Создание и управление пользовательскими правилами обнаруженияCreate and manage custom detections rules

Важно!

Доступен улучшенный Центр безопасности Microsoft 365.The improved Microsoft 365 security center is now available. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Узнайте о новых возможностях.Learn what's new.

Область применения:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender
  • Microsoft Defender для конечной точкиMicrosoft Defender for Endpoint

Настраиваемые правила обнаружения — это правила, которые можно разработать и настроить с помощью расширенных запросов на охоту.Custom detection rules are rules you can design and tweak using advanced hunting queries. Эти правила позволяет активно отслеживать различные события и состояния системы, в том числе предполагаемые нарушения и неправильные конечные точки.These rules let you proactively monitor various events and system states, including suspected breach activity and misconfigured endpoints. Вы можете настроить их для запуска с регулярными интервалами, создавая оповещения и принимая ответные действия при совпадениях.You can set them to run at regular intervals, generating alerts and taking response actions whenever there are matches.

Необходимые разрешения для управления пользовательскими обнаружениямиRequired permissions for managing custom detections

Чтобы управлять пользовательскими обнаружениями, вам должна быть назначена одна из этих ролей:To manage custom detections, you need to be assigned one of these roles:

  • Администратор безопасности— пользователи с этой ролью Azure Active Directory могут управлять настройками безопасности в центре безопасности Microsoft 365 и других порталах и службах.Security administrator—Users with this Azure Active Directory role can manage security settings in Microsoft 365 security center and other portals and services.

  • Оператор безопасности— Пользователи с этой ролью Azure Active Directory могут управлять оповещениями и иметь глобальный доступ только для чтения к функциям, связанным с безопасностью, включая всю информацию в центре безопасности Microsoft 365.Security operator—Users with this Azure Active Directory role can manage alerts and have global read-only access to security-related features, including all information in Microsoft 365 security center. Эта роль достаточна для управления пользовательскими обнаружениями только в том случае, если управление доступом на основе ролей (RBAC) отключено в Microsoft Defender для endpoint.This role is sufficient for managing custom detections only if role-based access control (RBAC) is turned off in Microsoft Defender for Endpoint. Если настроена RBAC, необходимо также разрешение на управление настройками безопасности для Defender для конечной точки.If you have RBAC configured, you also need the manage security settings permission for Defender for Endpoint.

Чтобы управлять требуемой разрешениями, глобальный администратор может:To manage required permissions, a global administrator can:

  • Назначьте администратору безопасности или оператору безопасности роль в центре администрирования Microsoft 365 под руководством администратора > службы безопасности ролей.Assign the security administrator or security operator role in Microsoft 365 admin center under Roles > Security admin.
  • Проверьте параметры RBAC для Защитника Майкрософт для конечной точки в Центре безопасности Защитника Майкрософт в роли параметров > > разрешений.Check RBAC settings for Microsoft Defender for Endpoint in Microsoft Defender Security Center under Settings > Permissions > Roles. Выберите соответствующую роль, чтобы назначить разрешение на управление настройками безопасности.Select the corresponding role to assign the manage security settings permission.

Примечание

Для управления пользовательскими обнаружениями операторам безопасности потребуется разрешение на управление настройками безопасности в Microsoft Defender для конечной точки, если включен RBAC.To manage custom detections, security operators will need the manage security settings permission in Microsoft Defender for Endpoint if RBAC is turned on.

Создание настраиваемой нормы обнаруженияCreate a custom detection rule

1. Подготовка запроса.1. Prepare the query.

В центре безопасности Microsoft 365 перейдите в расширенный поиск и выберите существующий запрос или создайте новый запрос.In Microsoft 365 security center, go to Advanced hunting and select an existing query or create a new query. При использовании нового запроса запустите запрос для выявления ошибок и понимания возможных результатов.When using a new query, run the query to identify errors and understand possible results.

Важно!

