Создание и управление пользовательскими правилами обнаружения

Примечание

Хотите попробовать Microsoft 365 Defender? Узнайте больше о том, как оценить и выполнить пилотное Microsoft 365 Defender.

Область применения:

  • Microsoft 365 Defender
  • Microsoft Defender для конечной точки

Настраиваемые правила обнаружения — это правила, которые можно разработать и настроить с помощью расширенных запросов на охоту. Эти правила позволяет активно отслеживать различные события и состояния системы, в том числе предполагаемые нарушения и неправильные конечные точки. Вы можете настроить их на запуск с регулярными интервалами, чтобы создавать оповещения и предпринимать ответные действия при совпадениях.

Необходимые разрешения для управления пользовательскими обнаружениями

Для управления пользовательскими обнаружениями вам должна быть назначена одна из следующих ролей.

  • Администратор безопасности— пользователи с Azure Active Directory могут управлять настройками безопасности на портале Microsoft 365 Defender и других порталах и службах.

  • Оператор безопасности— пользователи с Azure Active Directory могут управлять оповещениями и иметь глобальный доступ только для чтения к функциям, связанным с безопасностью, включая всю информацию на Microsoft 365 Defender портале. Эта роль достаточна для управления пользовательскими обнаружениями только в том случае, если управление доступом на основе ролей (RBAC) отключено в Microsoft Defender для endpoint. Если настроена RBAC, необходимо также разрешение на управление настройками безопасности для Defender для конечной точки.

Вы также можете управлять пользовательскими обнаружениями, применимыми к данным из определенных Microsoft 365 Defender решений, если у вас есть разрешения для них. Например, если у вас есть разрешения Microsoft 365 Defender для Office, Email можно создавать настраиваемые обнаружения с помощью таблиц, но не Identity таблиц.

Чтобы управлять требуемой разрешениями, глобальный администратор может:

  • Назначьте администратору безопасности или оператору безопасности роль в Центр администрирования Microsoft 365 под администратором RolesSecurity > .
  • Проверьте параметры RBAC для Microsoft Defender для конечной точки в Microsoft 365 Defender в Параметры > PermissionsRoles > . Выберите соответствующую роль, чтобы назначить разрешение на управление настройками безопасности .

Примечание

Для управления пользовательскими обнаружениями операторам безопасности потребуется разрешение на управление настройками безопасности в Microsoft Defender для конечной точки, если включен RBAC.

Создание настраиваемой нормы обнаружения

1. Подготовка запроса.

На портале Microsoft 365 Defender перейдите на расширенный поиск и выберите существующий запрос или создайте новый запрос. При использовании нового запроса запустите запрос, чтобы выявить ошибки и понять возможные результаты.

Важно!

Чтобы служба не возвращала слишком много оповещений, каждое правило может создавать только 100 оповещений при каждом запуске. Прежде чем создавать правило, отрегулируйте запрос, чтобы избежать оповещений об обычной ежедневной активности.

Обязательные столбцы в результатах запроса

Чтобы создать настраиваемое правило обнаружения, запрос обязан возвращает следующие столбцы.

  • Timestamp— используется для набора времени для генерируемых оповещений
  • ReportId— позволяет искать исходные записи
  • Один из следующих столбцов, которые определяют определенные устройства, пользователей или почтовые ящики.
    • DeviceId
    • DeviceName
    • RemoteDeviceName
    • RecipientEmailAddress
    • SenderFromAddress (отправитель конверта или адрес Return-Path)
    • SenderMailFromAddress (адрес отправителя, отображенный клиентом электронной почты)
    • RecipientObjectId
    • AccountObjectId
    • AccountSid
    • AccountUpn
    • InitiatingProcessAccountSid
    • InitiatingProcessAccountUpn
    • InitiatingProcessAccountObjectId

Примечание

Поддержка дополнительных сущностями будет добавлена по мере того, как новые таблицы будут добавлены в продвинутую схему охоты.

Простые запросы, например project summarize запросы, которые не используют оператор или оператор для настройки или агрегированных результатов, обычно возвращают эти общие столбцы.

Существуют различные способы обеспечения более сложных запросов, возвращая эти столбцы. Например, если DeviceIdвы предпочитаете агрегировать и считать по сущности в столбце, например, вы Timestamp ReportId можете вернуться и получить его из последнего события с участием каждого уникального DeviceId.

Важно!

