Integrovaná detekce hrozeb
Poznámka
Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.
Po připojení zdrojů dat k Microsoft Sentinelu budete chtít být upozorněni, když dojde k něčemu podezřelému. Proto Microsoft Sentinel poskytuje integrované šablony, které vám pomůžou vytvářet pravidla detekce hrozeb.
Šablony pravidel byly navrženy týmem odborníků na zabezpečení a analytiky Microsoftu na základě známých hrozeb, běžných vektorů útoku a řetězů eskalace podezřelých aktivit. Pravidla vytvořená z těchto šablon budou ve vašem prostředí automaticky vyhledávat všechny aktivity, které vypadají podezřele. Mnoho šablon je možné přizpůsobit tak, aby hledaly aktivity nebo je vyfiltroval podle vašich potřeb. Výstrahy vygenerované těmito pravidly vytvoří incidenty, které můžete přiřadit a prošetřit ve svém prostředí.
Tento článek vám pomůže pochopit, jak detekovat hrozby pomocí služby Microsoft Sentinel:
- Použití předsudků detekce hrozeb
- Automatizace reakcí na hrozby
Zobrazení integrovaných detekcí
Pokud chcete zobrazit všechna analytická pravidla a detekce v Microsoft Sentinelu, přejděte na šablony > analytických pravidel. Tato karta obsahuje všechna předdefinová pravidla služby Microsoft Sentinel.
Mezi integrované detekce patří:
| Typ pravidla | Description |
|---|---|
| Zabezpečení Microsoftu | Šablony zabezpečení Microsoftu automaticky vytvářejí incidenty Microsoft Sentinelu z výstrah generovaných v jiných řešeních zabezpečení Microsoftu v reálném čase. Pravidla zabezpečení od Microsoftu můžete použít jako šablonu k vytvoření nových pravidel s podobnou logikou. Další informace o pravidlech zabezpečení najdete v tématu Automatické vytváření incidentů z výstrah zabezpečení společnosti Microsoft. |
| Fusion (některé detekce ve verzi Preview) |
Microsoft Sentinel používá fúzní korelační modul se škálovatelnými algoritmy strojového učení k detekci pokročilých multistage útoků tím, že koreluje mnoho výstrah a událostí s nízkou věrností napříč několika produkty do vysoce věrných a řešitelných incidentů. Fúze je ve výchozím nastavení povolená. Vzhledem k tomu, že logika je skrytá a proto není přizpůsobitelná, můžete pomocí této šablony vytvořit pouze jedno pravidlo. Fúzní modul může také korelovat výstrahy vytvořené na základě plánovaných analytických pravidel s výstrahami z jiných systémů a výsledkem jsou vysoce věrné incidenty. |
| Analýza chování ML strojového učení | ML analýzy chování jsou založené na proprietárních algoritmech strojového učení Microsoftu, takže nevidíte interní logiku toho, jak fungují a kdy běží. Vzhledem k tomu, že logika je skrytá a proto není přizpůsobitelná, můžete pro každou šablonu tohoto typu vytvořit pouze jedno pravidlo. |
| Anomálie (Preview) |
Šablony pravidel anomálií používají soc-ML (strojové učení) k detekci konkrétních typů neobvyklého chování. Každé pravidlo má své vlastní jedinečné parametry a prahové hodnoty, které jsou vhodné pro analyzované chování. I když tyto konfigurace pravidel není možné změnit ani vyladit, můžete pravidlo duplikovat, změnit a vyladit duplicity. V takových případech spusťte duplicity v režimu Flighting a původní v produkčním režimu. Pak porovnejte výsledky a přepněte duplicity na Production (Produkční), pokud a kdy je jejich ladění podle vašich představ. Další informace najdete v tématu Použití anomálií SOC-ML k detekci hrozeb v Microsoft Sentinelu a Práce s analytickými pravidly detekce anomálií v Microsoft Sentinelu. |
| Naplánované | Plánovaná analytická pravidla jsou založená na integrovaných dotazech napsaných odborníky na zabezpečení Microsoftu. Můžete zobrazit logiku dotazu a provádět v ní změny. Můžete použít šablonu plánovaných pravidel a přizpůsobit logiku dotazu a nastavení plánování tak, aby se vytvořila nová pravidla. Několik nových šablon pravidel naplánované analýzy vytváří výstrahy, které modul Fusion v korelaci s výstrahami z jiných systémů vytváří vysoce věrné incidenty. Další informace najdete v tématu Rozšířená detekce útoků ve více náccích. Tip: Mezi možnosti plánování pravidel patří konfigurace pravidla tak, aby se spouštělo každých zadaný počet minut, hodin nebo dnů, s hodinami, které se spustí po povolení pravidla. Doporučujeme mít na paměti, když povolíte nové nebo upravované analytické pravidlo, abyste zajistili, že tato pravidla budou dosáhnou nové sady incidentů v čase. Můžete například chtít spustit pravidlo ve synchronizované s tím, kdy analytici SOC začnou pracovat, a pak tato pravidla povolit. |
| NrT (Near-real-time) (Preview) |
Pravidla NRT jsou omezená sada plánovaných pravidel, která jsou navržená tak, aby se spouštěla jednou za minutu, aby vám posla informace co nejdéle. Fungují převážně jako plánovaná pravidla a jsou nakonfigurovaná podobně s některými omezeními. Další informace najdete v tématu Rychlá detekce hrozeb pomocí analytických pravidel NRT (near-real-time) ve službě Microsoft Sentinel. |
Důležité
Výše uvedené šablony pravidel jsou aktuálně ve verzi PREVIEW , stejně jako některé šablony fúzní detekce (informace o tom, které z nich najdete v tématu Pokročilá detekce útoků ve více fázích ve službě Microsoft Sentinel), jsou v současnosti ve verzi PREVIEW. Další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, Preview nebo které ještě nejsou všeobecně dostupné, najdete v dodatečných podmínkách použití pro verze Microsoft Azure Preview.
