Create a správa vlastních pravidel zjišťování
Platí pro:
- Microsoft Defender XDR
Vlastní pravidla detekce jsou pravidla, která můžete navrhovat a upravovat pomocí pokročilých dotazů proaktivního vyhledávání . Tato pravidla umožňují proaktivně monitorovat různé události a stavy systému, včetně podezřelých aktivit porušení zabezpečení a chybně nakonfigurovaných koncových bodů. Můžete je nastavit tak, aby se spouštěly v pravidelných intervalech a generovaly výstrahy a při každém shodách se chovaly akce odpovědi.
Požadovaná oprávnění pro správu vlastních detekcí
Pokud chcete spravovat vlastní detekce, musíte mít přiřazenou jednu z těchto rolí:
Nastavení zabezpečení (správa) – Uživatelé s tímto oprávněním Microsoft Defender XDR můžou spravovat nastavení zabezpečení na portálu Microsoft Defender.
Správce zabezpečení – Uživatelé s touto rolí Microsoft Entra můžou spravovat nastavení zabezpečení na portálu Microsoft Defender a dalších portálech a službách.
Operátor zabezpečení – uživatelé s touto rolí Microsoft Entra můžou spravovat výstrahy a mít globální přístup jen pro čtení k funkcím souvisejícím se zabezpečením, včetně všech informací na portálu Microsoft Defender. Tato role je dostatečná pro správu vlastních detekcí pouze v případě, že je v Microsoft Defender for Endpoint vypnuté řízení přístupu na základě role (RBAC). Pokud máte nakonfigurovaný RBAC, potřebujete také oprávnění ke správě nastavení zabezpečení pro Defender for Endpoint.
Pokud pro ně máte správná oprávnění, můžete spravovat vlastní detekce, které se vztahují na data z konkrétních Microsoft Defender XDR řešení. Pokud máte například oprávnění ke správě jenom pro Microsoft Defender pro Office 365, můžete vytvářet vlastní detekce pomocí Email*
tabulek, ale ne Identity*
tabulek.
Stejně tak vzhledem k tomu, že IdentityLogonEvents
tabulka obsahuje informace o ověřovací aktivitě z Microsoft Defender for Cloud Apps i defenderu pro identitu, musíte mít oprávnění ke správě obou služeb, abyste mohli spravovat vlastní detekce dotazující se na danou tabulku.
Poznámka
Pokud chcete spravovat vlastní detekce, budou operátoři zabezpečení potřebovat oprávnění ke správě nastavení zabezpečení v Microsoft Defender for Endpoint, pokud je RBAC zapnutý.
Globální správce může spravovat požadovaná oprávnění:
- Roli správce zabezpečení nebo operátora zabezpečení přiřaďte v Centrum pro správu Microsoftu 365 v části Role>Správce zabezpečení.
- Zkontrolujte nastavení RBAC pro Microsoft Defender for Endpoint v Microsoft Defender XDR v části Nastavení>Role oprávnění>. Vyberte odpovídající roli a přiřaďte oprávnění ke správě nastavení zabezpečení .
Poznámka
Aby mohl uživatel pokračovat, musí mít také příslušná oprávnění pro zařízení v oboru zařízení vlastního pravidla detekce, které vytváří nebo upravuje. Uživatel nemůže upravit vlastní pravidlo detekce, které má obor spouštění na všech zařízeních, pokud stejný uživatel nemá oprávnění pro všechna zařízení.
Create vlastní pravidlo detekce
1. Příprava dotazu
Na portálu Microsoft Defender přejděte do části Rozšířené proaktivní vyhledávání a vyberte existující dotaz nebo vytvořte nový dotaz. Při použití nového dotazu spusťte dotaz, abyste identifikovali chyby a porozuměli možným výsledkům.
Důležité
Aby služba nevrácela příliš mnoho výstrah, je každé pravidlo omezeno na generování pouze 100 výstrah při každém spuštění. Před vytvořením pravidla upravte dotaz, abyste se vyhnuli upozorňování na běžnou každodenní aktivitu.