Чтобы служба не возвращала слишком много оповещений, каждое правило ограничивается созданием только 100 оповещений при каждом запуске.To prevent the service from returning too many alerts, each rule is limited to generating only 100 alerts whenever it runs. Перед созданием правила необходимо настроить запрос, чтобы не предупреждать о нормальной ежедневной активности.Before creating a rule, tweak your query to avoid alerting for normal, day-to-day activity.

Необходимые столбцы в результатах запросаRequired columns in the query results

Чтобы создать настраиваемую норму обнаружения, запрос должен вернуть следующие столбцы:To create a custom detection rule, the query must return the following columns:

  • Timestamp— используется для набора времени для генерируемых оповещенийTimestamp—used to set the timestamp for generated alerts
  • ReportId— позволяет искать исходные записиReportId—enables lookups for the original records
  • Один из следующих столбцов, определяя конкретные устройства, пользователей или почтовые ящики:One of the following columns that identify specific devices, users, or mailboxes:
    • DeviceId
    • DeviceName
    • RemoteDeviceName
    • RecipientEmailAddress
    • SenderFromAddress (отправитель конверта или Return-Path адрес)SenderFromAddress (envelope sender or Return-Path address)
    • SenderMailFromAddress (адрес отправитель, отображаемый клиентом электронной почты)SenderMailFromAddress (sender address displayed by email client)
    • RecipientObjectId
    • AccountObjectId
    • AccountSid
    • AccountUpn
    • InitiatingProcessAccountSid
    • InitiatingProcessAccountUpn
    • InitiatingProcessAccountObjectId

Примечание

Поддержка дополнительных сущностям будет добавлена по мере того, как новые таблицы будут добавлены в расширенный схему охоты.Support for additional entities will be added as new tables are added to the advanced hunting schema.

Простые запросы, например запросы, которые не используют оператор или оператор для настройки или агрегированных результатов, обычно возвращают project summarize эти общие столбцы.Simple queries, such as those that don't use the project or summarize operator to customize or aggregate results, typically return these common columns.

Существуют различные способы обеспечения более сложных запросов, возвращая эти столбцы.There are various ways to ensure more complex queries return these columns. Например, если вы предпочитаете агрегировать и считать по сущности в столбце, например, вы можете вернуться и получить его из последнего события с участием каждого DeviceId Timestamp ReportId уникального DeviceId .For example, if you prefer to aggregate and count by entity under a column such as DeviceId, you can still return Timestamp and ReportId by getting it from the most recent event involving each unique DeviceId.

В приведенной ниже примере запросов подсчитываются количество уникальных устройств () с обнаружениями антивирусов и используется этот подсчет, чтобы найти только устройства с более чем DeviceId пятью обнаружениями.The sample query below counts the number of unique devices (DeviceId) with antivirus detections and uses this count to find only the devices with more than five detections. Чтобы вернуть последнюю и Timestamp ReportId соответствующую, он использует оператора с summarize arg_max функцией.To return the latest Timestamp and the corresponding ReportId, it uses the summarize operator with the arg_max function.

DeviceEvents
| where Timestamp > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

Совет

Для улучшения производительности запроса установите фильтр времени, который соответствует вашей назначенной частоте выполнения для правила.For better query performance, set a time filter that matches your intended run frequency for the rule. Так как наименее частый запуск происходит каждые 24 часа, фильтрация за прошедший день будет охватывать все новые данные.Since the least frequent run is every 24 hours, filtering for the past day will cover all new data.

2. Создайте новое правило и укажу сведения об оповещении.2. Create new rule and provide alert details.

