Wbudowane funkcje wykrywania zagrożeń

Uwaga

Azure Sentinel nosi teraz nazwę Microsoft Sentinel i w najbliższych tygodniach będziemy aktualizować te strony. Dowiedz się więcej o najnowszych ulepszeniach zabezpieczeń firmy Microsoft.

Po połączeniu źródeł danych z usługą Microsoft Sentinel chcesz być powiadamiany, gdy wystąpi coś podejrzanego. Z tego powodu usługa Microsoft Sentinel udostępnia wbudowane szablony, które ułatwiają tworzenie reguł wykrywania zagrożeń.

Szablony reguł zostały zaprojektowane przez zespół analityków i ekspertów firmy Microsoft ds. zabezpieczeń na podstawie znanych zagrożeń, typowych wektorów ataku i łańcuchów eskalacji podejrzanych działań. Reguły utworzone na podstawie tych szablonów będą automatycznie wyszukiwać wszelkie podejrzane działania w całym środowisku. Wiele szablonów można dostosować, aby wyszukiwać działania lub filtrować je zgodnie z potrzebami. Alerty generowane przez te reguły będą tworzyć zdarzenia, które można przypisać i zbadać w środowisku.

Ten artykuł ułatwia zrozumienie sposobu wykrywania zagrożeń za pomocą usługi Microsoft Sentinel:

  • Korzystanie z funkcji wykrywania zagrożeń
  • Automatyzowanie reagowania na zagrożenia

Wyświetlanie wbudowanych wykrywania

Aby wyświetlić wszystkie reguły analizy i wykrycia w u usługach Microsoft Sentinel, przejdź doszablonów reguł usługi Analytics. Ta karta zawiera wszystkie wbudowane reguły usługi Microsoft Sentinel.

Use built-in detections to find threats with Microsoft Sentinel

Wbudowane wykrycia obejmują:

Typ reguły Opis
Zabezpieczenia firmy Microsoft Szablony zabezpieczeń firmy Microsoft automatycznie tworzą zdarzenia usługi Microsoft Sentinel na podstawie alertów generowanych w innych rozwiązaniach zabezpieczeń firmy Microsoft w czasie rzeczywistym. Reguły zabezpieczeń firmy Microsoft mogą być szablonem do tworzenia nowych reguł z podobną logiką.

Aby uzyskać więcej informacji na temat reguł zabezpieczeń, zobacz Automatyczne tworzenie zdarzeń z alertów zabezpieczeń firmy Microsoft.

(niektóre wykrycia w wersji zapoznawczej)
Usługa Microsoft Sentinel używa aparatu korelacji łączenia ze skalowalnymi algorytmami uczenia maszynowego do wykrywania zaawansowanych wieloetapowych ataków przez skorelowanie wielu alertów i zdarzeń o niskiej jakości w wielu produktach w zdarzenia o wysokiej wierności i akcjach. Łączenie jest domyślnie włączone. Ponieważ logika jest ukryta i dlatego nie można jej dostosowywać, za pomocą tego szablonu można utworzyć tylko jedną regułę.

Aparat Fusion może również skorelować alerty wykonywane przez reguły zaplanowanej analizy z alertami z innymi systemami, co w rezultacie spowoduje zdarzenia o wysokiej wierności.
Analiza behawioralna uczenia maszynowego (ML) ML analizy behawioralnej są oparte na zastrzeżonych algorytmach uczenia maszynowego firmy Microsoft, dlatego nie widać wewnętrznej logiki sposobu ich działania i czasu ich uruchamiania.

Ponieważ logika jest ukryta i dlatego nie można jej dostosowywać, można utworzyć tylko jedną regułę z każdym szablonem tego typu.

(Wersja zapoznawcza)
Szablony reguł anomalii używają uczenia maszynowego do wykrywania określonych typów anomalii zachowań. Każda reguła ma własne unikatowe parametry i progi, odpowiednie dla analizowanych zachowań.

Chociaż konfiguracji reguł nie można zmienić ani dostosować, można zduplikować regułę, a następnie zmienić i dostosować duplikat. W takich przypadkach uruchom duplikat w trybie flighting i oryginalny jednocześnie w trybie produkcyjnym. Następnie porównaj wyniki i przełącz duplikat na produkcyjne, jeśli i kiedy jego dostrajanie jest do twoich potrzeb.

Aby uzyskać więcej informacji, zobacz Use customizable anomalies to detect threats in Microsoft Sentinel (Korzystanie z dostosowywalnych anomalii w celu wykrywania zagrożeń w programie Microsoft Sentinel) i Work with anomaly detection analytics rules in Microsoft Sentinel (Praca z regułami analizy wykrywania anomalii w programie Microsoft Sentinel).
Reguły zaplanowanej analizy są oparte na wbudowanych zapytaniach napisanych przez ekspertów firmy Microsoft ds. zabezpieczeń. Możesz wyświetlić logikę zapytania i wprowadzić w nim zmiany. Za pomocą szablonu zaplanowanych reguł można dostosować logikę zapytań i ustawienia planowania w celu utworzenia nowych reguł.

Kilka nowych szablonów reguł analizy zaplanowanej tworzyć alerty, które są skorelowane przez aparat fusion z alertami z innych systemów do tworzenia zdarzeń o wysokiej wierności. Aby uzyskać więcej informacji, zobacz Zaawansowane wieloetapowe wykrywanie ataków.

Porada:Opcje planowania reguł obejmują konfigurowanie reguły do uruchamiania co określoną liczbę minut, godzin lub dni z zegarem rozpoczynającym się po włączeniu reguły.

Zalecamy, aby pamiętać o włączeniu nowej lub edytowanej reguły analizy, aby upewnić się, że reguły uzyskają nowy stos zdarzeń w czasie. Na przykład możesz uruchomić regułę w funkcji synchronizuj z programem , gdy analitycy SOC rozpoczną dzień roboczy, a następnie włączyć reguły.

(Wersja zapoznawcza)
Reguły NRT to ograniczony zestaw zaplanowanych reguł, zaprojektowanych do uruchamiania co minutę, aby dostarczać ci informacje maksymalnie na minutę.

Działają one głównie podobnie jak zaplanowane reguły i są skonfigurowane podobnie, z pewnymi ograniczeniami. Aby uzyskać więcej informacji, zobacz Szybkie wykrywanie zagrożeń przy użyciu reguł analizy niemal w czasie rzeczywistym (NRT, near-real-time) w programie Microsoft Sentinel.

Ważne

  • Szablony reguł wskazane powyżej są obecnie dostępne w wersji ZAPOZNAWCZEJ,podobnie jak niektóre szablony wykrywania łączenia (zobacz Zaawansowane wieloetapowe wykrywanie ataków w programie Microsoft Sentinel, aby zobaczyć, które z nich). Aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub nie są jeszcze ogólnie dostępne, zobacz Dodatkowe warunki użytkowania dotyczące wersji zapoznawczych usługi Microsoft Azure.

  • Tworząc i włączając wszelkie reguły oparte na szablonach analizy zachowania usługi ML, udzielasz firmie Microsoft uprawnień do kopiowania pozyskanych danych poza obszarem geograficznym obszaru roboczego usługi Microsoft Sentinel w razie potrzeby przetwarzania przez aparaty i modele uczenia maszynowego.

Korzystanie z wbudowanych reguł analizy

W tej procedurze opisano sposób używania wbudowanych szablonów reguł analizy.

Aby użyć wbudowanych reguł analitycznych:

  1. Na stronie Szablony reguł usługi Microsoft Sentinel Analytics wybierz nazwę szablonu, a następnie wybierz przycisk Utwórz regułę w okienku szczegółów, aby utworzyć nową aktywną regułę na >>>> podstawie tego szablonu.

    Każdy szablon ma listę wymaganych źródeł danych. Po otwarciu szablonu źródła danych są automatycznie sprawdzane pod kątem dostępności. Jeśli występuje problem z dostępnością, przycisk Utwórz regułę może być wyłączony lub może zostać wyświetlony ostrzeżenie.

    Detection rule preview panel

  2. Wybranie opcji Utwórz regułę powoduje otwarcie kreatora tworzenia reguły na podstawie wybranego szablonu. Wszystkie szczegóły są automatycznie wypełniane, a za pomocą szablonów zabezpieczeń Zaplanowane lub Microsoft można dostosować logikę i inne ustawienia reguł, aby lepiej dopasować je do konkretnych potrzeb. Możesz powtórzyć ten proces, aby utworzyć dodatkowe reguły na podstawie wbudowanego szablonu. Po zakończeniu kroków kreatora tworzenia reguł tworzenie reguły na podstawie szablonu zakończy się. Nowe reguły zostaną wyświetlone na karcie Aktywne reguły.

    Aby uzyskać więcej informacji na temat dostosowywania reguł w kreatorze tworzenia reguł, zobacz Tworzenie niestandardowych reguł analizy w celu wykrywania zagrożeń.

Porada

  • Upewnij się, że włączono wszystkie reguły skojarzone z połączonymi źródłami danych, aby zapewnić pełne pokrycie bezpieczeństwa środowiska. Najbardziej wydajnym sposobem włączenia reguł analizy jest bezpośrednio ze strony łącznika danych, która zawiera listę wszystkich powiązanych reguł. Aby uzyskać więcej informacji, zobacz Połączenie źródła danych.

  • Reguły można również wypychać do usługi Microsoft Sentinel za pośrednictwem interfejsu API i programu PowerShell,chociaż wymaga to dodatkowego nakładu pracy.

    W przypadku korzystania z interfejsu API lub programu PowerShell należy najpierw wyeksportować reguły do pliku JSON przed włączeniem reguł. Interfejs API lub program PowerShell mogą być przydatne podczas włączania reguł w wielu wystąpieniach usługi Microsoft Sentinel z identycznymi ustawieniami w każdym wystąpieniu.

Eksportowanie reguł do szablonu usługi ARM

Możesz łatwo wyeksportować regułę do szablonu usługi Azure Resource Manager (ARM), jeśli chcesz zarządzać regułami i wdrażać je jako kod. Można również importować reguły z plików szablonów w celu wyświetlania i edytowania ich w interfejsie użytkownika.

Następne kroki

  • Aby utworzyć reguły niestandardowe, użyj istniejących reguł jako szablonów lub odwołań. Korzystanie z istniejących reguł jako punktów odniesienia pomaga przez wybudowania większości logiki przed podjęciem jakichkolwiek wymaganych zmian. Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowych reguł analizy w celu wykrywania zagrożeń.

  • Aby dowiedzieć się, jak zautomatyzować odpowiedzi na zagrożenia, zobacz Konfigurowanie automatycznych odpowiedzi na zagrożenia w programie Microsoft Sentinel.