Creare e gestire le regole per i rilevamenti personalizzatiCreate and manage custom detections rules

Importante

Microsoft 365 Defender, il nuovo nome di Microsoft Threat Protection.Welcome to Microsoft 365 Defender, the new name for Microsoft Threat Protection. Per ulteriori informazioni, vedere questo e altri aggiornamenti qui.Read more about this and other updates here. Verrà aggiornato il nome nei prodotti e nei documenti nel prossimo futuroWe'll be updating names in products and in the docs in the near future

Si applica a:Applies to:

  • Microsoft Threat ProtectionMicrosoft Threat Protection

Le regole di rilevamento personalizzate sono regole che è possibile progettare e modificare utilizzando query di caccia avanzate .Custom detection rules are rules you can design and tweak using advanced hunting queries. Queste regole consentono di monitorare in modo proattivo vari eventi e Stati del sistema, tra cui l'attività di violazione sospetta e gli endpoint non configurati correttamente.These rules let you proactively monitor various events and system states, including suspected breach activity and misconfigured endpoints. È possibile impostare gli avvisi e le azioni di risposta ogni volta che si verificano delle corrispondenze.You can set them to run at regular intervals, generating alerts and taking response actions whenever there are matches.

Autorizzazioni necessarie per la gestione dei rilevamenti personalizzatiRequired permissions for managing custom detections

Per gestire i rilevamenti personalizzati, è necessario essere assegnati a uno di questi ruoli:To manage custom detections, you need to be assigned one of these roles:

  • Amministratore della sicurezza: gli utenti che dispongono di questo ruolo di Azure Active Directory possono gestire le impostazioni di sicurezza in Microsoft 365 Security Center e in altri portali e servizi.Security administrator—Users with this Azure Active Directory role can manage security settings in Microsoft 365 security center and other portals and services.

  • Operatore di sicurezza: gli utenti che dispongono di questo ruolo di Azure Active Directory possono gestire gli avvisi e dispongono dell'accesso globale in sola lettura alle funzionalità relative alla sicurezza, incluse tutte le informazioni disponibili in Microsoft 365 Security Center.Security operator—Users with this Azure Active Directory role can manage alerts and have global read-only access to security-related features, including all information in Microsoft 365 security center. Questo ruolo è sufficiente per la gestione dei rilevamenti personalizzati solo se il controllo di accesso basato sui ruoli (RBAC) è disattivato in Microsoft Defender ATP.This role is sufficient for managing custom detections only if role-based access control (RBAC) is turned off in Microsoft Defender ATP. Se sono stati configurati RBAC, è necessaria anche l'autorizzazione Gestisci impostazioni di sicurezza per Microsoft Defender ATP.If you have RBAC configured, you also need the manage security settings permission for Microsoft Defender ATP.

Per gestire le autorizzazioni necessarie, un amministratore globale può:To manage required permissions, a global administrator can:

  • Assegnare l' amministratore della sicurezza o il ruolo di operatore di sicurezza nell'interfaccia di amministrazione di Microsoft 365 in roles > Security admin.Assign the security administrator or security operator role in Microsoft 365 admin center under Roles > Security admin.
  • Controllare le impostazioni di RBAC per Microsoft Defender ATP in Microsoft Defender Security Center in Settings > Permissions > roles.Check RBAC settings for Microsoft Defender ATP in Microsoft Defender Security Center under Settings > Permissions > Roles. Selezionare il ruolo corrispondente per assegnare l'autorizzazione Gestisci impostazioni di sicurezza .Select the corresponding role to assign the manage security settings permission.

Nota

Per gestire i rilevamenti personalizzati, gli operatori di sicurezza avranno bisogno dell'autorizzazione Gestisci impostazioni di sicurezza in Microsoft Defender ATP se RBAC è attivato.To manage custom detections, security operators will need the manage security settings permission in Microsoft Defender ATP if RBAC is turned on.

Creare una regola di rilevamento personalizzataCreate a custom detection rule

1. preparare la query.1. Prepare the query.

