Vytváření a správa vlastních pravidel zjišťování

Poznámka

Chcete si Microsoft 365 Defender prožít? Přečtěte si další informace o tom, jak můžete vyhodnotit a pilotní Microsoft 365 Defender.

Platí pro:

  • Microsoft 365 Defender
  • Microsoft Defender for Endpoint

Vlastní pravidla zjišťování jsou pravidla, která můžete navrhovat a vylepšovat pomocí pokročilých loveckých dotazů. Tato pravidla umožňují aktivně sledovat různé události a stavy systému, včetně podezření na porušení předpisů a chybně nakonfigurovaných koncových bodů. Můžete je nastavit tak, aby se spouštěli v pravidelných intervalech, vygenerování upozornění a přijímání akcí odpovědí, kdykoli se shodují.

Požadovaná oprávnění pro správu vlastních zjišťování

Pokud chcete spravovat vlastní zjišťování, musíte mít přiřazenou jednu z těchto rolí:

  • Správce zabezpečení: Uživatelé s touto Azure Active Directory ostatních uživatelů mohou spravovat nastavení zabezpečení na Microsoft 365 Defender portálu a dalších portálech a službách.

  • Operátor zabezpečení: Uživatelé s touto Azure Active Directory mohou spravovat upozornění a mít globální přístup jen pro čtení k funkcím souvisejícím se zabezpečením, včetně všech informací na Microsoft 365 Defender portálu. Tato role je dostatečná pro správu vlastních zjišťování jenom v případě, že je řízení přístupu založené na rolích (RBAC) v Programu Microsoft Defender pro koncový bod vypnuté. Pokud máte nakonfigurovaný RBAC, potřebujete taky oprávnění ke správě nastavení zabezpečení pro Defender pro koncový bod.

Vlastní zjišťování, která se vztahují na data z konkrétních Microsoft 365 Defender, můžete taky spravovat, pokud pro ně máte oprávnění. Pokud máte oprávnění ke správě jenom pro Microsoft 365 Defender pro Office, Email můžete například vytvářet vlastní zjišťování pomocí tabulek, ale ne Identity tabulek.

Pokud chcete spravovat požadovaná oprávnění, může globální správce :

  • Přiřaďte roli správce zabezpečení nebo operátora zabezpečení v Centrum pro správu Microsoftu 365 RoleSoudce zabezpečení > .
  • Zkontrolujte nastavení RBAC pro Microsoft Defender pro koncový bod v Microsoft 365 Defender v Nastavení PermissionsRoles.Check RBAC settings for Microsoft Defender for Endpoint in Microsoft 365 Defender under Nastavení > PermissionsRoles > . Vyberte odpovídající roli a přiřaďte oprávnění ke správě nastavení zabezpečení.

Poznámka

Pokud chcete spravovat vlastní zjišťování, budou mít operátoři zabezpečení oprávnění ke správě nastavení zabezpečení v Programu Microsoft Defender pro koncový bod, pokud je zapnutá funkce RBAC.

Vytvoření vlastního pravidla zjišťování

1. Připravte dotaz.

Na Microsoft 365 Defender přejděte na Rozšířené hledání a vyberte existující dotaz nebo vytvořte nový dotaz. Při použití nového dotazu spusťte dotaz, abyste identifikovali chyby a porozuměli možným výsledkům.

Důležité

Aby služba nevracel příliš mnoho upozornění, je každé pravidlo omezeno na generování jenom 100 upozornění při každém spuštění. Před vytvořením pravidla vylepšete dotaz, abyste se vyhnuli upozorněním na běžnou každodenní aktivitu.

Povinné sloupce ve výsledcích dotazu

Pokud chcete vytvořit vlastní pravidlo zjišťování, musí dotaz vrátit následující sloupce:

  • Timestamp– slouží k nastavení časového razítka pro vygenerovaná upozornění.
  • ReportId– umožňuje vyhledávání původních záznamů
  • Jeden z následujících sloupců, které identifikují konkrétní zařízení, uživatele nebo poštovní schránky:
    • DeviceId
    • DeviceName
    • RemoteDeviceName
    • RecipientEmailAddress
    • SenderFromAddress (odesílatel obálky nebo Return-Path adresa)
    • SenderMailFromAddress (adresa odesílatele zobrazená e-mailovým klientem)
    • RecipientObjectId
    • AccountObjectId
    • AccountSid
    • AccountUpn
    • InitiatingProcessAccountSid
    • InitiatingProcessAccountUpn
    • InitiatingProcessAccountObjectId

Poznámka

Při přidání nových tabulek do rozšířeného schématu hledání se přidá podpora pro další entity.

Tyto běžné sloupce obvykle vracejí jednoduché dotazy, project summarize například ty, které k přizpůsobení nebo agregaci výsledků používají operátor or.

Existují různé způsoby, jak zajistit, aby složitější dotazy vrátily tyto sloupce. Pokud například dáváte přednost agregaci a počítání podle entit pod sloupcem, jako je , ReportId Timestamp můžete se vrátit a DeviceIdzískat ji z poslední události zahrnující každou jedinečnou událost DeviceId.

Důležité

Vyhněte se filtrování vlastních zjišťování pomocí sloupce Timestamp . Data používaná pro vlastní zjišťování jsou předem filtrovaná na základě četnosti zjišťování.

Následující ukázkový dotaz spočítá počet jedinečných zařízení (DeviceId) s antivirovou detekcí a pomocí tohoto počtu najde jenom zařízení s více než pěti detekcemi. Pokud chcete vrátit nejnovější a Timestamp odpovídající , použije summarize operátor s funkcí arg_max ReportId.

DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

Tip

Pro lepší výkon dotazů nastavte časový filtr, který odpovídá zamýšlené frekvenci spuštění pravidla. Vzhledem k tomu, že nejméně časté spuštění je každých 24 hodin, bude filtrování za poslední den zahrnovat všechna nová data.

2. Vytvořte nové pravidlo a zadejte podrobnosti upozornění.

Pomocí dotazu v editoru dotazů vyberte Vytvořit pravidlo zjišťování a zadejte následující podrobnosti upozornění:

  • Název zjišťování – název pravidla zjišťování; by měla být jedinečná
  • Četnost – interval pro spuštění dotazu a přijetí akce. Další pokyny najdete níže.
  • Název upozornění – název zobrazený s upozorněními aktivované pravidlem; by měla být jedinečná
  • Závažnost – potenciální riziko součásti nebo aktivity identifikované pravidlem
  • Kategorie – součást hrozby nebo aktivita identifikované pravidlem
  • Technologie MITRE ATT&CK – jedna nebo více technik útoku identifikovaných pravidlem, jak je dokumentované v&CK. Tato část je skrytá pro určité kategorie upozornění, včetně malwaru, ransomwaru, podezřelé aktivity a nežádoucího softwaru.
  • Popis – další informace o komponentě nebo aktivitě identifikované pravidlem
  • Doporučené akce – další akce, které můžou respondenti provést v reakci na upozornění

Četnost pravidel

Když uložíte nové pravidlo, spustí se a vyhledá shodu z posledních 30 dnů dat. Pravidlo se pak znovu spustí v pevných intervalech a použije se doba trvání zpětného vyhledávání na základě četnosti, kterou zvolíte:

  • Každých 24 hodin – běží každých 24 hodin a kontroluje data z posledních 30 dnů.
  • Každých 12 hodin – běží každých 12 hodin a kontroluje data z posledních 24 hodin.
  • Každé 3 hodiny – spouští se každé 3 hodiny a kontroluje data z posledních 6 hodin.
  • Každou hodinu – běží každou hodinu a kontroluje data z posledních 2 hodin.

Když upravujete pravidlo, spustí se s použitými změnami v příští době běhu naplánované podle nastavené frekvence.

Tip

Porovná časové filtry v dotazu s dobou trvání zpětného vyhledávání. Výsledky mimo dobu trvání zpětného vyhledávání se ignorují.

Vyberte frekvenci, která odpovídá tomu, jak přesně chcete monitorovat zjišťování. Zvažte schopnost vaší organizace reagovat na upozornění.

3. Zvolte ovlivněné entity.

Určete sloupce ve výsledcích dotazu tam, kde očekáváte, že najdete hlavní ovlivněnou nebo ovlivněnou entitu. Dotaz může například vrátit adresy odesílatele (SenderFromAddress nebo SenderMailFromAddress) a příjemce (RecipientEmailAddress). Určení, který z těchto sloupců představuje hlavní ovlivněnou entitu, pomáhá službě agregovat relevantní upozornění, korelovat incidenty a akce cílové odpovědi.

Pro každý typ entity (poštovní schránka, uživatel nebo zařízení) můžete vybrat jenom jeden sloupec. Sloupce, které dotaz nevrátil, nelze vybrat.

4. Zadejte akce.

Vaše vlastní pravidlo zjišťování může automaticky provádět akce na zařízeních, souborech nebo uživatelích vrácených dotazem.

Akce na zařízeních

Tyto akce se použijí na zařízení ve DeviceId sloupci výsledků dotazu:

Akce u souborů

Pokud je tato možnost vybraná, můžete použít akci Karanténní soubor SHA1u souborů ve výsledcích dotazu , InitiatingProcessSHA1nebo InitiatingProcessSHA256 SHA256ve sloupci . Tato akce odstraní soubor z aktuálního umístění a umístí kopii do karantény.

Akce u uživatelů

Pokud je tato možnost vybraná, AccountObjectIdakce Označit uživatele jako ohroženou se u uživatelů ve výsledcích dotazu nebo ve sloupci nebo InitiatingProcessAccountObjectId``RecipientObjectId ve sloupci . Tato akce nastaví úroveň rizika uživatelů na "vysokou" v Azure Active Directory, což aktivuje odpovídající zásady ochrany identity.

Poznámka

Akce povolit nebo blokovat pro vlastní pravidla zjišťování není v současné době v Microsoft 365 Defender.

5. Nastavte obor pravidla.

Nastavte obor a určete, na která zařízení se pravidlo vztahuje. Obor ovlivňuje pravidla, která kontroluují zařízení a neovlivňuje pravidla, která kontroluují jenom poštovní schránky a uživatelské účty nebo identity.

Při nastavování oboru můžete vybrat:

  • Všechna zařízení
  • Skupiny konkrétních zařízení

Dotazovat se budou jenom data ze zařízení v oboru. Akce se taky budou provádět jenom na těchto zařízeních.

6. Zkontrolujte a zapněte pravidlo.

Po prošetřování pravidla ho uložte výběrem možnosti Vytvořit. Pravidlo vlastního zjišťování se okamžitě spustí. Spustí se znovu na základě nakonfigurované četnosti pro kontrolu shody, generování upozornění a akce odezvy.

Důležité

Vlastní detekce by měly být pravidelně kontrolovány z oblasti efektivity a efektivity. Abyste měli jistotu, že vytváříte zjišťování, která aktivují skutečná upozornění, udělejte si čas na to, abyste si prohlédněte stávající vlastní zjišťování podle pokynů v tématu Správa existujících vlastních pravidel zjišťování.

Zachováváte si kontrolu nad širší nebo specifickou škálou vlastních zjišťování, takže jakákoli falešná upozornění vygenerovaná vlastními detekcemi můžou naznačovat, že je potřeba upravit určité parametry pravidel.

Správa existujících vlastních pravidel zjišťování

Můžete zobrazit seznam existujících vlastních pravidel zjišťování, zkontrolovat jejich předchozí spuštění a zkontrolovat upozornění, která spustily. Můžete taky spustit pravidlo na vyžádání a upravit ho.

Tip

Upozornění vyvolaná vlastními detekcemi jsou dostupná prostřednictvím upozornění a rozhraní API incidentů. Další informace najdete v tématu Podporovaná Microsoft 365 Defender ROZHRANÍ API.

Zobrazení existujících pravidel

Pokud chcete zobrazit všechna existující vlastní pravidla zjišťování, přejděte na Pravidla zjišťování HuntingCustom > . Na stránce jsou uvedena všechna pravidla s následujícími informacemi o spuštění:

  • Poslední spuštění – kdy se pravidlo naposledy spouštěl, aby bylo kontrolovat shody dotazů a generovat upozornění
  • Stav posledního spuštění – zda pravidlo běželo úspěšně
  • Další spuštění – další plánované spuštění
  • Stav – jestli je pravidlo zapnuté nebo vypnuté

Zobrazení podrobností pravidla, úpravy pravidla a spuštění pravidla

Pokud chcete zobrazit úplné informace o vlastním pravidlu zjišťování, přejděte na Pravidla rozpoznávání HuntingCustom > a vyberte název pravidla. Potom můžete zobrazit obecné informace o pravidle, včetně informací o jeho stavu spuštění a oboru. Na stránce je taky seznam aktivované výstrahy a akce.

Stránka s podrobnostmi o pravidlech vlastního zjišťování na Microsoft 365 Defender portálu
Podrobnosti vlastního pravidla zjišťování

Na pravidle můžete taky udělat následující akce z této stránky:

  • Spustit – pravidlo spusťte okamžitě. Tím se také obnoví interval dalšího spuštění.
  • Upravit – upravte pravidlo beze změny dotazu.
  • Úprava dotazu – úprava dotazu v rozšířeném hledání
  • Zapnout / Vypnout – povolte pravidlo nebo ho zastavte v jeho spuštění.
  • Odstranit – vypněte pravidlo a odeberte ho.

Zobrazení a správa aktivované výstrahy

Na obrazovce podrobností pravidla (HuntingCustom > detections > [Název pravidla]) přejděte na Aktivovaná upozornění, která uvádí upozornění vygenerovaná shodami s pravidlem. Výběrem upozornění zobrazíte podrobné informace o tomto upozornění a udělejte následující akce:

  • Správa upozornění nastavením jeho stavu a klasifikace (pravda nebo nepravda)
  • Propojení upozornění s incidentem
  • Spuštění dotazu, který spustil upozornění při rozšířeném hledání

Zkontrolovat akce

Na obrazovce podrobností pravidla (HuntingCustom > detections > [Název pravidla]) přejděte na Aktivované akce, kde jsou uvedené akce, které jsou na základě shody s pravidlem.

Tip

Pokud chcete rychle zobrazit informace a provést akci u položky v tabulce, použijte sloupec výběru [✓] v levé části tabulky.

Poznámka

Některé sloupce v tomto článku nemusí být dostupné v programu Microsoft Defender for Endpoint. Zapnutím Microsoft 365 Defender hledání hrozeb pomocí dalších zdrojů dat. Pokročilé pracovní postupy pro hledání můžete přesunout z Microsoft Defenderu pro koncový bod do Microsoft 365 Defender podle pokynů v článku Migrace pokročilých loveckých dotazů z Microsoft Defenderu pro koncový bod.

Viz také