Vytvořením a povolením libovolných pravidel založených na šablonách analýzy chování ML poskytnete Microsoftu oprávnění ke kopírování ingestovaných dat mimo geografickou oblast pracovního prostoru Microsoft Sentinelu podle potřeby pro zpracování moduly a modely strojového učení.
Použití integrovaných analytických pravidel
Tento postup popisuje, jak používat integrované šablony analytických pravidel.
Použití integrovaných analytických pravidel:
Na stránce šablony > Analytics Rule pro Microsoft Sentinel vyberte název šablony a pak výběrem tlačítka Vytvořit pravidlo v podokně podrobností vytvořte nové aktivní pravidlo založené > na této šabloně.
Každá šablona má seznam požadovaných zdrojů dat. Při otevření šablony se u zdrojů dat automaticky kontroluje dostupnost. Pokud dojde k problému s dostupností, může být tlačítko Vytvořit pravidlo zakázané nebo se může zobrazit upozornění.
Výběrem možnosti Vytvořit pravidlo se otevře průvodce vytvořením pravidla na základě vybrané šablony. Všechny podrobnosti se automaticky vyplňí a pomocí šablon zabezpečení Scheduled nebo Microsoft můžete přizpůsobit logiku a další nastavení pravidel tak, aby lépe vyhovovala vašim konkrétním potřebám. Tento postup můžete opakovat a vytvořit další pravidla na základě integrované šablony. Po dokončení kroků v průvodci vytvořením pravidla budete hotovi s vytvářením pravidla založeného na šabloně. Nová pravidla se zobrazí na kartě Aktivní pravidla.
Další podrobnosti o tom, jak přizpůsobit pravidla v průvodci vytvořením pravidla, najdete v tématu Vytvoření vlastních analytických pravidel pro detekci hrozeb.
Tip
Nezapomeňte povolit všechna pravidla přidružená k připojeným zdrojům dat, abyste zajistili úplné pokrytí vašeho prostředí. Nejefektivnějším způsobem, jak povolit analytická pravidla, je přímo ze stránky datového konektoru, která obsahuje seznam všech souvisejících pravidel. Další informace najdete v tématu Připojení zdroje dat.
Pravidla můžete do Služby Microsoft Sentinel odeslat také prostřednictvím rozhraní API a PowerShellu, ale vyžaduje to další úsilí.
Při použití rozhraní API nebo PowerShellu musíte před povolením pravidel nejprve exportovat pravidla do formátu JSON. Rozhraní API nebo PowerShell může být užitečné při povolování pravidel ve více instancích služby Microsoft Sentinel se stejným nastavením v každé instanci.
Export pravidel do šablony ARM
Pokud chcete pravidla spravovat a nasazovat jako kód, Azure Resource Manager můžete pravidlo snadno exportovat do šablony arm (Azure Resource Manager). Můžete také importovat pravidla ze souborů šablony, abyste je mohli zobrazit a upravit v uživatelském rozhraní.
Další kroky
Pokud chcete vytvořit vlastní pravidla, použijte existující pravidla jako šablony nebo odkazy. Použití existujících pravidel jako základu vám pomůže vytvořit většinu logiky před provedením potřebných změn. Další informace najdete v tématu Vytvoření vlastních analytických pravidel pro detekci hrozeb.
Informace o automatizaci odpovědí na hrozby najdete v tématu Nastavení automatizovaných reakcí na hrozby v Microsoft Sentinelu.