Fenyegetések beépített észlelése
Megjegyzés
Az Azure Sentinel neve mostantól Microsoft Sentinel, és a következő hetekben frissítjük ezeket az oldalakat. További információ a Microsoft legújabb biztonsági fejlesztéseiről.
Miután csatlakoztatta az adatforrásokat a Microsoft Sentinelhez, értesítést szeretne kapni, ha valami gyanús történik. A Microsoft Sentinel ezért kínál beépített sablonokat a fenyegetésészlelési szabályok létrehozásához.
A szabálysablonokat a Microsoft biztonsági szakértőiből és elemzőiből álló csapata tervezte ismert fenyegetések, gyakori támadási vektorok és gyanús tevékenységeszkalációs láncok alapján. Az ezekből a sablonokból létrehozott szabályok automatikusan rákeresnek a környezetben a gyanúsnak tűnő tevékenységekre. Számos sablon testre szabható, hogy az igényeinek megfelelően keressen tevékenységeket, vagy szűrje ki őket. A szabályok által generált riasztások incidenseket hoznak létre, amelyeket hozzárendelhet és kivizsgálhat a környezetben.
Ez a cikk segít megérteni, hogyan észlelheti a fenyegetéseket a Microsoft Sentinellel:
- Beépített fenyegetésészlelések használata
- Fenyegetésekre adott válaszok automatizálása
Beépített észlelések megtekintése
A Microsoft Sentinel összes elemzési szabályának és észlelésének megtekintéséhez nyissa meg az Elemzési>szabályok sablonokat. Ez a lap az összes beépített Microsoft Sentinel-szabályt tartalmazza.
A beépített észlelések a következők:
| Szabály típusa | Description |
|---|---|
| A Microsoft biztonsága | A Microsoft biztonsági sablonjai automatikusan létrehoznak Microsoft Sentinel-incidenseket a Microsoft más biztonsági megoldásaiban létrehozott riasztásokból valós időben. A Microsoft biztonsági szabályait sablonként használva hasonló logikájú új szabályokat hozhat létre. További információ a biztonsági szabályokról: Incidensek automatikus létrehozása a Microsoft biztonsági riasztásaiból. |
| Fusion (néhány észlelés az előzetes verzióban) |
A Microsoft Sentinel a fúziós korrelációs motor és a méretezhető gépi tanulási algoritmusok segítségével észleli a fejlett többlépcsős támadásokat azáltal, hogy számos alacsony megbízhatóságú riasztást és eseményt korrelál több termékben magas megbízhatóságú és végrehajtható incidensekké. A fúzió alapértelmezés szerint engedélyezve van. Mivel a logika rejtett, ezért nem testreszabható, csak egy szabályt hozhat létre ezzel a sablonnal. A Fúziós motor az ütemezett elemzési szabályok által létrehozott riasztásokat is korrelálhatja más rendszerekből származó riasztásokkal, ami nagy megbízhatóságú incidenseket eredményez. |
| Gépi tanulási (ML) viselkedéselemzés | A gépi tanulási viselkedéselemzési sablonok saját microsoftos gépi tanulási algoritmusokon alapulnak, így nem láthatja a működésük és futtatásuk belső logikáját. Mivel a logika rejtett, ezért nem testreszabható, csak egy szabályt hozhat létre az ilyen típusú sablonokkal. |
| Anomália (Előzetes verzió) |
Az anomáliadetektálási szabálysablonok gépi tanulással észlelik a rendellenes viselkedés bizonyos típusait. Minden szabály saját egyedi paraméterekkel és küszöbértékekkel rendelkezik, az elemzett viselkedésnek megfelelően. Bár a beépített szabályok konfigurációi nem módosíthatók vagy finomhangolhatók, duplikálhat egy szabályt, majd módosíthatja és finomhangolhatja az ismétlődést. Ilyen esetekben futtassa a duplikáltat Flighting módban, az eredetit pedig egyidejűleg Éles módban. Ezután hasonlítsa össze az eredményeket, és állítsa át a duplikált értéket élesre , ha és amikor a finomhangolás az Ön tetszése szerint történik. További információ: Testre szabható anomáliák használata a fenyegetések észleléséhez a Microsoft Sentinelben és a Microsoft Sentinel anomáliadetektálási elemzési szabályainak használata. |
| Ütemezett | Az ütemezett elemzési szabályok a Microsoft biztonsági szakértői által írt beépített lekérdezéseken alapulnak. Megtekintheti a lekérdezési logikát, és módosíthatja azt. Az ütemezett szabályok sablonjának használatával testre szabhatja a lekérdezési logikát és az ütemezési beállításokat új szabályok létrehozásához. Számos új ütemezett elemzési szabálysablon olyan riasztásokat hoz létre, amelyeket a Fusion motor és más rendszerek riasztásai korrelálnak a nagy megbízhatóságú incidensek létrehozásához. További információ: Speciális többlépéses támadásészlelés. Tipp: A szabályütemezési beállítások közé tartozik a szabály konfigurálása úgy, hogy meghatározott számú percben, órában vagy naponként fusson, és az óra a szabály engedélyezésekor indul el. Azt javasoljuk, hogy vegye figyelembe, hogy mikor engedélyezi az új vagy szerkesztett elemzési szabályt, hogy a szabályok időben megkapják az új incidenssorozatot. Előfordulhat például, hogy szinkronizálva szeretne futtatni egy szabályt, amikor az SOC-elemzők elkezdik a munkanapjukat, és akkor engedélyezik a szabályokat. |
