Vytváření vlastních analytických pravidel pro detekci hrozeb

Po připojení zdrojů dat k Microsoft Sentinelu vytvořte vlastní analytická pravidla, která vám pomůžou objevit hrozby a neobvyklé chování ve vašem prostředí.

Analytická pravidla vyhledá konkrétní události nebo sady událostí v rámci vašeho prostředí, upozorní vás při dosažení určitých prahových hodnot nebo podmínek událostí, vygenerují incidenty pro SOC, aby bylo možno zkoumat a reagovat na hrozby pomocí automatizovaných procesů sledování a náprav.

Vytvoření vlastního analytického pravidla s plánovaným dotazem

1. V navigační nabídce Microsoft Sentinelu vyberte Analýza.

2. Na panelu akcí v horní části vyberte + Vytvořit a vyberte Pravidlo naplánovaného dotazu. Otevře se průvodce analytickým pravidlem.

   

Průvodce analytickými pravidly – karta Obecné

• Zadejte jedinečný Název a Popis.

• V poli Taktika si můžete vybrat z kategorií útoků, podle kterých se má pravidlo klasifikovat. Ty jsou založené na taktikách architektury MITRE ATT&CK.

• Podle potřeby nastavte závažnost výstrahy.

• Když pravidlo vytvoříte, jeho Stav je ve výchozím nastavení Povoleno, což znamená, že se spustí okamžitě po dokončení jeho vytváření. Pokud nechcete, aby se pravidlo spouštěl okamžitě, vyberte Zakázáno a pravidlo se přidá na kartu Aktivní pravidla a můžete ho tam povolit, až ho budete potřebovat.

  

Definování logiky dotazu pravidla a konfigurace nastavení

Na kartě Nastavit logiku pravidla můžete buď napsat dotaz přímo do pole Dotaz pravidla, nebo vytvořit dotaz v Log Analytics a pak ho zkopírovat a vložit sem.

• Dotazy se zapisují v jazyce KQL (Kusto Query Language). Přečtěte si další informace o konceptech a dotazechjazyka KQL a v této stručné referenční příručce.

• Příklad uvedený na tomto snímku obrazovky se dotazuje tabulky SecurityEvent a zobrazí typ neúspěšných Windows událostí přihlášení.

  

• Tady je další ukázkový dotaz, který vás upozorní při vytvoření neobvyklého počtu prostředků v aktivitě Azure.

  AzureActivity
  | where OperationName == "Create or Update Virtual Machine" or OperationName =="Create Deployment"
  | where ActivityStatus == "Succeeded"
  | make-series dcount(ResourceId)  default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller
  

  Poznámka

  Osvědčené postupy pro dotazy na pravidla:

  • Délka dotazu by měla být v rozmezí 1 až 10 000 znaků a nesmí obsahovat " search * " nebo union * " ". Pomocí uživatelem definovaných funkcí můžete překonat omezení délky dotazů.

  • Použití funkcí ADX k Azure Data Explorer dotazů v okně dotazu Log Analytics se nepodporuje.

  • Pokud při použití funkce v dotazu promítáte sloupce jako pole pomocí " " a sloupec neexistuje, dotaz bag_unpack project field1 selže. Pokud chcete zajistit ochranu před tímto dějem, musíte sloupec projektovat následujícím způsobem:

    • project field1 = column_ifexists("field1","")

Obohacení výstrah

• Pomocí oddílu Konfigurace mapování entit můžete mapovat parametry z výsledků dotazu na entity rozpoznané ve službě Microsoft Sentinel. Entity rozšiřují výstup pravidel (výstrahy a incidenty) o základní informace, které slouží jako stavební bloky všech procesů vyšetřování a nápravných akcí, které následují. Jsou to také kritéria, podle kterých můžete výstrahy seskupit do incidentů na kartě Nastavení incidentu.

  Další informace o entitách v Microsoft Sentinelu

  Kompletní pokyny k mapování entit najdete v tématu Mapování datových polí na entity ve službě Microsoft Sentinel spolu s důležitými informacemi o zpětné kompatibilitě.

• Pomocí části Konfigurace vlastních podrobností můžete z dotazu extrahovat položky dat událostí a zobrazit je v výstrahách vytvořených tímto pravidlem, což vám umožní okamžitě zobrazit obsah událostí ve vašich výstrahách a incidentech.

  Přečtěte si další informace o zobrazení vlastních podrobností v upozorněních a kompletní pokyny.

• Část Konfigurace podrobností upozornění slouží k přizpůsobení podrobností o prezentaci výstrahy skutečnému obsahu. Podrobnosti výstrahy vám umožňují zobrazit například IP adresu nebo název účtu útočníka v názvu samotného upozornění, takže se zobrazí ve frontě incidentů, abyste získali mnohem bohatší a přehlednější přehled o vaší oblasti hrozeb.

  Podrobné informace o upozornění najdete v úplných pokynech k přizpůsobení.

Plánování dotazů a prahová hodnota upozornění

• V části Plánování dotazů nastavte následující parametry:

  

  • Nastavte Spustit dotaz každých, abyste nastavili, jak často se dotaz spustí – každých 5 minut nebo tak často jako jednou za 14 dní.

  • Nastavte data vyhledávání z posledního, abyste určili časové období dat pokrytých dotazem – může například dotazovat data za posledních 10 minut nebo posledních 6 hodin dat. Maximální hodnota je 14 dnů.

    Poznámka

    Intervaly dotazů a období zpětného vyhledávání

    Tato dvě nastavení jsou na sobě nezávislá až do bodu. Dotaz můžete spustit v krátkém intervalu pokrývající časové období delší než interval (ve skutečnosti se dotazy překrývají), ale nemůžete spustit dotaz v intervalu, který přesahuje období pokrytí, jinak budete mít mezery v celkovém pokrytí dotazu. > > Zpoždění příjmu dat > > Aby se zohlednila latence, ke které může dojít mezi generováním události ve zdroji, a jejím ingestování do Služby Microsoft Sentinel, a aby se zajistilo úplné pokrytí bez duplicit dat, spouští Microsoft Sentinel naplánovaná analytická pravidla v pětiminutových intervalech od naplánovaného času. > > Další informace najdete v tématu Zpracování zpoždění příjmu dat v plánovaných analytických pravidlech.

• K definování úrovně citlivosti pravidla použijte část Prahová hodnota upozornění. Nastavte například možnost Generovat upozornění, když je počet výsledků dotazu větší než, a zadejte číslo 1000, pokud chcete, aby pravidlo vygeneroval upozornění pouze v případě, že dotaz při každém spuštění vrátí více než 1 000 výsledků. Toto pole je povinné, takže pokud nechcete nastavit prahovou hodnotu – to znamená, že pokud chcete, aby vaše upozornění registroval každou událost – zadejte do pole čísla hodnotu 0.

Simulace výsledků

V oblasti Simulace výsledků na pravé straně průvodce vyberte Testovat s aktuálními daty a Microsoft Sentinel zobrazí graf výsledků (událostí protokolu), které by dotaz vygeneroval za posledních 50krát, než by se spouštěl, podle aktuálně definovaného plánu. Pokud dotaz upravíte, znovu vyberte Testovat s aktuálními daty a aktualizujte graf. Graf zobrazuje počet výsledků za definované časové období, které je určeno nastavením v části Plánování dotazů.

Simulace výsledků může vypadat pro dotaz na výše uvedeném snímku obrazovky. Levá strana je výchozí zobrazení a pravá strana je to, co se zobrazí, když najedete myší na bod v čase v grafu.

Pokud vidíte, že váš dotaz aktivuje příliš mnoho nebo příliš častých upozornění, můžete experimentovat s nastavením v částech Plánování dotazů a Prahová hodnota upozornění a znovu vybrat Testovat s aktuálními daty.

Seskupování událostí a potlačení pravidel

• V části Seskupování událostí zvolte jeden ze dvou způsobů, jak zpracovat seskupení událostí do výstrah:

  • Seskupte všechny události do jedné výstrahy (výchozí nastavení). Pravidlo při každém spuštění vygeneruje jedno upozornění, pokud dotaz vrátí více výsledků, než je zadaná prahová hodnota upozornění nad ní. Výstraha obsahuje souhrn všech událostí vrácených ve výsledcích.

  • Aktivovat upozornění pro každou událost: Pravidlo vygeneruje pro každou událost vrácenou dotazem jedinečnou výstrahu. To je užitečné, pokud chcete události zobrazovat jednotlivě nebo pokud je chcete seskupit podle určitých parametrů – podle uživatele, názvu hostitele nebo něčeho jiného. Tyto parametry můžete definovat v dotazu.

    V současné době je počet upozornění, která může pravidlo vygenerovat, omezený na 20. Pokud je v konkrétním pravidle seskupení událostí nastaveno na Aktivovat upozornění pro každou událost a dotaz pravidla vrátí více než 20 událostí, každá z prvních 19 událostí vygeneruje jedinečné upozornění a 20. výstraha shrne celou sadu vrácených událostí. Jinými slovy, 20. výstraha by byla vygenerována v rámci možnosti Seskupit všechny události do jednoho upozornění.