Избегайте фильтрации настраиваемой диагностики с помощью столбца Timestamp . Данные, используемые для настраиваемого обнаружения, предварительно фильтруются на основе частоты обнаружения.

В примере приведенного ниже запроса учитывается число уникальных устройств (DeviceId) с обнаружениями антивирусов и используется этот подсчет, чтобы найти только устройства с более чем пятью обнаружениями. Чтобы вернуть последнюю и Timestamp соответствующую ReportId, он использует оператора summarize с функцией arg_max .

DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

Совет

Для улучшения производительности запроса установите фильтр времени, который соответствует вашей назначенной частоте выполнения для правила. Так как наименее частый запуск происходит каждые 24 часа, фильтрация за прошедший день будет охватывать все новые данные.

2. Создайте новое правило и укажу сведения об оповещении.

С помощью запроса в редакторе запроса выберите правило Создать обнаружение и укажите следующие сведения оповещения:

  • Имя обнаружения — имя правила обнаружения; должны быть уникальными
  • Частота — интервал для выполнения запроса и принятия действий. Дополнительные рекомендации см. ниже
  • Заголовок оповещений — заголовок, отображаемый с помощью оповещений, запускаемой правилом; должны быть уникальными
  • Серьезность — потенциальный риск компонента или действия, определяемого правилом
  • Компонент category-threat или действия, которые определены правилом
  • МЕТОДЫ ATT&CK — одна или несколько методов атаки, идентифицированных правилом, как задокументировано в рамках ATT MITRE&CK. Этот раздел скрыт для определенных категорий оповещений, в том числе вредоносных программ, программ-вымогателей, подозрительных действий и нежелательного программного обеспечения
  • Описание— дополнительные сведения о компоненте или действии, выявленных правилом
  • Рекомендуемые действия— дополнительные действия, которые могут приниматься ответчиками в ответ на предупреждение

Частота правила

При сохранения нового правила выполняется проверка совпадений с данными за последние 30 дней. Затем правило выполняется снова с фиксированными интервалами, применяя длительность обратного воспроизведения в зависимости от частоты, которая вы выбираете:

  • Каждые 24 часа выполняется каждые 24 часа, проверяя данные за последние 30 дней
  • Каждые 12 часов выполняется каждые 12 часов, проверяя данные за последние 24 часа
  • Каждые 3 часа выполняется каждые 3 часа, проверяя данные за последние 6 часов
  • Каждый час выполняется почасовая проверка данных за последние 2 часа.

При редактировании правила оно будет запускаться с примененными изменениями во время следующего запуска, запланированного в соответствии с установленной частотой.

Совет

Соответствие фильтрам времени в запросе с длительностью отката. Результаты за пределами длительности поиска игнорируются.

Выберите частоту, которая соответствует точному мониторингу обнаружения. Рассмотрите возможности организации для реагирования на оповещения.

3. Выберите сущностями с влиянием.

Определите столбцы в результатах запроса, в которых ожидается найти основную затронутую или затрагиваемую сущность. Например, запрос может возвращать адреса отправитель (SenderFromAddress или SenderMailFromAddress) и получатель (RecipientEmailAddress). Определение того, какой из этих столбцов представляет основную затронутую сущность, помогает службе собирать соответствующие оповещения, коррелировать инциденты и выбирать целевые действия по реагированию.

Для каждого типа сущности (почтовый ящик, пользователь или устройство) можно выбрать только один столбец. Столбцы, которые не возвращаются запросом, не могут быть выбраны.

4. Укажите действия.

Настраиваемые правила обнаружения могут автоматически выполнять действия с устройствами, файлами или пользователями, возвращаемые запросом.

Действия на устройствах

Эти действия применяются к устройствам в столбце результатов запроса DeviceId.

Действия в отношении файлов

При выборе можно применить SHA1действие карантиного файла к файлам в столбце , или InitiatingProcessSHA1``SHA256``InitiatingProcessSHA256 столбце результатов запроса. Это действие удаляет файл из текущего расположения и помещает копию в карантин.

Действия с пользователями

Если этот вариант выбран, то действие Отметить пользователя как скомпрометированного применяется к пользователям в столбцах результатов запроса AccountObjectId, InitiatingProcessAccountObjectId или RecipientObjectId. Это действие задает пользователям уровень риска до "высокого" в Azure Active Directory, запуская соответствующие политики защиты удостоверений.

