Esercitazione: Rilevare le minacce con Sentinel anteprima di AzureTutorial: Detect threats with Azure Sentinel Preview

Importante

Azure Sentinel è attualmente in anteprima pubblica.Azure Sentinel is currently in public preview. Questa versione di anteprima viene messa a disposizione senza contratto di servizio e non è consigliata per i carichi di lavoro di produzione.This preview version is provided without a service level agreement, and it's not recommended for production workloads. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate.Certain features might not be supported or might have constrained capabilities. Per altre informazioni, vedere Condizioni supplementari per l'utilizzo delle anteprime di Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Dopo aver le origini dati connesse Sentinel di Azure, si desidera ricevere una notifica quando succede qualcosa di sospetto.After you connected your data sources to Azure Sentinel, you want to be notified when something suspicious happens. Per consentire a tale scopo, Azure Sentinel consente di che creare avanzato e le regole di avviso, che generano i casi in cui è possibile assegnare per analizzare completamente le anomalie e le minacce nell'ambiente in uso.To enable you to do this, Azure Sentinel lets you create advanced alert rules, that generate cases that you can assign and use to deeply investigate anomalies and threats in your environment.

Questa esercitazione consente di rilevare le minacce con Sentinel di Azure.This tutorial helps you detect threats with Azure Sentinel.

  • Creare regole di rilevamentoCreate detection rules
  • Rispondere alle minacceRespond to threats

Creare regole di rilevamentoCreate detection rules

Per analizzare i casi, è necessario innanzitutto creare le regole di rilevamento.To investigate cases, you first have to create detection rules.

Nota

Sono disponibili tramite gli avvisi generati in Azure Sentinel Microsoft Graph Security.Alerts generated in Azure Sentinel are available through Microsoft Graph Security. Vedere le documentazione degli avvisi di sicurezza di Microsoft Graph per ulteriori dettagli e i partner di integrazione.Refer to the Microsoft Graph Security alerts documentation for further details and integration partners.

Regole di rilevamento sono basate sui tipi di minacce e anomalie che potrebbero essere sospette nell'ambiente che si desidera conoscere sin da subito, assicurando sono visibili, esaminati e risolti.Detection rules are based on the types of threats and anomalies that could be suspicious in your environment that you want to know about right away, ensuring they are surfaced, investigated, and remediated.

  1. Nel portale di Azure in Azure Sentinel, selezionare Analitica.In the Azure portal under Azure Sentinel, select Analytics.

    Analytics

  2. Nella barra dei menu superiore, fare clic su + Aggiungi.In the top menu bar, click +Add.

    Creare la regola di avviso

  3. Sotto Crea regola di avviso, specificare un nome descrittivo e impostare le gravità in base alle esigenze.Under Create alert rule, provide a descriptive name, and set the Severity as necessary.

  4. Creare la query in Log Analitica e quindi incollarlo nella regola di avviso Set campo.Create the query in Log Analytics, and then paste it into the Set alert rule field. Ecco un esempio di query che potrebbe ricevere un avviso quando un numero anomalo delle risorse viene creato nell'attività di Azure.Here's a sample query that would alert you when an anomalous number of resources is created in Azure Activity.

     AzureActivity
     | where OperationName == "Create or Update Virtual Machine" or OperationName == "Create Deployment"
     | where ActivityStatus == "Succeeded"
     | make-series dcount(ResourceId)  default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller
    
  5. Nel mapping dell'entità sezione, i campi nell'area tipo di entità per eseguire il mapping ai campi dell'entità riconosciuti da Azure Sentinel le colonne nella query.In the Entity mapping section, use the fields under Entity type to map the columns in your query to entity fields recognized by Azure Sentinel. Per ogni campo, eseguire il mapping di colonna corrispondente nella query che è stato creato in Log Analitica, per il campo dell'entità appropriata.For each field, map the relevant column in the query you created in Log Analytics, to the appropriate entity field. Selezionare il nome della colonna pertinente sotto il proprietà.Select the relevant column name under the Property. Ogni entità include più campi, ad esempio SID, GUID, e così via. È possibile eseguire il mapping dell'entità in base a uno dei campi, non solo le entità di livello superiore.Each entity includes multiple fields, for example SID, GUID, etc. You can map the entity according to any of the fields, not just the upper level entity.

  6. Definire le condizioni di attivazione dell'avviso sotto attivazione dell'avviso.Define alert trigger conditions under Alert trigger. Definisce le condizioni che attivano l'avviso.This defines the conditions that trigger the alert.

  7. Impostare il frequenza per la frequenza di esecuzione query - come frequentemente ogni 5 minuti o di frequenza minima di una volta al giorno.Set the Frequency for how often the query is run - as frequently as every 5 minutes or as infrequently as once a day.

  8. Impostare il periodo per controllare l'intervallo di tempo per la quantità di dati viene eseguita la query in - ad esempio, è possibile eseguire ogni ora tra 60 minuti di dati.Set the Period to control the time window for how much data the query runs on - for example, it can run every hour across 60 minutes of data.

  9. È anche possibile impostare il eliminazione.You can also set the Suppression. L'eliminazione è utile quando si vuole arrestare gli avvisi duplicati attivazione per lo stesso evento imprevisto.Suppression is useful when you want to stop duplicate alerts from being triggered for the same incident. In questo modo, è possibile arrestare gli avvisi da attivati durante un periodo specifico.In this way, you can stop alerts from being triggered during a specific period. Ciò consente di evitare avvisi duplicati per lo stesso evento imprevisto e consentono di eliminare gli avvisi consecutivi per un periodo di tempo.This can help you avoid duplicate alerts for the same incident and allow you to suppress consecutive alerts for a period of time. Ad esempio, se il avviso pianificazione frequenza è impostato su 60 minuti e il stagione di avviso è impostato su due ore, e i risultati della query superata definito soglia, attiverà un avviso due volte, una volta quando viene prima rilevato negli ultimi 60 minuti, e anche in questo caso quando è nei primi 60 minuti 2 ore di dati verranno campionati.For example, if the Alert scheduling Frequency is set to 60 minutes, and the Alert scheduling Period is set to two hours, and the query results surpassed the defined threshold, it will trigger an alert twice, once when it is first detected over the last 60 minutes, and again when it is in the first 60 minutes of the 2-hours of data being sampled. È consigliabile che, se viene attivato un avviso, verificare che l'eliminazione deve essere la quantità di tempo impostato nel periodo di avviso.We recommend that if an alert is triggered, the suppression should be for the amount of time set in the alert period. Nel nostro esempio, è possibile impostare la soppressione per 60 minuti, in modo che gli avvisi vengono attivati solo per gli eventi che si sono verificati durante l'ora più recente.In our example, you might want to set suppression for 60 minutes, so that alerts are only triggered for events that happened during the most recent hour.

  10. Dopo che incollare la query nella regola di avviso Set campo, è possibile visualizzare immediatamente una simulazione dell'avviso in simulazione degli avvisi per la logica in modo che è possibile ottenere la comprensione del modo in cui la quantità di dati sarà generato in un intervallo di tempo specifico per l'avviso che è stato creato.After you paste your query into the Set alert rule field, you can immediately see a simulation of the alert under Logic alert simulation so that you can gain understanding of how much data will be generated over a specific time interval for the alert you created. Procedura varia a seconda di ciò che è impostato per Frequency e soglia.This will depend on what you set for Frequency and Threshold. Se viene visualizzato che in Media, l'avviso verrà attivato una frequenza eccessiva, è opportuno impostare il numero di risultati superiore in modo che sia sopra la linea di base medio.If you see that on average, your alert will be triggered too frequently, you will want to set the number of results higher so that it's above your average baseline.

  11. Fare clic su Create per inizializzare la regola di avviso.Click Create to initialize your alert rule. Dopo aver creato l'avviso, viene creato un caso che contiene l'avviso.After the alert is created, a case is created that contains the alert. È possibile visualizzare le regole di rilevamento definiti come righe di Analitica sicurezza scheda. È anche possibile visualizzare il numero di corrispondenze per ogni regola - gli avvisi attivati.You can see the defined detection rules as rows in the Security Analytics tab. You can also see the number of matches for each rule - the alerts triggered. In questo elenco che è possibile abilitare, disabilitare o eliminare ogni regola.From this list you can enable, disable, or delete each rule. È possibile anche a destra selezionare i puntini di sospensione (...) alla fine della riga per ogni modifica, disabilitare, clonare, mostrare le corrispondenze o eliminare una regola dell'avviso.You can also right-select the ellipsis (...) at the end of the row for each alert to edit, disable, clone, show matches, or delete a rule. Il Analitica pagina è una raccolta di tutte le regole di avviso attive, inclusi i modelli si abilita e regole di avviso creata in base a modelli.The Analytics page is a gallery of all your active alert rules, including templates you enable and alert rules you create based on templates.

  12. I risultati le regole di avviso possono essere visualizzati nel casi pagina, in cui è possibile valutare analizzare casi, e risolvere le minacce.The results of the alert rules can be seen in the Cases page, where you can triage, investigate cases, and remediate the threats.

Rispondere alle minacceRespond to threats

Sentinel Azure offre due opzioni principali per rispondere alle minacce tramite Playbook.Azure Sentinel gives you two primary options for responding to threats using playbooks. È possibile impostare un playbook da eseguire automaticamente quando viene attivato un avviso oppure è possibile eseguire manualmente un playbook in risposta a un avviso.You can set a playbook to run automatically when an alert is triggered, or you can manually run a playbook in response to an alert.

  • Impostare un playbook da eseguire automaticamente quando viene attivato un avviso quando si configura il playbook.Set a playbook to run automatically when an alert is triggered when you configure the playbook.

  • Eseguire manualmente un playbook all'interno dell'avviso, facendo clic Visualizza i Playbook e quindi selezionando un playbook per l'esecuzione.Manually run a playbook from inside the alert, by clicking View playbooks and then selecting a playbook to run.

Passaggi successiviNext steps

In questa esercitazione è stato descritto come iniziare a rilevare le minacce tramite Azure Sentinel.In this tutorial, you learned how to get started detecting threats using Azure Sentinel.

Per informazioni su come automatizzare le risposte alle minacce, come rispondere alle minacce tramite Playbook automatizzati.To learn how to automate your responses to threats, how to respond to threats using automated playbooks.

Rispondere alle minacce per automatizzare le risposte alle minacce.Respond to threats to automate your responses to threats.