Požadované sloupce ve výsledcích dotazu
Pokud chcete vytvořit vlastní pravidlo detekce, musí dotaz vrátit následující sloupce:
Timestamp
– slouží k nastavení časového razítka pro vygenerované výstrahy.ReportId
– umožňuje vyhledávání původních záznamů.- Jeden z následujících sloupců, který identifikuje konkrétní zařízení, uživatele nebo poštovní schránky:
DeviceId
DeviceName
RemoteDeviceName
RecipientEmailAddress
SenderFromAddress
(odesílatel obálky nebo Return-Path adresa)SenderMailFromAddress
(adresa odesílatele zobrazená e-mailovým klientem)RecipientObjectId
AccountObjectId
AccountSid
AccountUpn
InitiatingProcessAccountSid
InitiatingProcessAccountUpn
InitiatingProcessAccountObjectId
Poznámka
Podpora dalších entit bude přidána při přidávání nových tabulek do schématu rozšířeného proaktivního vyhledávání.
Jednoduché dotazy, například ty, které nepoužívají project
operátor nebo summarize
k přizpůsobení nebo agregaci výsledků, obvykle vrátí tyto běžné sloupce.
Existují různé způsoby, jak zajistit, aby složitější dotazy vrátily tyto sloupce. Pokud například dáváte přednost agregaci a počítání podle entity ve sloupci, jako DeviceId
je , můžete se vrátit Timestamp
a ReportId
získat ji z nejnovější události zahrnující každou jedinečnou DeviceId
hodnotu .
Důležité
Vyhněte se filtrování vlastních detekcí pomocí Timestamp
sloupce. Data použitá pro vlastní detekce jsou předem filtrována na základě frekvence detekce.
Následující ukázkový dotaz spočítá počet jedinečných zařízení (DeviceId
) s antivirovými detekcemi a použije tento počet k vyhledání pouze zařízení s více než pěti detekcemi. Pokud chcete vrátit nejnovější Timestamp
a odpovídající ReportId
, použije summarize
operátor s arg_max
funkcí .
DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5
Tip
Pro lepší výkon dotazů nastavte časový filtr, který odpovídá zamýšlené frekvenci spuštění pravidla. Vzhledem k tomu, že nejméně časté spouštění je každých 24 hodin, filtrování za poslední den pokryje všechna nová data.
2. Create nové pravidlo a uveďte podrobnosti o upozorněních.
Pomocí dotazu v editoru dotazů vyberte Create pravidlo detekce a zadejte následující podrobnosti upozornění:
- Název detekce – název pravidla detekce; by měla být jedinečná
- Frekvence – interval pro spuštění dotazu a provedení akce. Další pokyny najdete v části Četnost pravidel.
- Název upozornění – název zobrazený s upozorněními aktivovanými pravidlem; by měla být jedinečná
- Závažnost – potenciální riziko komponenty nebo aktivity identifikované pravidlem
- Kategorie – součást hrozby nebo aktivita identifikovaná pravidlem
- MITRE ATT&techniky CK – jedna nebo více technik útoku identifikovaných pravidlem, jak je popsáno v architektuře MITRE ATT&CK. Tato část je pro určité kategorie výstrah, včetně malwaru, ransomwaru, podezřelých aktivit a nežádoucího softwaru, skrytý.
- Popis – další informace o komponentě nebo aktivitě identifikované pravidlem
- Doporučené akce – další akce, které mohou respondující osoby provést v reakci na upozornění
Frekvence pravidel
Když uložíte nové pravidlo, spustí se a zkontroluje shody dat za posledních 30 dnů. Pravidlo se pak spustí znovu v pevných intervalech a použije dobu trvání zpětného vyhledávání na základě zvolené frekvence:
- Každých 24 hodin – spouští se každých 24 hodin a kontroluje data za posledních 30 dnů.
- Každých 12 hodin – spouští se každých 12 hodin a kontroluje data za posledních 48 hodin.
- Každé 3 hodiny – spouští se každé 3 hodiny a kontroluje data za posledních 12 hodin.
- Každou hodinu – běží po hodinách a kontroluje data za poslední 4 hodiny.
- Nepřetržitý (NRT) – běží nepřetržitě a kontroluje data z událostí, která se shromažďují a zpracovávají téměř v reálném čase (NRT). Viz Frekvence průběžného (NRT)
Tip
Porovná filtry času v dotazu s dobou trvání zpětného vyhledávání. Výsledky mimo dobu trvání zpětného vyhledávání se ignorují.
Když upravujete pravidlo, spustí se s použitými změnami v dalším čase spuštění naplánovaným podle nastavené frekvence. Frekvence pravidel je založená na časovém razítku události, nikoli na čase příjmu dat.
Průběžná frekvence (NRT)
Když nastavíte vlastní detekci tak, aby se spouštěla frekvence nepřetržitě (NRT), můžete zvýšit schopnost vaší organizace rychleji identifikovat hrozby.
Poznámka
Použití frekvence průběžného (NRT) má minimální až žádný vliv na využití prostředků, a proto by se mělo vzít v úvahu u všech kvalifikovaných vlastních pravidel detekce ve vaší organizaci.
Dotazy, které můžete spouštět nepřetržitě
Dotaz můžete spouštět nepřetržitě za předpokladu, že:
- Dotaz odkazuje pouze na jednu tabulku.
- Dotaz používá operátor ze seznamu podporovaných operátorů KQL. Podporované funkce KQL
- Dotaz nepoužívá spojení, sjednocení ani
externaldata
operátor.
Tabulky, které podporují frekvenci průběžného (NRT)
Detekce téměř v reálném čase jsou podporovány pro následující tabulky:
AlertEvidence
CloudAppEvents
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceInfo
DeviceProcessEvents
DeviceRegistryEvents
EmailAttachmentInfo
EmailEvents
(kroměLatestDeliveryLocation
sloupců aLatestDeliveryAction
)EmailPostDeliveryEvents
EmailUrlInfo
IdentityDirectoryEvents
IdentityLogonEvents
IdentityQueryEvents
UrlClickEvents
Poznámka
Frekvenci průběžného (NRT) můžou podporovat pouze obecně dostupné sloupce.
3. Zvolte ovlivněné entity.
Identifikujte sloupce ve výsledcích dotazu, u kterých očekáváte, že najdete hlavní ovlivněnou nebo ovlivněnou entitu. Dotaz může například vrátit adresy odesílatele (SenderFromAddress
nebo SenderMailFromAddress
) a příjemce (RecipientEmailAddress
). Identifikace, které z těchto sloupců představují hlavní ovlivněnou entitu, pomáhá službě agregovat relevantní výstrahy, korelovat incidenty a cílové akce odpovědi.
Pro každý typ entity (poštovní schránka, uživatel nebo zařízení) můžete vybrat jenom jeden sloupec. Sloupce, které dotaz nevrátí, nejde vybrat.
4. Určení akcí
Vaše vlastní pravidlo detekce může automaticky provádět akce na zařízeních, souborech, uživatelích nebo e-mailech, které dotaz vrátí.
Akce na zařízeních
U zařízení ve sloupci DeviceId
výsledků dotazu se použijí tyto akce:
- Izolovat zařízení – používá Microsoft Defender for Endpoint k použití úplné izolace sítě, která brání zařízení v připojení k jakékoli aplikaci nebo službě. Další informace o izolaci Microsoft Defender for Endpoint počítačů
- Shromážděte balíček pro šetření – shromažďuje informace o zařízení v souboru ZIP. Další informace o balíčku pro šetření Microsoft Defender for Endpoint
- Spuštění antivirové kontroly – provede úplnou Microsoft Defender antivirovou kontrolu na zařízení.
- Zahájení šetření – zahájí automatizované šetření na zařízení.