    Pokud zvolíte tuto možnost, Microsoft Sentinel přidá do výsledků dotazu nové pole OriginalQuery. Tady je porovnání existujícího pole Dotazu a nového pole:

    Název pole	Contains	Spuštění dotazu v tomto poli má za výsledek...
    Dotaz	Komprimovaný záznam události, která tuto instanci výstrahy vygenerovala	Událost, která vygenerovala tuto instanci výstrahy
    Původní dotaz	Původní dotaz napsaný v analytickém   pravidle	Poslední událost v časovém rámci, ve kterém se dotaz spouští, která odpovídá parametrům definovaným dotazem.

    Jinými slovy, pole OriginalQuery se chová podobně jako pole dotazu se obvykle chová. Výsledkem tohoto pole navíc je, že potíže popsané v první položce v níže uvedené části věnované řešení potíží byly vyřešeny.

  Poznámka

  Jaký je rozdíl mezi událostmi a výstrahami?

  • Událost je popis jednoho výskytu akce. Například jedna položka v souboru protokolu by mohla počítat jako událost. V tomto kontextu událost odkazuje na jeden výsledek vrácený dotazem v pravidle analýzy.

  • Výstraha je kolekce událostí, které jsou společně důležité z hlediska zabezpečení. Výstraha může obsahovat jednu událost, pokud došlo k významným dopadům na zabezpečení – třeba při administrativním přihlášení z cizí země mimo kancelář.

  • Jak jsou incidenty? Interní logika služby Microsoft Sentinel vytváří incidenty z výstrah nebo skupin výstrah. Fronta incidentů je ústředním bodem SOC analytiků práce, vyšetřování a nápravy.

  Microsoft Sentinel ingestuje nezpracované události z některých zdrojů dat a již zpracovává výstrahy od ostatních. Je důležité si uvědomit, že tu z nich můžete kdykoli řešit.

• V části potlačení můžete zapnout funkci zastavit běžící dotaz po vygenerování výstrahy nastavení v případě, že po obdržení výstrahy budete chtít pozastavit operaci tohoto pravidla v časovém intervalu, který překračuje interval dotazu. Pokud tuto funkci zapnete v, musíte nastavit zastavit běžící dotaz pro na dobu, po kterou by měl dotaz skončit, a to až 24 hodin.

Konfigurovat nastavení vytváření incidentů

na kartě Incident Nastavení můžete zvolit, zda a jak Microsoft Sentinel zapne výstrahy na incidenty s možnou činností. Pokud tato karta zůstane samostatně, Microsoft Sentinel vytvoří jeden samostatný incident od každého a každého upozornění. Můžete zvolit, aby se nevytvořily žádné incidenty, nebo pokud chcete seskupit několik výstrah do jednoho incidentu, a to změnou nastavení na této kartě.

Například:

Nastavení incidentu

V části Nastavení incidentu můžete vytvořit incidenty z výstrah aktivovaných tímto pravidlem analýzy , což znamená, že Microsoft Sentinel vytvoří jeden samostatný incident od každého a všechny výstrahy aktivované pravidlem.

• Pokud nechcete, aby toto pravidlo vedlo k vytvoření jakýchkoli incidentů (například pokud toto pravidlo slouží pouze ke shromažďování informací pro následnou analýzu), nastavte tuto hodnotu na zakázáno.

• Pokud chcete vytvořit jeden incident ze skupiny výstrah místo jedné pro každou jednotlivou výstrahu, přečtěte si další část.

Seskupení výstrah

Pokud chcete, aby se jeden incident vygeneroval ze skupiny až 150 podobných nebo opakovaných výstrah (viz poznámku), nastavte v části seskupování výstrah výstrahy související se skupinami, aktivované pomocí tohoto pravidla analýzy, na incidenty , které chcete Povolit, a nastavte následující parametry.

• Omezte skupinu na výstrahy vytvořené ve vybraném časovém rámci: určete časový rámec, ve kterém se budou seskupovat podobné nebo opakované výstrahy. Všechny odpovídající výstrahy v tomto časovém rámci budou souhrnně generovat incident nebo sadu incidentů (v závislosti na nastavení seskupení níže). Výstrahy mimo tento časový rámec způsobí vygenerování samostatného incidentu nebo sady incidentů.

• Výstrahy skupin aktivované pomocí tohoto pravidla analýzy do jednoho incidentu: vyberte základnu, na které se budou seskupovat výstrahy:

  Možnost	Popis
  Seskupit výstrahy do jednoho incidentu, pokud se všechny entity shodují	Výstrahy jsou seskupené dohromady, pokud sdílí stejné hodnoty pro každou namapovanou entitu (definované na kartě nastavit logiku pravidla výše). Toto je doporučené nastavení.
  Seskupit všechny výstrahy aktivované tímto pravidlem do jednoho incidentu	Všechny výstrahy vygenerované tímto pravidlem jsou seskupené i v případě, že nesdílejí žádné identické hodnoty.
  Seskupit výstrahy do jednoho incidentu, pokud se vybrané entity a podrobnosti shodují	Výstrahy jsou seskupené dohromady, pokud sdílí stejné hodnoty pro všechny mapované entity, podrobnosti výstrahy a vlastní podrobnosti vybrané z příslušných rozevíracích seznamů. Toto nastavení můžete chtít použít například v případě, že chcete vytvořit samostatné incidenty založené na zdrojových nebo cílových IP adresách, nebo pokud chcete seskupit výstrahy, které odpovídají určité entitě a závažnosti. Poznámka: Když vyberete tuto možnost, musíte mít pro pravidlo vybraný aspoň jeden typ entity nebo pole. V opačném případě se ověření pravidla nezdaří a pravidlo se nevytvoří.

• Znovu otevřít uzavřené odpovídající incidenty: Pokud byl incident vyřešen a uzavřen a později dojde k vygenerování jiné výstrahy, která by měla patřit do tohoto incidentu, nastavte toto nastavení na povoleno , pokud chcete, aby byl uzavřený incident znovu otevřen, a nechejte jako zakázaný , pokud chcete, aby výstraha vytvořila nový incident.

  Poznámka

  Do jednoho incidentu lze seskupit až 150 upozornění . Pokud pravidlo, které je seskupuje do jednoho incidentu, generuje více než 150 výstrah, vytvoří se nový incident se stejnými podrobnostmi o incidentech jako původní a nadbytečné výstrahy budou seskupeny do nového incidentu.

Nastavení automatizovaných odpovědí a vytvoření pravidla

1. Na kartě automatizované odpovědi můžete nastavit automatizaci na základě výstrahy nebo výstrah vygenerovaných pomocí tohoto pravidla analýzy, nebo na základě incidentu vytvořeného výstrahami.

   • V případě automatizace založené na výstrahách vyberte v rozevíracím seznamu v části Automatizace výstrah všechny playbooky, které chcete spustit automaticky, když se vygeneruje výstraha.
   • V případě automatizace založené na incidentech vyberte nebo vytvořte pravidlo automatizace v oblasti Automatizace incidentů (Preview). Z těchto pravidel automatizace můžete volat playbooky (ty jsou založené na triggeru incidentu) a také automatizovat třídění, přiřazování a uzavírání.
   • Další informace a pokyny k vytváření pravidel playbooky a automatizace najdete v tématu automatizace odpovědí na hrozby.
   • Další informace o tom, kdy použít aktivační událost výstrahy nebo aktivační událost incidentu, najdete v tématu použití triggerů a akcí v nástroji Microsoft Sentinel playbooky.

   

2. Vyberte zkontrolovat a vytvořit a zkontrolujte všechna nastavení nového pravidla výstrahy. Po zobrazení zprávy "ověření proběhlo" vyberte vytvořit k inicializaci pravidla upozornění.

   

Zobrazit pravidlo a jeho výstup

• Nově vytvořené vlastní pravidlo (typu "naplánované") můžete najít v tabulce na kartě aktivní pravidla na hlavní obrazovce Analytics . V tomto seznamu můžete každé pravidlo Povolit, zakázat nebo odstranit.

• Pokud chcete zobrazit výsledky vytvořených pravidel výstrah, navštivte stránku incidenty , kde můžete určit jejich třídění, prozkoumat incidentya napravit hrozby.

• Dotaz na pravidlo můžete aktualizovat tak, aby vyloučil falešně pozitivní výsledky. Další informace najdete v tématu zpracování falešně pozitivních hodnot v programu Microsoft Sentinel.

Exportovat pravidlo do šablony ARM

Pokud chcete zabalit pravidlo, které se má spravovat a nasadit jako kód, můžete pravidlo snadno exportovat do šablony Azure Resource Manager (ARM). Můžete také importovat pravidla ze souborů šablon, aby je bylo možné zobrazit a upravit v uživatelském rozhraní.

Řešení potíží

Problém: ve výsledcích dotazu se neobjeví žádné události.

Pokud je seskupení událostí nastaveno tak, aby pro každou událost aktivovalo výstrahu, pak v některých scénářích při zobrazení výsledků dotazu v pozdějším čase (například při překlopení zpět na výstrahy z incidentu) je možné, že se nezobrazí žádné výsledky dotazu. Důvodem je to, že připojení události k výstraze je provedeno pomocí hashování informací o konkrétní události a zahrnutím hodnoty hash do dotazu. Pokud se výsledky dotazu od vygenerování výstrahy změnily, hodnota hash už nebude platná a nezobrazí se žádné výsledky.

Chcete-li zobrazit události, ručně odeberte řádek s hodnotou hash z dotazu pravidla a spusťte dotaz.

Problém: Naplánované pravidlo se nepodařilo spustit nebo je k jeho názvu přidaný text AUTO DISABLED.

Jedná se o vzácnou chybu, kterou se nepodařilo spustit naplánované pravidlo dotazu, ale může k tomu dojít. Ověřování Microsoft Sentinelně klasifikuje chyby vpřed jako přechodné nebo trvalé, na základě konkrétního typu selhání a okolností, které to vedlo.

Přechodné selhání

K přechodnému selhání dojde z důvodu nedokončené situace a brzy se vrátí do normálního okamžiku, kdy se spuštění pravidla nezdaří. Některé příklady chyb, které Microsoft Sentinel klasifikuje jako přechodné:

• Spuštění dotazu pravidla trvá příliš dlouho a vypršel časový limit.
• Problémy s připojením mezi zdroji dat a Log Analytics, nebo mezi Log Analytics a Microsoft Sentinel.
• Jakákoli jiná nová a neznámá chyba je považována za přechodný.

V případě přechodného selhání se test Sentinel společnosti Microsoft stále pokouší znovu spustit pravidlo po předdefinovaných a stále rostoucích intervalech až do bodu. Pak se pravidlo spustí znovu jenom v dalším naplánovaném čase. Pravidlo nebude nikdy automaticky zakázáno z důvodu přechodného selhání.

Trvalé selhání – Automatické zakázání pravidla

K trvalému selhání dochází z důvodu změny podmínek, které umožňují spuštění pravidla, což bez lidského zásahu se nevrátí do původního stavu. Následuje několik příkladů selhání klasifikovaných jako trvalá:

• Cílový pracovní prostor (na kterém je zpracováván dotaz pravidla) byl odstraněn.
• Cílová tabulka (na které běží dotaz na pravidlo) byla odstraněna.
• Z cílového pracovního prostoru se odebrala aplikace Microsoft Sentinel.
• Funkce používaná dotazem pravidla již není platná. byl buď změněn, nebo odebrán.
• Oprávnění k jednomu z datových zdrojů dotazu pravidla se změnila.
• Jeden z datových zdrojů dotazu pravidla byl odstraněn nebo odpojen.

V případě předem vymezeného počtu po sobě jdoucích trvalých selhání stejného typu a stejného pravidla Microsoft Sentinel se zastaví pokus o spuštění pravidla a provede také následující kroky:

• Zakáže pravidlo.
• Přidá slova "auto Disabled" na začátek názvu pravidla.
• Přidá důvod selhání (a zakáže) k popisu pravidla.

Můžete snadno určit přítomnost všech automaticky zakázaných pravidel, protože seznam pravidel seřadíte podle názvu. Automaticky zakázaná pravidla budou v horní části seznamu nebo v ní.

SOC manažeři si nezapomeňte pravidelně kontrolovat seznam pravidel pro přítomnost automaticky zakázaných pravidel.

Další kroky

Při použití pravidel analýzy ke zjišťování hrozeb od společnosti Microsoft Sentinel se ujistěte, že jste povolili všechna pravidla přidružená k vašim připojeným zdrojům dat, abyste zajistili plné pokrytí zabezpečení pro vaše prostředí. Nejúčinnější způsob, jak povolit pravidla analýzy, je přímo ze stránky datový konektor, která obsahuje všechna související pravidla. další informace najdete v tématu Připojení zdrojů dat.

Pomocí rozhraní API a PowerShellumůžete také předávat pravidla do Microsoft Sentinel, i když to tak bude mít další úsilí. Pokud používáte rozhraní API nebo PowerShell, musíte nejdřív před povolením pravidel exportovat pravidla do formátu JSON. Rozhraní API nebo PowerShell může být užitečné při povolování pravidel ve více instancích Microsoft Sentinel se shodným nastavením v každé instanci.

Další informace naleznete v tématu:

Další informace naleznete v tématu:

• Kurz: zkoumání incidentů pomocí Microsoft Sentinel
• Klasifikace a analýza dat pomocí entit v Microsoft Sentinel
• Kurz: použití playbooky s pravidly automatizace v Microsoft Sentinel

Přečtěte si také z příkladu použití pravidel pro vlastní analýzu při přiblížení sledování pomocí vlastního konektoru.