Примечание

Действие разрешить или заблокировать для пользовательских правил обнаружения в настоящее время не поддерживается Microsoft 365 Defender.

5. Установите область правил.

Установите область, чтобы указать, какие устройства охвачены правилом. Область влияет на правила проверки устройств и не влияет на правила, которые проверяют только почтовые ящики и учетные записи пользователей или удостоверения.

При настройке области можно выбрать следующее.

  • Все устройства
  • Определенные группы устройств

Будут запрашиваться только данные с устройств в области. Кроме того, действия будут предприняты только на этих устройствах.

6. Просмотрите и включите правило.

После проверки правила выберите Создать, чтобы сохранить его. Настраиваемое правило обнаружения запускается немедленно. В следующий раз оно запускается в зависимости от настроенной частоты для проверки совпадений, создания оповещений и реагирования.

Важно!

Настраиваемые обнаружения следует регулярно проверять на эффективность и эффективность. Чтобы убедиться, что вы создаете обнаружения, которые вызывают подлинные оповещения, необходимо время, чтобы просмотреть существующие пользовательские обнаружения, следуя шагам в управлении существующими пользовательскими правилами обнаружения.

Вы поддерживаете контроль над широкостью или спецификой настраиваемых обнаружений, поэтому любые ложные оповещения, созданные пользовательскими обнаружениями, могут указывать на необходимость изменения определенных параметров правил.

Управление существующими настраиваемыми правилами обнаружения

Вы можете просмотреть список существующих пользовательских правил обнаружения, проверить их предыдущие запуски и просмотреть оповещения, которые они вызвали. Вы также можете запустить правило по запросу и изменить его.

Совет

Оповещения, поднятые пользовательскими обнаружениями, доступны для оповещения и API инцидентов. Дополнительные сведения см. в Microsoft 365 Defender API.

Просмотр существующих правил

Чтобы просмотреть все существующие пользовательские правила обнаружения, перейдите к правилам обнаружения HuntingCustom > . На странице перечислены все правила со следующими сведениями о запуске.

  • Последний запуск — при последнем запуске правила для проверки совпадений запросов и создания оповещений
  • Состояние последнего запуска — успешно ли выполнило правило
  • Следующий запуск — следующий запланированный запуск
  • Состояние— включено или отключено правило

Просмотр сведений о правиле, изменение правила и запуск правила

Чтобы просмотреть всестороннюю информацию о настраиваемом правиле обнаружения, перейдите к правилам обнаружения HuntingCustom > и выберите имя правила. Затем можно просмотреть общие сведения о правиле, включая сведения о состоянии запуска и области. На странице также содержится список активных оповещений и действий.

Сведения о правилах настраиваемой обнаружения на Microsoft 365 Defender портале
Пользовательские сведения о правилах обнаружения

На этой странице также можно сделать следующие действия с правилом.

  • Запустите и запустите правило немедленно. При этом также сбрасывается интервал для следующего запуска.
  • Изменение— изменение правила без изменения запроса
  • Изменение запроса — изменение запроса в продвинутой охоте
  • Включаем / Выключите правило или остановите его работу
  • Удаление— отключить правило и удалить его

Просмотр и управление активными оповещениями

На экране сведений правила (обнаружения HuntingCustom > > [Имя правила]) перейдите к триггерным оповещениям , в которых перечислены оповещения, созданные совпадениями, к правилу. Выберите оповещение, чтобы просмотреть подробные сведения о нем и принять следующие меры.

  • Управление оповещением: выбор его состояния и классификации (истинное или ложное оповещение)
  • Связывание оповещения с инцидентом
  • Выполнение запроса, который инициирует оповещение при расширенной охоте

Проверка действий

На экране сведений правила (huntingCustom > detections > [Rule name]) перейдите к триггерным действиям, в котором перечислены действия, принятые на основе совпадений с правилом.

Совет

Чтобы быстро просмотреть сведения и принять меры по элементу в таблице, используйте столбец выбора [✓] слева от таблицы.

Примечание

Некоторые столбцы в этой статье могут быть недоступны в Microsoft Defender для конечной точки. Включаем Microsoft 365 Defender, чтобы искать угрозы с помощью дополнительных источников данных. Вы можете переместить расширенные процессы охоты из Microsoft Defender для конечной точки в Microsoft 365 Defender, следуя шагам в миграции расширенных запросов охоты из Microsoft Defender для конечной точки.

См. также