- Omezit spouštění aplikací – nastaví omezení pro zařízení tak, aby se mohly spouštět jenom soubory podepsané certifikátem vydaným Microsoftem. Další informace o omezeních aplikací s Microsoft Defender for Endpoint
Akce se soubory
Pokud je tato možnost vybrána, můžete u souboru použít akci Povolit/Blokovat . Blokující soubory jsou povolené jenom v případě, že máte oprávnění k nápravě souborů a pokud výsledky dotazu identifikovaly ID souboru, například SHA1. Jakmile je soubor zablokovaný, zablokují se také další instance stejného souboru na všech zařízeních. Můžete určit, na kterou skupinu zařízení se blokování použije, ale ne na konkrétní zařízení.
Pokud je tato možnost vybrána, můžete akci Umístit soubor do karantény použít u souborů ve
SHA1
sloupci ,InitiatingProcessSHA1
SHA256
, neboInitiatingProcessSHA256
ve výsledcích dotazu. Tato akce odstraní soubor z aktuálního umístění a umístí kopii do karantény.
Akce u uživatelů
Pokud je tato možnost vybrána, provede se u uživatelů ve
AccountObjectId
sloupci ,InitiatingProcessAccountObjectId
neboRecipientObjectId
ve výsledcích dotazu akce Označit uživatele jako ohroženého uživatele. Tato akce nastaví úroveň rizika uživatelů v Microsoft Entra ID na "vysokou" a aktivuje odpovídající zásady ochrany identit.Pokud chcete uživateli dočasně zabránit v přihlášení, vyberte Zakázat uživatele .
Výběrem možnosti Vynutit resetování hesla zobrazíte uživateli výzvu ke změně hesla při další přihlašovací relaci.
Disable user
Obě možnosti a Force password reset
vyžadují identifikátor SID uživatele, který je ve sloupcích AccountSid
, InitiatingProcessAccountSid
, RequestAccountSid
a OnPremSid
.
Další podrobnosti o akcích uživatelů najdete v tématu Nápravné akce v Microsoft Defender for Identity.
Akce u e-mailů
Pokud vlastní zjišťování obsahuje e-mailové zprávy, můžete vybrat Přesunout do složky poštovní schránky a přesunout e-mail do vybrané složky (do libovolné složky Nevyžádaná pošta, Doručená pošta nebo Odstraněná pošta ).
Případně můžete vybrat Odstranit e-maily a pak buď přesunout e-maily do složky Odstraněná pošta (obnovitelné odstranění), nebo vybrané e-maily trvale odstranit (pevné odstranění).
Sloupce NetworkMessageId
a RecipientEmailAddress
musí být ve výsledcích výstupu dotazu, aby bylo možné u e-mailových zpráv použít akce.
5. Nastavení oboru pravidla
Nastavte obor a určete, na která zařízení se pravidlo vztahuje. Obor ovlivňuje pravidla, která kontrolují zařízení, a neovlivňuje pravidla, která kontrolují jenom poštovní schránky a uživatelské účty nebo identity.
Při nastavování oboru můžete vybrat:
- Všechna zařízení
- Konkrétní skupiny zařízení
Budou se dotazovat pouze data ze zařízení v oboru. Akce se také provedou jenom na těchto zařízeních.
Poznámka
Uživatelé můžou vytvořit nebo upravit vlastní pravidlo detekce jenom v případě, že mají odpovídající oprávnění pro zařízení zahrnutá v oboru pravidla. Správci například můžou vytvářet nebo upravovat pravidla, která jsou vymezena na všechny skupiny zařízení, jenom pokud mají oprávnění pro všechny skupiny zařízení.
6. Zkontrolujte a zapněte pravidlo.
Po kontrole pravidla vyberte Create a uložte ho. Vlastní pravidlo detekce se okamžitě spustí. Znovu se spustí na základě nakonfigurované frekvence a kontroluje shody, generuje výstrahy a provádí akce odpovědi.
Důležité
Vlastní detekce by se měly pravidelně kontrolovat z důvodu efektivity a účelnosti. Abyste měli jistotu, že vytváříte detekce, které aktivují pravdivá upozornění, projděte si své stávající vlastní detekce podle kroků v tématu Správa existujících vlastních pravidel detekce.
