Share via

Руководство по обнаружению угроз с помощью правил аналитики в Microsoft Sentinel

  • Статья

В качестве службы управления сведениями и событиями безопасности (SIEM) Microsoft Sentinel отвечает за обнаружение угроз безопасности для вашей организации. Это делается путем анализа больших объемов данных, созданных всеми журналами систем.

В этом руководстве вы узнаете, как настроить правило аналитики Microsoft Sentinel из шаблона для поиска эксплойтов уязвимости Apache Log4j в вашей среде. Правило будет обрамляло учетные записи пользователей и IP-адреса, найденные в журналах как отслеживаемые сущности, заметные фрагменты информации в оповещениях, созданных правилами, и оповещения пакетов в качестве инцидентов для расследования.

По завершении работы с этим руководством вы сможете:

  • Создание правила аналитики из шаблона
  • Настройка запроса и параметров правила
  • Настройка трех типов обогащения оповещений
  • выбор автоматизированных ответов на угрозы для ваших правил;

Необходимые компоненты

В рамках этого руководства вам потребуются:

  • Подписка Azure. Создайте бесплатную учетную запись, если у вас еще нет учетной записи .

  • Рабочая область Log Analytics с решением Microsoft Sentinel, развернутой на нем, и данные, которые принимаются в него.

  • Пользователь Azure с ролью участника Microsoft Sentinel, назначенной в рабочей области Log Analytics, в которой развертывается Microsoft Sentinel.

  • Следующие источники данных ссылаются в этом правиле. Чем больше из них развернуты соединители, тем эффективнее будет правило. У вас должен быть хотя бы один.

    Источник данных Ссылки на таблицы Log Analytics
    Office 365 OfficeActivity (SharePoint)
    OfficeActivity (Exchange)
    OfficeActivity (Teams)
    DNS DnsEvents
    Azure Monitor (Аналитика виртуальной машины) VMConnection
    Cisco ASA CommonSecurityLog (Cisco)
    Palo Alto Networks (брандмауэр) CommonSecurityLog (PaloAlto)
    События безопасности SecurityEvents
    Microsoft Entra ID SigninLogs
    AADNonInteractiveUserSignInLogs
    Azure Monitor (WireData) Данные передачи
    Azure Monitor (IIS) W3CIISLog
    Действия Azure AzureActivity
    Amazon Web Services AWSCloudTrail
    Microsoft Defender XDR DeviceNetworkEvents
    Брандмауэр Azure AzureDiagnostics (Брандмауэр Azure)

Войдите в портал Azure и Microsoft Sentinel

  1. Войдите на портал Azure.

  2. На панели поиска найдите и выберите Microsoft Sentinel.

  3. Найдите и выберите рабочую область из списка доступных рабочих областей Microsoft Sentinel.

Установка решения из концентратора содержимого

  1. В Microsoft Sentinel в левом меню в разделе "Управление содержимым" выберите центр контента.

  2. Найдите и выберите решение Log4j Об обнаружении уязвимостей.

  3. На панели инструментов в верхней части страницы выберите "Установить или обновить".

Создание правила запланированной аналитики на основе шаблона

  1. В Microsoft Sentinel в левом меню в разделе "Конфигурация" выберите "Аналитика".

  2. На странице "Аналитика" выберите вкладку "Шаблоны правил".

  3. В поле поиска в верхней части списка шаблонов правил введите log4j.

  4. В отфильтрованном списке шаблонов выберите уязвимость Log4j, используя IP-адрес IOC Log4Shell. В области сведений выберите "Создать правило".

    Screenshot showing how to search for and locate template and create analytics rule.

    Откроется Мастер правил аналитики.

  5. На вкладке "Общие " в поле "Имя" введите уязвимость Log4j с использованием IP-адреса IOC Log4Shell — Учебник-1.

  6. Оставьте остальные поля на этой странице так, как они есть. Это значения по умолчанию, но мы добавим настройку в имя оповещения на более позднем этапе.

    Если вы не хотите, чтобы правило выполнялось немедленно, выберите "Отключено", а правило будет добавлено на вкладку "Активные правила " и вы можете включить его оттуда, когда это необходимо.

  7. Нажмите кнопку "Далее". Задайте логику правила. Screenshot of the General tab of the Analytics rule wizard.

Проверка логики запроса правила и настройки параметров

  • На вкладке "Задать логику правила" просмотрите запрос, как он отображается в заголовке запроса правила.

    Чтобы просмотреть больше текста запроса в один раз, выберите значок диагонали двойной стрелки в правом верхнем углу окна запроса, чтобы развернуть окно до большего размера.

    Screenshot of the Set rule logic tab of the Analytics rule wizard.

Обогащение оповещений с помощью сущностей и других сведений

  1. В разделе "Обогащение оповещений" сохраните параметры сопоставления сущностей по мере их создания. Обратите внимание на три сопоставленные сущности.

    Screenshot of existing entity mapping settings.

  2. В разделе "Пользовательские сведения" давайте добавим метку времени каждого вхождения в оповещение, чтобы ее можно было увидеть прямо в сведениях о оповещении без необходимости детализации.

