Rilevare le minacce in modo automatico

Dopo aver connesso le origini dati a Azure Sentinel, è necessario ricevere una notifica quando si verifica un evento sospetto. Ecco perché Azure Sentinel fornisce modelli predefiniti per facilitare la creazione di regole di rilevamento delle minacce.

I modelli di regole sono stati progettati dal team di esperti e analisti della sicurezza di Microsoft in base a minacce note, vettori di attacco comuni e catene di escalation delle attività sospette. Le regole create da questi modelli ricercano automaticamente nell'ambiente qualsiasi attività sospetta. Molti dei modelli possono essere personalizzati per cercare le attività o filtrarle in base alle esigenze. Gli avvisi generati da queste regole creeranno eventi imprevisti che è possibile assegnare e analizzare nell'ambiente.

Questo articolo illustra come rilevare le minacce con Azure Sentinel:

  • Usare i rilevamenti di minacce non in uso
  • Automatizzare le risposte alle minacce

Visualizzare i rilevamenti predefiniti

Per visualizzare tutte le regole di analisi e i rilevamenti in Azure Sentinel, passare a Modelli di regole di > analisi. Questa scheda contiene tutte le regole predefinite di Azure Sentinel.

Usare i rilevamenti predefiniti per individuare le minacce con Azure Sentinel

I rilevamenti predefiniti includono:

Tipo regola Descrizione
Sicurezza Microsoft I modelli di sicurezza Microsoft creano automaticamente Azure Sentinel eventi imprevisti dagli avvisi generati in altre soluzioni di sicurezza Microsoft, in tempo reale. È possibile usare le regole di sicurezza Microsoft come modello per creare nuove regole con logica simile.

Per altre informazioni sulle regole di sicurezza, vedere Creare automaticamente eventi imprevisti dagli avvisi di sicurezza Microsoft.
Fusion In base alla tecnologia Fusion, il rilevamento avanzato degli attacchi multi-stage in Azure Sentinel usa algoritmi scalabili di Machine Learning in grado di correlare molti avvisi ed eventi a bassa fedeltà tra più prodotti in eventi imprevisti di alta fedeltà e di azione. Fusion è abilitato per impostazione predefinita. Poiché la logica è nascosta e pertanto non personalizzabile, è possibile creare una sola regola con questo modello.

Il motore Fusion può anche correlare gli avvisi generati dalle regole di analisi pianificate con quelli di altri sistemi, generando di conseguenza eventi imprevisti ad alta fedeltà.
Analisi comportamentale di Machine Learning (ML) ML modelli di analisi comportamentale sono basati su algoritmi proprietari di Machine Learning Microsoft, quindi non è possibile visualizzare la logica interna del loro funzionamento e del momento in cui vengono eseguiti.

Poiché la logica è nascosta e pertanto non personalizzabile, è possibile creare una sola regola con ogni modello di questo tipo.
Anomalia I modelli di regole di anomalia usano soc-ML (Machine Learning) per rilevare tipi specifici di comportamento anomalo. Ogni regola ha parametri e soglie univoci, appropriati per il comportamento analizzato.

Anche se queste configurazioni delle regole non possono essere modificate o ottimizzate, è possibile duplicare la regola, modificare e ottimizzare il duplicato. In questi casi, eseguire il duplicato in modalità Di anteprima e l'originale simultaneamente in modalità produzione. Confrontare quindi i risultati e passare il duplicato a Production se e quando l'ottimizzazione è di proprio gradimento.

Per altre informazioni, vedere Usare anomalie soc-ML per rilevare le minacce in Azure Sentinel e Usare le regole di analisi del rilevamento anomalie in Azure Sentinel.
Programmato Le regole di analisi pianificate si basano su query predefinite scritte da esperti di sicurezza Microsoft. È possibile visualizzare la logica di query e apportarvi modifiche. È possibile usare il modello di regole pianificate e personalizzare la logica di query e le impostazioni di pianificazione per creare nuove regole.

Diversi nuovi modelli di regole di analisi pianificata generano avvisi correlati dal motore Fusion con avvisi di altri sistemi per produrre eventi imprevisti ad alta fedeltà. Per altre informazioni, vedere Rilevamento avanzato di attacchi multistage.

Suggerimento: le opzioni di pianificazione delle regole includono la configurazione della regola per l'esecuzione di ogni numero di minuti, ore o giorni specificato, con l'orologio che inizia quando si abilita la regola.