In Microsoft 365 Security Center, andare a ricerca avanzata e selezionare una query esistente o creare una nuova query.In Microsoft 365 security center, go to Advanced hunting and select an existing query or create a new query. Quando si utilizza una nuova query, eseguire la query per identificare gli errori e comprendere i possibili risultati.When using a new query, run the query to identify errors and understand possible results.

Importante

Per evitare che il servizio restituisca troppi avvisi, ogni regola è limitata alla generazione di soli 100 avvisi ogni volta che viene eseguita.To prevent the service from returning too many alerts, each rule is limited to generating only 100 alerts whenever it runs. Prima di creare una regola, modificare la query per evitare di ricevere avvisi per attività quotidiane normali.Before creating a rule, tweak your query to avoid alerting for normal, day-to-day activity.

Colonne obbligatorie nei risultati della queryRequired columns in the query results

Per creare una regola di rilevamento personalizzata, è necessario che la query restituisca le colonne seguenti:To create a custom detection rule, the query must return the following columns:

  • Timestamp-utilizzato per impostare il timestamp per gli avvisi generatiTimestamp—used to set the timestamp for generated alerts
  • ReportId-consente di abilitare le ricerche per i record originaliReportId—enables lookups for the original records
  • Una delle colonne seguenti che identificano i dispositivi, gli utenti o le cassette postali specifici:One of the following columns that identify specific devices, users, or mailboxes:
    • DeviceId
    • DeviceName
    • RemoteDeviceName
    • RecipientEmailAddress
    • SenderFromAddress (mittente busta o indirizzo del percorso restituito)SenderFromAddress (envelope sender or Return-Path address)
    • SenderMailFromAddress (indirizzo mittente visualizzato dal client di posta elettronica)SenderMailFromAddress (sender address displayed by email client)
    • RecipientObjectId
    • AccountObjectId
    • AccountSid
    • AccountUpn
    • InitiatingProcessAccountSid
    • InitiatingProcessAccountUpn
    • InitiatingProcessAccountObjectId

Nota

Il supporto per altre entità verrà aggiunto quando vengono aggiunte nuove tabelle allo schema di caccia avanzato.Support for additional entities will be added as new tables are added to the advanced hunting schema.

Query semplici, ad esempio quelle che non utilizzano l' project summarize operatore OR per personalizzare o aggregare i risultati, generalmente restituiscono queste colonne comuni.Simple queries, such as those that don't use the project or summarize operator to customize or aggregate results, typically return these common columns.

Sono disponibili vari modi per garantire che le query più complesse restituiscano queste colonne.There are various ways to ensure more complex queries return these columns. Ad esempio, se si preferisce aggregare e contare per entità in una colonna come DeviceId , è comunque possibile restituire Timestamp e ReportId ottenere dall'evento più recente che coinvolgono ogni Unique DeviceId .For example, if you prefer to aggregate and count by entity under a column such as DeviceId, you can still return Timestamp and ReportId by getting it from the most recent event involving each unique DeviceId.

La query di esempio seguente conta il numero di dispositivi univoci ( DeviceId ) con rilevamenti antivirus e utilizza questo conteggio per trovare solo i dispositivi con più di cinque rilevamenti.The sample query below counts the number of unique devices (DeviceId) with antivirus detections and uses this count to find only the devices with more than five detections. Per restituire l'ultima Timestamp e la corrispondente ReportId , viene utilizzato l' summarize operatore con la arg_max funzione.To return the latest Timestamp and the corresponding ReportId, it uses the summarize operator with the arg_max function.

DeviceEvents
| where Timestamp > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

Suggerimento

Per migliorare le prestazioni delle query, impostare un filtro temporale che corrisponda alla frequenza di esecuzione desiderata per la regola.For better query performance, set a time filter that matches your intended run frequency for the rule. Poiché l'esecuzione meno frequente è ogni 24 ore, il filtro per il giorno precedente riguarderà tutti i nuovi dati.Since the least frequent run is every 24 hours, filtering for the past day will cover all new data.