Máte kontrolu nad rozsahem nebo specifičností vlastních detekcí, takže jakákoli falešná upozornění generovaná vlastními detekcemi můžou znamenat, že je potřeba upravit určité parametry pravidel.
Správa existujících vlastních pravidel zjišťování
Můžete zobrazit seznam existujících vlastních pravidel detekce, zkontrolovat jejich předchozí spuštění a zkontrolovat výstrahy, které se aktivovaly. Můžete také spustit pravidlo na vyžádání a upravit ho.
Tip
Výstrahy vyvolané vlastními detekcemi jsou dostupné přes upozornění a rozhraní API incidentů. Další informace najdete v tématu Podporovaná rozhraní MICROSOFT DEFENDER XDR API.
Zobrazení existujících pravidel
Pokud chcete zobrazit všechna existující vlastní pravidla detekce, přejděte na Proaktivní>vlastní pravidla detekce. Stránka obsahuje seznam všech pravidel s následujícími informacemi o spuštění:
- Poslední spuštění – kdy bylo naposledy spuštěno pravidlo, které kontroluje shody dotazů a generuje upozornění
- Stav posledního spuštění – jestli se pravidlo úspěšně spustilo
- Další spuštění – další naplánované spuštění
- Stav – jestli je pravidlo zapnuté nebo vypnuté
Zobrazení podrobností pravidla, úprava pravidla a spuštění pravidla
Pokud chcete zobrazit komplexní informace o vlastním pravidlu detekce, přejděte na Proaktivní>vlastní pravidla detekce a vyberte název pravidla. Pak můžete zobrazit obecné informace o pravidle, včetně informací, jeho stavu spuštění a rozsahu. Na stránce najdete také seznam aktivovaných výstrah a akcí.
Na této stránce můžete s pravidlem provést také následující akce:
- Spustit – spusťte pravidlo okamžitě. Tím se také resetuje interval pro další spuštění.
- Upravit – úprava pravidla bez změny dotazu
- Úprava dotazu – úprava dotazu v rozšířeném proaktivním vyhledávání
- Zapnout / Vypnout – povolte pravidlo nebo zastavte jeho spuštění.
- Odstranit – vypněte pravidlo a odeberte ho.
Zobrazení a správa aktivovaných upozornění
Na obrazovce s podrobnostmi o pravidlech (Proaktivní>>vlastní detekce[název pravidla]) přejděte na Aktivované výstrahy, kde jsou uvedeny výstrahy vygenerované shodami s pravidlem. Výběrem výstrahy zobrazíte podrobné informace o něm a proveďte následující akce:
- Umožňuje spravovat výstrahu nastavením stavu a klasifikace (výstraha true nebo false)
- Propojení výstrahy s incidentem
- Spusťte dotaz, který aktivoval upozornění na rozšířené proaktivní vyhledávání.
Kontrola akcí
Na obrazovce s podrobnostmi o pravidlech (Proaktivní>>vlastní detekce[název pravidla]) přejděte na Aktivované akce, kde jsou uvedeny akce provedené na základě shody s pravidlem.
Tip
Pokud chcete rychle zobrazit informace a provést akci s položkou v tabulce, použijte sloupec výběru [✓] na levé straně tabulky.
Poznámka
Některé sloupce v tomto článku nemusí být v Microsoft Defender for Endpoint dostupné. Zapněte Microsoft Defender XDR pro vyhledávání hrozeb s využitím více zdrojů dat. Pokročilé pracovní postupy proaktivního vyhledávání můžete přesunout z Microsoft Defender for Endpoint do Microsoft Defender XDR pomocí kroků v tématu Migrace dotazů rozšířeného proaktivního vyhledávání z Microsoft Defender for Endpoint.
Viz také
- Přehled vlastních zjišťování
- Přehled rozšířeného proaktivní vyhledávání
- Seznámení s pokročilým dotazovacím jazykem proaktivního vyhledávání
- Migrace pokročilých dotazů proaktivního vyhledávání z Microsoft Defender for Endpoint
- Rozhraní Microsoft Graph Security API pro vlastní detekce
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro