Vytvoření analytického pravidla pomocí průvodce
Můžete vytvořit vlastní analytické pravidlo, které bude vyhledávat podezřelé aktivity a hrozby ve společnosti Contoso.
Vytvoření vlastního pravidla naplánované analýzy
Vytvoření vlastního pravidla z naplánovaného typu pravidla dotazu vám poskytne nejvyšší úroveň přizpůsobení. Můžete definovat vlastní kód KQL, nastavit plán pro spuštění výstrahy a poskytnout automatizovanou akci přidružením pravidla k playbooku Microsoft Sentinel.
Pokud chcete vytvořit pravidlo naplánovaného dotazu, na webu Azure Portal v části Microsoft Sentinel vyberte Analýza. Na panelu záhlaví vyberte +Vytvořit a pak vyberte Pravidlo naplánovaného dotazu.
Poznámka:
Naplánované pravidlo můžete vytvořit také výběrem naplánovaného pravidla ze seznamu Pravidla a šablony v podokně Analýza a následným výběrem možnosti Vytvořit pravidlo v podokně podrobností.
Pravidlo naplánovaného dotazu, které vytvoříte, se skládá z následujících prvků:
Karta Obecné
Následující tabulka uvádí vstupní pole v podokně Obecné .
| Pole | Popis |
|---|---|
| Name | Zadejte popisný název jasně označující typ podezřelé aktivity, kterou bude výstraha detekovat. |
| Popis | Zadejte podrobný popis, který ostatním analytikům zabezpečení pomůže pochopit, co pravidlo dělá. |
| Taktika | V rozevíracím seznamu Taktika vyberte jednu z dostupných kategorií útoků a klasifikujte pravidlo podle taktiky MITRE. |
| Závažnost | Vyberte rozevírací seznam Závažnost a kategorizujete úroveň důležitosti výstrahy jako jednu ze čtyř možností: Vysoká, Střední, Nízká nebo Informační. |
| Průběh | Zadejte stav pravidla. Ve výchozím nastavení je stav Povolit. Pokud pravidlo vygeneruje velký počet falešně pozitivních výsledků, můžete pravidlo zakázat výběrem možnosti Zakázat . |
Karta Nastavení logiky pravidla
Na kartě Nastavit logiku pravidla můžete definovat metodu detekce zadáním kódu KQL, který se spouští v pracovním prostoru Služby Microsoft Sentinel. Dotaz KQL filtruje data zabezpečení, která se používají k aktivaci a vytvoření incidentu.
Až do pole Dotaz pravidla zadáte řetězec dotazu KQL, můžete jeho výsledky zkontrolovat v části Simulace výsledků (Preview). Část Simulace výsledků (Preview) vám pomůže určit, jestli dotaz vrátil očekávané výsledky.
Následující ukázkový dotaz vás upozorní, když v rámci aktivit Azure dojde k vytvoření anomálního počtu prostředků.
AzureActivity
| where OperationName == "MICROSOFT.COMPUTE/VIRTUALMACHINES/WRITE"
| where ActivityStatus == "Succeeded"
| make-series dcount(ResourceId) default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller
Obohacení výstrah (Preview)
Rozšíření výstrah umožňuje dále přizpůsobit výsledek dotazu.
Mapování entit
V části Mapování entit můžete definovat až pět entit z výsledků dotazu a pak tyto entity použít k podrobné analýze. Výběrem možnosti Přidat novou entitu přidáte tyto entity do pravidla dotazu. Tyto entity vám můžou pomoct s vizuálním šetřením, protože se zobrazí jako skupina na kartě Incident . Některé entity obsahují informace, které představují uživatele, hostitele nebo IP adresu.
Vlastní podrobnosti
V části Vlastní podrobnosti můžete nastavit páry klíč-hodnota, které, pokud se zobrazí ve výsledku dotazu, zobrazí ve výsledcích parametr události.
Podrobnosti výstrahy
V části Podrobnosti výstrahy můžete zadat bezplatný text jako parametry, které mohou být reprezentovány v každé instanci výstrahy. Můžou obsahovat také taktiku a závažnost přiřazenou dané instanci výstrahy.
Plánování dotazů
V části Plánování dotazů můžete nakonfigurovat, jak často se má dotaz spouštět a jak daleko zpátky v historii má vyhledávat data. Je důležité, aby se nevyhledávala data, která jsou starší než frekvence spouštění dotazu, protože by mohly vznikat duplicitní výstrahy.
Prahová hodnota upozornění
V části Prahová hodnota upozornění můžete zadat počet pozitivních výsledků, které se můžou pro pravidlo vrátit, než se vygeneruje výstraha. K definování vhodného logického výrazu můžete použít následující operátory:
- Je větší než
- Je méně než
- Rovná se
- Nerovná se
Seskupování událostí
V části Seskupování událostí můžete vybrat jednu z následujících dvou možností:
- Seskupovat všechny události do jednoho upozornění: Toto je výchozí možnost a znamená, že pokud dotaz vrátí více výsledků, než je zadaná prahová hodnota pro upozornění, vytvoří se jediná výstraha.
- Aktivovat upozornění pro každou událost: Tato možnost vytvoří jedinečnou výstrahu pro každou událost vrácenou dotazem.
Potlačení
V části Potlačení můžete nastavit možnost Po vygenerování upozornění zastavit provádění dotazu na Zapnuto nebo Vypnuto. Když vyberete Zapnuto, Microsoft Sentinel pozastaví vytváření dalších incidentů, pokud se pravidlo znovu aktivuje po dobu, po kterou chcete pravidlo potlačit.
Nastavení incidentu (Preview)
Pomocí karty Nastavení incidentu můžete vytvářet incidenty, které se generují seskupením výstrah na základě aktivačních událostí a časových rámců.
V části Seskupení upozornění můžete snížit šum plynoucí z více výstrah tím, že je seskupíte do jednoho incidentu. Pokud seskupení souvisejících výstrah povolíte, můžete si vybrat z následujících možností:
- Seskupení upozornění do jednoho incidentu, pokud se shodují všechny entity (doporučeno)
- Seskupení všech upozornění aktivovaných tímto pravidlem do jednoho incidentu
- Seskupení výstrah do jednoho incidentu, pokud se vybrané entity shodují (například zdrojové nebo cílové IP adresy).
Můžete také znovu otevřít uzavřené odpovídající incidenty , pokud se vygeneruje jiná výstraha, která patří do dříve uzavřeného incidentu.
Karta Automatizovaná odpověď
V tomto cvičení se nepoužívá.
Karta Nastavení logiky pravidla – cvičení
Na kartě Automatizovaná odpověď vyberte existující pravidlo automatizace nebo vytvořte nové. Pravidla automatizace můžou spouštět playbooky na základě aktivačních událostí a podmínek, které zvolíte.
Další informace o tom, jak vytvořit playbook a spustit automatizovanou aktivitu při vytváření incidentu, najdete v modulu "Reakce na hrozby pomocí playbooků Microsoft Sentinel".
Karta Revize a vytvoření
Na kartě Revize a vytvoření zkontrolujte nastavení, která jste nakonfigurovali v průvodci, než vytvoříte nové pravidlo.