| Közel valós idejű (NRT) (Előzetes verzió) |
Az NRT-szabályok az ütemezett szabályok korlátozott készletei, amelyek percenként egyszer futnak, hogy a lehető legperces információval szolgálhassanak. Ezek többnyire az ütemezett szabályokhoz hasonlóan működnek, és bizonyos korlátozásokkal hasonlóan vannak konfigurálva. További információ: Fenyegetések gyors észlelése közel valós idejű (NRT) elemzési szabályokkal a Microsoft Sentinelben. |
Fontos
A fent említett szabálysablonok jelenleg előzetes verzióban érhetők el, ahogyan a fúziós észlelési sablonok is (a Microsoft Sentinel speciális többlépcsős támadásészlelésével kapcsolatos cikkből megtudhatja, hogy mely sablonokat használja). A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Az ml-viselkedéselemzési sablonokon alapuló szabályok létrehozásával és engedélyezésével engedélyt ad a Microsoftnak arra, hogy a betöltött adatokat a Microsoft Sentinel-munkaterület földrajzi helyén kívül másolja a gépi tanulási motorok és modellek feldolgozásához szükséges módon.
Beépített elemzési szabályok használata
Ez az eljárás a beépített elemzési szabályok sablonjainak használatát ismerteti.
Beépített elemzési szabályok használata:
A Microsoft Sentinel >Analytics-szabálysablonok> lapján válasszon egy sablonnevet, majd a Részletek panelen a Szabály létrehozása gombra kattintva hozzon létre egy új aktív szabályt a sablon alapján.
Minden sablon tartalmazza a szükséges adatforrások listáját. A sablon megnyitásakor a rendszer automatikusan ellenőrzi az adatforrások rendelkezésre állását. Rendelkezésre állási probléma esetén a Szabály létrehozása gomb le van tiltva, vagy erre figyelmeztető üzenet jelenhet meg.
A Szabály létrehozása lehetőség kiválasztásával megnyílik a szabálylétrehozási varázsló a kiválasztott sablon alapján. A rendszer minden részletet automatikusan kitölt, és az Ütemezett vagy a Microsoft biztonsági sablonjaival testre szabhatja a logikát és az egyéb szabálybeállításokat, hogy jobban megfeleljen az igényeinek. Ezt a folyamatot megismételve további szabályokat hozhat létre a beépített sablon alapján. Miután a szabálylétrehozó varázsló lépéseit végig követte, a sablonon alapuló szabály létrehozása befejeződött. Az új szabályok az Aktív szabályok lapon jelennek meg.
A szabályok a szabálylétrehozó varázslóban történő testreszabásával kapcsolatos további részletekért lásd: Egyéni elemzési szabályok létrehozása a fenyegetések észleléséhez.
Tipp
Győződjön meg arról, hogy a csatlakoztatott adatforrásokhoz társított összes szabályt engedélyezi a környezet teljes biztonsági lefedettségének biztosítása érdekében. Az elemzési szabályok engedélyezésének leghatékonyabb módja közvetlenül az adatösszekötő oldaláról érhető el, amely felsorolja a kapcsolódó szabályokat. További információ: Adatforrások csatlakoztatása.
A szabályokat az API-n és a PowerShellen keresztül is leküldheti a Microsoft Sentinelnek, bár ehhez további erőfeszítésre van szükség.
API vagy PowerShell használata esetén a szabályok engedélyezése előtt először exportálnia kell a szabályokat A JSON-ba. Az API vagy a PowerShell akkor lehet hasznos, ha a Microsoft Sentinel több példányában azonos beállításokkal rendelkező szabályokat engedélyez az egyes példányokban.
Szabályok exportálása ARM-sablonba
Ha kódként szeretné kezelni és üzembe helyezni a szabályokat, egyszerűen exportálhatja a szabályt egy Azure Resource Manager- (ARM-) sablonba . A szabályokat sablonfájlokból is importálhatja, hogy megtekinthesse és szerkessze őket a felhasználói felületen.
Következő lépések
Egyéni szabályok létrehozásához használja a meglévő szabályokat sablonként vagy hivatkozásként. A meglévő szabályok alapkonfigurációként való használata segít kiépíteni a legtöbb logikát, mielőtt bármilyen szükséges módosítást végezne. További információ: Egyéni elemzési szabályok létrehozása a fenyegetések észleléséhez.
Ha meg szeretné tudni, hogyan automatizálhatja a fenyegetésekre adott válaszokat, állítsa be az automatikus fenyegetésekre adott válaszokat a Microsoft Sentinelben.