Integrovaná detekce hrozeb

Poznámka

Azure Sentinel se teď nazývá Microsoft Sentinel a v nadcházejících týdnech budeme tyto stránky aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení Microsoftu.

Po připojení zdrojů dat ke službě Microsoft Sentinel budete chtít být upozorněni, když dojde k něčemu podezřelému. Proto Microsoft Sentinel poskytuje předem vytvořené integrované šablony, které vám pomůžou vytvářet pravidla detekce hrozeb.

Šablony pravidel byly navrženy týmem odborníků na zabezpečení a analytiků Microsoftu na základě známých hrozeb, běžných vektorů útoku a řetězů eskalace podezřelých aktivit. Pravidla vytvořená z těchto šablon automaticky prohledávají všechny aktivity, které vypadají podezřele. Mnohé šablony je možné přizpůsobit tak, aby hledaly aktivity, nebo je vyfiltrovaly podle vašich potřeb. Výstrahy vygenerované těmito pravidly vytvoří incidenty, které můžete přiřadit a prozkoumat ve svém prostředí.

Tento článek vám pomůže pochopit, jak detekovat hrozby pomocí služby Microsoft Sentinel:

  • Použití zastaralých detekcí hrozeb
  • Automatizace odpovědí na hrozby

Zobrazení integrovaných detekcí

Pokud chcete zobrazit všechna analytická pravidla a detekce v Microsoft Sentinelu, přejděte do>šablon analytických pravidel. Tato karta obsahuje všechna integrovaná pravidla služby Microsoft Sentinel.

Use built-in detections to find threats with Microsoft Sentinel

Integrované detekce zahrnují:

Typ pravidla Description
Zabezpečení Microsoftu Šablony zabezpečení Microsoftu automaticky vytvářejí incidenty služby Microsoft Sentinel z výstrah generovaných v jiných řešeních zabezpečení Microsoftu v reálném čase. Pravidla zabezpečení Microsoftu můžete použít jako šablonu k vytvoření nových pravidel s podobnou logikou.

Další informace opravidlech
Fusion
(některé detekce ve verzi Preview)
Microsoft Sentinel používá modul korelace Fusion s jeho škálovatelnými algoritmy strojového učení k detekci pokročilých útoků s více fázemi tím, že propojí mnoho upozornění a událostí s nízkou věrností a událostmi v různých produktech do vysoce věrných a akčních incidentů. Fúze je ve výchozím nastavení povolená. Protože logika je skrytá a proto není přizpůsobitelná, můžete vytvořit pouze jedno pravidlo s touto šablonou.

Modul Fusion může také korelovat výstrahy vytvořené plánovanými analytickými pravidly s těmi z jiných systémů, což v důsledku toho vytváří vysoce věrné incidenty.
Analýza chování strojového učení (ML) Šablony analýzy chování ML jsou založené na proprietárních algoritmech strojového učení Microsoftu, takže nevidíte interní logiku toho, jak fungují a kdy běží.

Protože logika je skrytá a proto není přizpůsobitelná, můžete vytvořit pouze jedno pravidlo s každou šablonou tohoto typu.
Anomálie
(Preview)
Šablony pravidel anomálií používají strojové učení k detekci konkrétních typů neobvyklého chování. Každé pravidlo má vlastní jedinečné parametry a prahové hodnoty, které jsou vhodné pro analyzované chování.

I když není možné měnit nebo ladit konfigurace zastaralých pravidel, můžete duplikovat pravidlo a potom změnit a vyladit duplikát. V takových případech spusťte duplikát v režimu Flighting a původní souběžně v produkčním režimu. Potom porovnejte výsledky a přepněte duplikát do produkčního prostředí , pokud a kdy je jeho vyladění podle vašich představ.

Další informace najdete v tématu Použití přizpůsobitelných anomálií k detekci hrozeb v Microsoft Sentinelu a práci s pravidly analýzy detekce anomálií v Microsoft Sentinelu.
Naplánované Plánovaná analytická pravidla jsou založená na integrovaných dotazech psaných odborníky na zabezpečení Microsoftu. Logiku dotazu můžete zobrazit a provést změny. K vytvoření nových pravidel můžete použít šablonu naplánovaných pravidel a přizpůsobit logiku dotazu a nastavení plánování.

Několik nových šablon pravidel naplánovaných analytických pravidel vytváří výstrahy, které jsou korelovány modulem Fusion s upozorněními z jiných systémů, aby se vytvořily vysoce věrné incidenty. Další informace najdete v tématu Pokročilá detekce útoků s více fázemi.

Tip: Možnosti plánování pravidel zahrnují konfiguraci pravidla tak, aby se spouštělo každých zadaný počet minut, hodin nebo dnů a hodiny, které začínají při povolení pravidla.

Doporučujeme mít na paměti, když povolíte nové nebo upravené analytické pravidlo, aby se zajistilo, že pravidla dostanou nový zásobník incidentů včas. Můžete například chtít spustit pravidlo v synchronizaci s tím, když vaši analytici SOC začnou pracovat na svém pracovním dne a pak pravidla povolíte.
Téměř v reálném čase (NRT)
(Preview)
Pravidla NRT jsou omezená sada plánovaných pravidel, která jsou navržená tak, aby běžela jednou za minutu, aby vám mohla poskytnout co nejvíce informací.

Fungují většinou jako naplánovaná pravidla a jsou nakonfigurované podobně s určitými omezeními. Další informace najdete v tématu Rychlé zjišťování hrozeb pomocí analytických pravidel téměř v reálném čase (NRT) v Microsoft Sentinelu.

Důležité

  • Šablony pravidel, které jsou uvedené výše, jsou aktuálně ve verzi PREVIEW, stejně jako některé ze šablon pro detekci fúzí (podívejte se na pokročilou detekci útoků s více fázemi v Microsoft Sentinelu , abyste zjistili, které z nich). Další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo jinak nejsou vydané v obecné dostupnosti, najdete v doplňkových podmínkách použití pro Microsoft Azure Preview .

  • Vytvořením a povolením všech pravidel založených na šablonách analýzy chování strojového učení udělíte Microsoftu oprávnění kopírovat ingestovaná data mimo geografickou oblast pracovního prostoru Microsoft Sentinel podle potřeby ke zpracování moduly a modely strojového učení.

Použití předdefinovaných analytických pravidel

Tento postup popisuje, jak používat předdefinované šablony analytických pravidel.

Použití předdefinovaných analytických pravidel:

  1. Na stráncešablon pravidel Microsoft Sentinel >Analytics> vyberte název šablony a pak v podokně podrobností vyberte tlačítko Vytvořit pravidlo a vytvořte nové aktivní pravidlo založené na této šabloně.

    Každá šablona obsahuje seznam požadovaných zdrojů dat. Když šablonu otevřete, zdroje dat se automaticky zkontrolují, jestli jsou dostupné. Pokud dojde k problému s dostupností, může být tlačítko Vytvořit pravidlo zakázané nebo se může zobrazit upozornění na tento účinek.

    Detection rule preview panel

  2. Výběrem možnosti Vytvořit pravidlo se otevře průvodce vytvořením pravidla na základě vybrané šablony. Všechny podrobnosti se automaticky vyplňují a pomocí šablon zabezpečení Naplánované nebo Microsoftu můžete logiku a další nastavení pravidel přizpůsobit tak, aby vyhovovaly vašim konkrétním potřebám. Tento proces můžete zopakovat a vytvořit další pravidla na základě předdefinované šablony. Po provedení kroků v průvodci vytvořením pravidla na konec jste dokončili vytvoření pravidla na základě šablony. Nová pravidla se zobrazí na kartě Aktivní pravidla .

    Další podrobnosti o tom, jak přizpůsobit pravidla v průvodci vytvořením pravidla, najdete v tématu Vytvoření vlastních analytických pravidel pro detekci hrozeb.

Tip

  • Ujistěte se, že povolíte všechna pravidla přidružená k připojeným zdrojům dat , abyste zajistili úplné pokrytí zabezpečení pro vaše prostředí. Nejúčinnější způsob, jak povolit analytická pravidla, je přímo ze stránky datového konektoru, která uvádí všechna související pravidla. Další informace najdete v tématu Připojení zdrojů dat.

  • Pravidla můžete také nasdílit do Microsoft Sentinelu prostřednictvím rozhraní API a PowerShellu, i když to vyžaduje další úsilí.

    Při použití rozhraní API nebo PowerShellu musíte před povolením pravidel nejprve exportovat pravidla do formátu JSON. Rozhraní API nebo PowerShell může být užitečné při povolování pravidel v několika instancích služby Microsoft Sentinel se stejnými nastaveními v každé instanci.

Export pravidel do šablony ARM

Pokud chcete spravovat a nasazovat pravidla jako kód , můžete pravidlo snadno exportovat do šablony Azure Resource Manageru (ARM ). Pravidla můžete také importovat ze souborů šablon, abyste je mohli zobrazit a upravit v uživatelském rozhraní.

Další kroky