    1. Введите метку времени в поле "Ключ ". Это будет имя свойства в оповещении.
    2. Выберите метку времени в раскрывающемся списке "Значение ".

  3. В разделе "Сведения об оповещении" давайте настроим имя оповещения таким образом, чтобы метка времени каждого вхождения отображалась в заголовке оповещения.

    В поле "Формат имени оповещения" введите уязвимость Log4j, используя IP-адрес IOC Log4Shell в {{timestamp}}.

    Screenshot of custom details and alert details configurations.

Просмотр оставшихся параметров

  1. Просмотрите оставшиеся параметры на вкладке логики задания правила. Нет необходимости изменять ничего, хотя вы можете, если вы хотите изменить интервал, например. Просто убедитесь, что период обратного просмотра соответствует интервалу для поддержания непрерывного покрытия.

    • Планирование запросов:

      • Выполнение запроса каждые 1 час.
      • Данные подстановки за последние 1 час.

    • Пороговое значение генерации оповещени

      • Создайте оповещение, если число результатов запроса больше 0.

    • Группирование событий:

      • Настройка группирования результатов запроса правил в оповещения: группирование всех событий в одно оповещение.

    • Подавления:

      • Остановите выполнение запроса после создания оповещения: выкл.

    Screenshot of remaining rule logic settings for analytics rule.

  2. Нажмите кнопку "Далее" — параметры инцидента.

Просмотр параметров создания инцидента

  1. Просмотрите параметры на вкладке "Параметры инцидента". Если, например, у вас нет другой системы для создания инцидентов и управления ими, в этом случае вы хотите отключить создание инцидентов.

    • Параметры инцидента:

      • Создайте инциденты из оповещений, активированных этим правилом аналитики: включено.

    • Группирование оповещений:

      • Группируйте связанные оповещения, активированные этим правилом аналитики, в инциденты: отключены.

    Screenshot of the Incident settings tab of the Analytics rule wizard.

  2. Нажмите кнопку Далее: автоматический ответ.

Установка автоматических ответов и создание правила

На вкладке "Автоматический ответ" :

  1. Нажмите кнопку +Добавить новую , чтобы создать новое правило автоматизации для этого правила аналитики. Откроется мастер создания правила автоматизации.

    Screenshot of Automated response tab in Analytics rule wizard.

  2. В поле имени правила автоматизации введите обнаружение эксплойтов уязвимостей Log4J — Tutorial-1.

  3. Оставьте разделы триггера и условий по мере их использования.

  4. В разделе "Действия" выберите " Добавить теги " из раскрывающегося списка.

    1. Выберите + Добавить тег.
    2. Введите в текстовое поле эксплойт Log4J и нажмите кнопку "ОК".

  5. Оставьте раздели "Срок действия правила" и "Порядок" по мере их создания.

  6. Нажмите Применить. Вскоре вы увидите новое правило автоматизации в списке на вкладке "Автоматический ответ ".

  7. Нажмите кнопку Далее: просмотрите все параметры нового правила аналитики. Когда появится сообщение "Проверка пройдена", нажмите кнопку "Создать". Если правило не отключено на вкладке "Общие " выше, правило будет выполняться немедленно.

    Выберите изображение ниже для отображения полной проверки (большая часть текста запроса была обрезана для просмотра).

    Screenshot of the Review and Create tab of the Analytics rule wizard.

Проверка успешности правила

  1. Чтобы просмотреть результаты создаваемых правил генерации оповещений, перейдите на страницу "Инциденты ".

  2. Чтобы отфильтровать список инцидентов, созданных правилом аналитики, введите имя (или часть имени) правила аналитики, созданного на панели поиска .

  3. Откройте инцидент, заголовок которого соответствует имени правила аналитики. Ознакомьтесь с тем, что к инциденту применен флаг, определенный в правиле автоматизации.

Очистка ресурсов

Если вы не собираетесь продолжать использовать это правило аналитики, удалите (или по крайней мере отключите) правила аналитики и автоматизации, созданные с помощью следующих шагов:

  1. На странице "Аналитика" выберите вкладку "Активные правила".

  2. Введите имя (или часть имени) правила аналитики, созданного в строке поиска .
    (Если он не отображается, убедитесь, что для фильтров задано значение />.Выберите все.)

  3. Пометьте поле проверка рядом с правилом в списке и выберите "Удалить" из верхнего баннера.
    (Если вы не хотите удалить его, можно выбрать Отключите вместо этого.)

  4. На странице автоматизации перейдите на вкладку "Правила автоматизации".

  5. Введите имя (или часть имени) правила автоматизации, созданного в строке поиска .
    (Если он не отображается, убедитесь, что для фильтров задано значение />.Выберите все.)

  6. Пометьте поле проверка рядом с правилом автоматизации в списке и выберите "Удалить" из верхнего баннера.
    (Если вы не хотите удалить его, можно выбрать Отключите вместо этого.)

Следующие шаги

Теперь, когда вы узнали, как искать эксплойты общей уязвимости с помощью правил аналитики, узнайте больше о том, что можно сделать с помощью аналитики в Microsoft Sentinel: