索軟體攻擊有五個階段，而 網路釣魚 屬於 初始存取，如下圖所示：

   Defender 入口網站 （預覽）

   

   Azure 入口網站

   

3. 繼續執行其餘步驟，以使用適當的分析規則涵蓋整個終止鏈結：

   1. 初始存取
   2. 認證竊取
   3. 橫向移動
   4. 持續性
   5. 防禦規避
   6. 外洩 （這是偵測到勒索軟體本身的位置）

建議的訓練

訓練內容目前未涵蓋統一的安全性作業平臺。

使用資料連接器，將資料連接至 Microsoft Sentinel

訓練	使用數據連接器將數據連線到 sentinel Microsoft
	連線記錄資料的主要方法是使用 Microsoft Sentinel 所提供的資料連接器。 此課程模組提供可用資料連接器的總覽。

開始 >

將記錄連線至 Microsoft Sentinel

訓練	將記錄連線至 Microsoft Sentinel
	在內部部署和在多個雲端，跨所有使用者、裝置、應用程式及基礎結構，將雲端規模的資料連線至 Microsoft Sentinel。

開始 >

使用「行為分析」識別威脅

訓練	使用行為分析識別威脅
	連線記錄資料的主要方法是使用 Microsoft Sentinel 所提供的資料連接器。 此課程模組提供可用資料連接器的總覽。

開始 >

下一步

繼續進行步驟 4 以回應事件。