2. creare una nuova regola e fornire informazioni dettagliate sugli avvisi.2. Create new rule and provide alert details.

Con la query nell'editor di query, selezionare Crea regola di rilevamento e specificare gli avvisi seguenti:With the query in the query editor, select Create detection rule and specify the following alert details:

  • Nome del rilevamento-nome della regola di rilevamentoDetection name—name of the detection rule
  • Frequenza: intervallo per l'esecuzione della query e l'azione.Frequency—interval for running the query and taking action. Per ulteriori informazioni, vedereSee additional guidance below
  • Titolo avviso-titolo visualizzato con gli avvisi attivati dalla regolaAlert title—title displayed with alerts triggered by the rule
  • Severity-potenziale rischio del componente o dell'attività identificata dalla regolaSeverity—potential risk of the component or activity identified by the rule
  • Categoria-componente di minaccia o attività identificata dalla regolaCategory—threat component or activity identified by the rule
  • Mitre att&tecniche CK: una o più tecniche di attacco identificate dalla regola come documentate nel Framework di Mitre att&CK.MITRE ATT&CK techniques—one or more attack techniques identified by the rule as documented in the MITRE ATT&CK framework. Questa sezione è nascosta per alcune categorie di avviso, tra cui malware, ransomware, attività sospette e software indesideratoThis section is hidden for certain alert categories, including malware, ransomware, suspicious activity, and unwanted software
  • Descrizione: altre informazioni sul componente o l'attività identificata dalla regolaDescription—more information about the component or activity identified by the rule
  • Azioni consigliate: azioni aggiuntive che i risponditori potrebbero prendere in risposta a un avvisoRecommended actions—additional actions that responders might take in response to an alert

Frequenza delle regoleRule frequency

Quando si salva o si modifica una nuova regola, viene eseguito e vengono verificate le corrispondenze degli ultimi 30 giorni di dati.When you save or edit a new rule, it runs and checks for matches from the past 30 days of data. La regola viene quindi eseguita di nuovo a intervalli fissi, applicando una durata lookback in base alla frequenza scelta:The rule then runs again at fixed intervals, applying a lookback duration based on the frequency you choose:

  • Ogni 24 ore: viene eseguito ogni 24 ore, controllando i dati degli ultimi 30 giorni.Every 24 hours—runs every 24 hours, checking data from the past 30 days
  • Ogni 12 ore: viene eseguito ogni 12 ore, controllando i dati delle ultime 24 ore.Every 12 hours—runs every 12 hours, checking data from the past 24 hours
  • Ogni 3 ore: viene eseguito ogni 3 ore, controllando i dati delle ultime 6 ore.Every 3 hours—runs every 3 hours, checking data from the past 6 hours
  • Ogni ora: viene eseguito ogni ora, controllando i dati delle ultime 2 ore.Every hour—runs hourly, checking data from the past 2 hours

Suggerimento

Corrispondono ai filtri temporali della query con la durata di lookback.Match the time filters in your query with the lookback duration. I risultati al di fuori della durata di lookback vengono ignorati.Results outside of the lookback duration are ignored.

Selezionare la frequenza corrispondente alla misura in cui si desidera monitorare i rilevamenti.Select the frequency that matches how closely you want to monitor detections. Si consideri la capacità dell'organizzazione di rispondere agli avvisi.Consider your organization's capacity to respond to the alerts.

3. scegliere le entità interessate.3. Choose the impacted entities.

Identificare le colonne nei risultati della query in cui si prevede di trovare l'entità interessata o con l'impatto principale.Identify the columns in your query results where you expect to find the main affected or impacted entity. Ad esempio, una query potrebbe restituire SenderFromAddress gli indirizzi mittente (o SenderMailFromAddress ) e destinatario ( RecipientEmailAddress ).For example, a query might return sender (SenderFromAddress or SenderMailFromAddress) and recipient (RecipientEmailAddress) addresses. Identificare quali di queste colonne rappresentano la principale entità interessata aiuta gli avvisi rilevanti di aggregazione del servizio, la correlazione degli incidenti e le azioni di risposta di destinazione.Identifying which of these columns represent the main impacted entity helps the service aggregate relevant alerts, correlate incidents, and target response actions.