È consigliabile tenere presente quando si abilita una regola di analisi nuova o modificata per assicurarsi che le regole otterrà il nuovo stack di eventi imprevisti nel tempo. Ad esempio, potrebbe essere necessario eseguire una regola sincronizzata con quando gli analisti SOC iniziano la propria giornata lavorativa e quindi abilitare le regole.

Importante

  • Alcuni rilevamenti nel modello di regola Fusion sono attualmente disponibili in ANTEPRIMA. Per vedere quali rilevamenti sono in anteprima, vedere Rilevamento avanzato di attacchi multistage in Azure Sentinel.

  • I modelli di regole di anomalia sono attualmente disponibili in ANTEPRIMA.

  • I modelli di regole di analisi comportamentale di Machine Learning sono attualmente disponibili in ANTEPRIMA. Creando e abilitando tutte le regole basate sui modelli di analisi del comportamento di ML, si assegna a Microsoft l'autorizzazione per copiare i dati inseriti all'esterno dell'area geografica dell'area di lavoro di Azure Sentinel in base alle esigenze per l'elaborazione da parte dei motori e dei modelli di Machine Learning.

Per altre note legali applicabili alle funzionalità di Azure in versione beta, in anteprima o altrimenti non ancora rilasciate nella disponibilità generale, vedere Condizioni supplementari per l'utilizzo per le anteprime di Microsoft Azure.

Usare le regole di analisi predefinite

Questa procedura descrive come usare i modelli di regole di analisi predefiniti.

Per usare le regole di analisi predefinite:

  1. Nella pagina Azure Sentinel > modelli di regole di Analisi servizi selezionare un nome di modello e quindi selezionare il pulsante Crea regola nel riquadro dei dettagli per creare una nuova regola attiva basata > su tale modello.

    Ogni modello ha un elenco di origini dati obbligatorie. Quando si apre il modello, viene verificata automaticamente la disponibilità delle origini dati. Se si verifica un problema di disponibilità, è possibile che il pulsante Crea regola sia disabilitato o che venga visualizzato un avviso.

    Pannello di anteprima delle regole di rilevamento

  2. Selezionando Crea regola viene aperta la creazione guidata della regola in base al modello selezionato. Tutti i dettagli vengono compilati automaticamente e con i modelli di sicurezza Pianificati o Microsoft è possibile personalizzare la logica e altre impostazioni delle regole in base alle esigenze specifiche. È possibile ripetere questo processo per creare regole aggiuntive basate sul modello predefinito. Dopo aver seguito i passaggi della creazione guidata della regola fino alla fine, sarà stata completata la creazione di una regola basata sul modello. Le nuove regole verranno visualizzate nella scheda Regole attive.

    Per altri dettagli su come personalizzare le regole nella creazione guidata delle regole, vedere Creare regole di analisi personalizzate per rilevare le minacce.

Suggerimento

  • Assicurarsi di abilitare tutte le regole associate alle origini dati connesse per garantire una copertura di sicurezza completa per l'ambiente. Il modo più efficiente per abilitare le regole di analisi è direttamente dalla pagina del connettore dati, che elenca tutte le regole correlate. Per altre informazioni, vedere Connessione origini dati.

  • È anche possibile eseguire il push di regole Azure Sentinel tramite l'API e PowerShell, anche se questa operazione richiede un impegno aggiuntivo.

    Quando si usa l'API o PowerShell, è necessario esportare le regole in JSON prima di abilitare le regole. L'API o PowerShell può essere utile quando si abilitano le regole in più istanze di Azure Sentinel con impostazioni identiche in ogni istanza.

Esportare regole in un modello di Arm

È possibile esportare facilmente la regola in un modello di Azure Resource Manager (ARM) se si vogliono gestire e distribuire le regole come codice. È anche possibile importare regole dai file modello per visualizzarle e modificarle nell'interfaccia utente.

Passaggi successivi

  • Per creare regole personalizzate, usare le regole esistenti come modelli o riferimenti. L'uso di regole esistenti come baseline consente di compilare la maggior parte della logica prima di apportare le modifiche necessarie. Per altre informazioni, vedere Creare regole di analisi personalizzate per rilevare le minacce.

  • Per informazioni su come automatizzare le risposte alle minacce, configurare risposte automatiche alle minacce in Azure Sentinel.