È possibile selezionare una sola colonna per ogni tipo di entità (cassetta postale, utente o dispositivo).You can select only one column for each entity type (mailbox, user, or device). Le colonne non restituite dalla query non possono essere selezionate.Columns that are not returned by your query can't be selected.

4. specificare le azioni.4. Specify actions.

La regola di rilevamento personalizzata può eseguire automaticamente azioni su dispositivi, file o utenti restituiti dalla query.Your custom detection rule can automatically take actions on devices, files, or users that are returned by the query.

Azioni sui dispositiviActions on devices

Queste azioni vengono applicate ai dispositivi nella DeviceId colonna dei risultati della query:These actions are applied to devices in the DeviceId column of the query results:

Azioni sui fileActions on files

Se si seleziona questa opzione, è possibile scegliere di applicare l'azione file di quarantena sui file nella SHA1 colonna,, InitiatingProcessSHA1 SHA256 o InitiatingProcessSHA256 dei risultati della query.When selected, you can choose to apply the Quarantine file action on files in the SHA1, InitiatingProcessSHA1, SHA256, or InitiatingProcessSHA256 column of the query results. Questa azione consente di eliminare il file dal percorso corrente e di collocarne una copia in quarantena.This action deletes the file from its current location and places a copy in quarantine.

Azioni sugli utentiActions on users

Se si seleziona questa opzione, l' utente Contrassegno come azione compromessa viene utilizzato per gli utenti nella AccountObjectId InitiatingProcessAccountObjectId colonna, o RecipientObjectId dei risultati della query.When selected, the Mark user as compromised action is taken on users in the AccountObjectId, InitiatingProcessAccountObjectId, or RecipientObjectId column of the query results. Questa azione imposta il livello di rischio degli utenti su "High" in Azure Active Directory, attivando i criteri di protezione dell'identitàcorrispondenti.This action sets the users risk level to "high" in Azure Active Directory, triggering corresponding identity protection policies.

Nota

L'azione Consenti o blocca per le regole di rilevamento personalizzate non è attualmente supportata su Microsoft Threat Protection.The allow or block action for custom detection rules is currently not supported on Microsoft Threat Protection.

5. impostare l'ambito della regola.5. Set the rule scope.

Impostare l'ambito per specificare quali dispositivi sono coperti dalla regola.Set the scope to specify which devices are covered by the rule. L'ambito influenza le regole che controllano i dispositivi e non influisce sulle regole che controllano solo le cassette postali e gli account utente o le identità.The scope influences rules that check devices and doesn't affect rules that check only mailboxes and user accounts or identities.

Quando si imposta l'ambito, è possibile selezionare:When setting the scope, you can select:

  • Tutti i dispositiviAll devices
  • Gruppi di dispositivi specificiSpecific device groups

Verrà eseguita una query solo sui dati dei dispositivi nell'ambito.Only data from devices in scope will be queried. Inoltre, le azioni verranno eseguite solo su tali dispositivi.Also, actions will be taken only on those devices.

6. rivedere e accendere la regola.6. Review and turn on the rule.

Dopo aver esaminato la regola, fare clic su Crea per salvarla.After reviewing the rule, select Create to save it. Viene eseguita immediatamente la regola di rilevamento personalizzata.The custom detection rule immediately runs. Viene eseguito di nuovo in base alla frequenza configurata per verificare la corrispondenza, generare avvisi e prendere le azioni di risposta.It runs again based on configured frequency to check for matches, generate alerts, and take response actions.

Gestire le regole di rilevamento personalizzate esistentiManage existing custom detection rules

È possibile visualizzare l'elenco delle regole di rilevamento personalizzate esistenti, verificare le relative esecuzioni precedenti ed esaminare gli avvisi che sono stati attivati.You can view the list of existing custom detection rules, check their previous runs, and review the alerts they have triggered. È inoltre possibile eseguire una regola su richiesta e modificarla.You can also run a rule on demand and modify it.

Visualizzazione delle regole esistentiView existing rules

Per visualizzare tutte le regole di rilevamento personalizzate esistenti, passare a ricercadi > rilevamenti personalizzati.To view all existing custom detection rules, navigate to Hunting > Custom detections. Nella pagina sono elencate tutte le regole con le seguenti informazioni di esecuzione:The page lists all the rules with the following run information:

  • Ultima esecuzione: quando è stata eseguita l'ultima esecuzione di una regola per verificare la corrispondenza di query e generare avvisiLast run—when a rule was last run to check for query matches and generate alerts
  • Stato ultima esecuzione-se una regola ha avuto esito positivoLast run status—whether a rule ran successfully
  • Esecuzione successiva: la successiva esecuzione pianificataNext run—the next scheduled run
  • Stato: se una regola è stata attivata o disattivataStatus—whether a rule has been turned on or off

Visualizzare i dettagli delle regole, modificare la regola e eseguire la regolaView rule details, modify rule, and run rule

Per visualizzare informazioni complete su una regola di rilevamento personalizzata, andare alla ricercadi > rilevamenti personalizzati e quindi selezionare il nome della regola.To view comprehensive information about a custom detection rule, go to Hunting > Custom detections and then select the name of rule. È quindi possibile visualizzare le informazioni generali sulla regola, incluse le informazioni relative allo stato e all'ambito di esecuzione.You can then view general information about the rule, including information its run status and scope. La pagina fornisce anche l'elenco degli avvisi e delle azioni attivati.The page also provides the list of triggered alerts and actions.

Pagina dei dettagli delle regole di rilevamento personalizzateCustom detection rule details page
Dettagli sulle regole di rilevamento personalizzateCustom detection rule details

È inoltre possibile eseguire le azioni seguenti sulla regola da questa pagina:You can also take the following actions on the rule from this page:

  • Esegui-eseguire immediatamente la regola.Run—run the rule immediately. Questo reimposta anche l'intervallo per la successiva esecuzione.This also resets the interval for the next run.
  • Modifica: consente di modificare la regola senza modificare la queryEdit—modify the rule without changing the query
  • Modify query-modificare la query in Advanced HuntingModify query—edit the query in advanced hunting
  • Attiva / Disattiva: attiva la regola o Interrompi l'esecuzioneTurn on / Turn off—enable the rule or stop it from running
  • Elimina (Delete)-disattiva la regola e rimuovilaDelete—turn off the rule and remove it

Visualizzare e gestire gli avvisi attivatiView and manage triggered alerts

Nella schermata Dettagli regola (cacciaai > rilevamenti personalizzati > [nome regola]), andare a avvisi attivati, in cui sono elencati gli avvisi generati dalle corrispondenze alla regola.In the rule details screen (Hunting > Custom detections > [Rule name]), go to Triggered alerts, which lists the alerts generated by matches to the rule. Selezionare un avviso per visualizzare informazioni dettagliate su di esso e intraprendere le azioni seguenti:Select an alert to view detailed information about it and take the following actions:

  • Gestire l'avviso impostando lo stato e la classificazione (avviso vero o falso)Manage the alert by setting its status and classification (true or false alert)
  • Collegare l'avviso a un evento imprevistoLink the alert to an incident
  • Eseguire la query che ha attivato l'avviso per la ricerca avanzataRun the query that triggered the alert on advanced hunting

Esaminare le azioniReview actions

Nella schermata Dettagli regola (cacciaai > rilevamenti personalizzati > [nome regola]), andare a azioni attivate, in cui sono elencate le azioni eseguite in base alle corrispondenze alla regola.In the rule details screen (Hunting > Custom detections > [Rule name]), go to Triggered actions, which lists the actions taken based on matches to the rule.

Suggerimento

Per visualizzare rapidamente le informazioni e intervenire su un elemento di una tabella, utilizzare la colonna di selezione [✓] a sinistra della tabella.To quickly view information and take action on an item in a table, use the selection column [✓] at the left of the table.