С помощью запроса в редакторе запроса выберите правило Создать обнаружение и укажите следующие сведения оповещения:With the query in the query editor, select Create detection rule and specify the following alert details:

  • Имя обнаружения— имя правила обнаруженияDetection name—name of the detection rule
  • Частота— интервал для выполнения запроса и принятия действий.Frequency—interval for running the query and taking action. Дополнительные рекомендации см. нижеSee additional guidance below
  • Предупреждение название— заголовок, отображаемый с оповещениями, инициированными правиломAlert title—title displayed with alerts triggered by the rule
  • Серьезность— потенциальный риск компонента или действия, определяемого правиломSeverity—potential risk of the component or activity identified by the rule
  • Категория — компонент угрозы или действия, которые определены правиломCategory—threat component or activity identified by the rule
  • МЕТОДЫ ATT&<1> <4> CK— один или несколько методов атаки, которые определены правилом, как описано в рамках ATT MITRE&CK.MITRE ATT&CK techniques—one or more attack techniques identified by the rule as documented in the MITRE ATT&CK framework. Этот раздел скрыт для определенных категорий оповещений, в том числе вредоносных программ, программ-вымогателей, подозрительных действий и нежелательного программного обеспеченияThis section is hidden for certain alert categories, including malware, ransomware, suspicious activity, and unwanted software
  • Описание— дополнительные сведения о компоненте или действии, выявленных правиломDescription—more information about the component or activity identified by the rule
  • Рекомендуемые действия— дополнительные действия, которые могут приниматься ответчиками в ответ на предупреждениеRecommended actions—additional actions that responders might take in response to an alert

Частота правилRule frequency

При сохранения нового правила выполняется проверка совпадений с данными за последние 30 дней.When you save a new rule, it runs and checks for matches from the past 30 days of data. Затем правило выполняется снова с фиксированными интервалами, применяя длительность обратного воспроизведения в зависимости от частоты, которая вы выбираете:The rule then runs again at fixed intervals, applying a lookback duration based on the frequency you choose:

  • Каждые 24 часа— выполняется каждые 24 часа, проверяя данные за последние 30 днейEvery 24 hours—runs every 24 hours, checking data from the past 30 days
  • Каждые 12 часов— выполняется каждые 12 часов, проверяя данные за последние 24 часаEvery 12 hours—runs every 12 hours, checking data from the past 24 hours
  • Каждые 3 часа— выполняется каждые 3 часа, проверяя данные за последние 6 часовEvery 3 hours—runs every 3 hours, checking data from the past 6 hours
  • Каждый час — выполняется почасовая проверка данных за последние 2 часа.Every hour—runs hourly, checking data from the past 2 hours

При редактировании правила оно будет работать с примененными изменениями в следующем времени запуска, запланированном в соответствии с заявной частотой.When you edit a rule, it will run with the applied changes in the next run time scheduled according to the frequency you set.

Совет

Соответствие фильтрам времени в запросе с длительностью отката.Match the time filters in your query with the lookback duration. Результаты за пределами длительности поиска игнорируются.Results outside of the lookback duration are ignored.

Выберите частоту, которая соответствует точному мониторингу обнаружения.Select the frequency that matches how closely you want to monitor detections. Рассмотрите возможности организации для реагирования на оповещения.Consider your organization's capacity to respond to the alerts.

3. Выберите сущностями с влиянием.3. Choose the impacted entities.

Определите столбцы в результатах запроса, в которых ожидается найти основную затронутую или затрагиваемую сущность.Identify the columns in your query results where you expect to find the main affected or impacted entity. Например, запрос может возвращать адреса отправитель SenderFromAddress (или) и SenderMailFromAddress RecipientEmailAddress получатель ().For example, a query might return sender (SenderFromAddress or SenderMailFromAddress) and recipient (RecipientEmailAddress) addresses. Определение того, какие из этих столбцов представляют основную объектную сущность, помогает службе агрегировать соответствующие оповещения, соотносить инциденты и целевые действия реагирования.Identifying which of these columns represent the main impacted entity helps the service aggregate relevant alerts, correlate incidents, and target response actions.

Для каждого типа сущности (почтовый ящик, пользователь или устройство) можно выбрать только один столбец.You can select only one column for each entity type (mailbox, user, or device). Столбцы, не возвращенные запросом, не могут быть выбраны.Columns that are not returned by your query can't be selected.

4. Укажите действия.4. Specify actions.

Ваше пользовательское правило обнаружения может автоматически принимать действия на устройствах, файлах или пользователях, возвращаемые запросом.Your custom detection rule can automatically take actions on devices, files, or users that are returned by the query.

Действия на устройствахActions on devices

Эти действия применяются к устройствам в DeviceId столбце результатов запроса:These actions are applied to devices in the DeviceId column of the query results:

Действия в файлахActions on files

При выборе можно применить действие карантиного файла к файлам в столбце , или столбце SHA1 InitiatingProcessSHA1 SHA256 InitiatingProcessSHA256 результатов запроса.When selected, you can choose to apply the Quarantine file action on files in the SHA1, InitiatingProcessSHA1, SHA256, or InitiatingProcessSHA256 column of the query results. Это действие удаляет файл из текущего расположения и помещает копию в карантин.This action deletes the file from its current location and places a copy in quarantine.

Действия для пользователейActions on users

При выборе пользователь Mark как скомпрометированное действие будет приниматься для пользователей в столбце или столбце AccountObjectId InitiatingProcessAccountObjectId RecipientObjectId результатов запроса.When selected, the Mark user as compromised action is taken on users in the AccountObjectId, InitiatingProcessAccountObjectId, or RecipientObjectId column of the query results. Это действие задает пользователям уровень риска до "высокого" в Azure Active Directory, запуская соответствующие политики защиты удостоверений.This action sets the users risk level to "high" in Azure Active Directory, triggering corresponding identity protection policies.

Примечание

Действие разрешить или заблокировать для пользовательских правил обнаружения в настоящее время не поддерживается в Microsoft 365 Defender.The allow or block action for custom detection rules is currently not supported on Microsoft 365 Defender.

5. Установите область правил.5. Set the rule scope.

Установите область, чтобы указать, какие устройства охвачены правилом.Set the scope to specify which devices are covered by the rule. Область влияет на правила проверки устройств и не влияет на правила, которые проверяют только почтовые ящики и учетные записи пользователей или удостоверения.The scope influences rules that check devices and doesn't affect rules that check only mailboxes and user accounts or identities.

При настройке области можно выбрать:When setting the scope, you can select:

  • Все устройстваAll devices
  • Конкретные группы устройствSpecific device groups

Запрашиваются только данные с устройств в области.Only data from devices in scope will be queried. Кроме того, действия будут приниматься только на этих устройствах.Also, actions will be taken only on those devices.

6. Просмотрите и включите правило.6. Review and turn on the rule.

После просмотра правила выберите Создать, чтобы сохранить его.After reviewing the rule, select Create to save it. Правило настраиваемой диагностики немедленно запускается.The custom detection rule immediately runs. Он снова запускается на основе настроенной частоты для проверки совпадений, создания оповещений и реагировать на действия.It runs again based on configured frequency to check for matches, generate alerts, and take response actions.

Важно!

Настраиваемые обнаружения следует регулярно проверять на эффективность и эффективность.Custom detections should be regularly reviewed for efficiency and effectiveness. Чтобы убедиться, что вы создаете обнаружения, которые вызывают истинные оповещения, необходимо время, чтобы просмотреть существующие пользовательские обнаружения, следуя шагам в управлении существующими пользовательскими правилами обнаружения.To make sure you are creating detections that trigger true alerts, take time to review your existing custom detections by following the steps in Manage existing custom detection rules.

Вы поддерживаете контроль над широкостью или спецификой настраиваемых обнаружений, поэтому любые ложные оповещения, созданные пользовательскими обнаружениями, могут указывать на необходимость изменения определенных параметров правил.You maintain control over the broadness or specificity of your custom detections so any false alerts generated by custom detections might indicate a need to modify certain parameters of the rules.

Управление существующими пользовательскими правилами обнаруженияManage existing custom detection rules

Вы можете просмотреть список существующих пользовательских правил обнаружения, проверить их предыдущие запуски и просмотреть оповещения, которые они вызвали.You can view the list of existing custom detection rules, check their previous runs, and review the alerts they have triggered. Вы также можете запустить правило по запросу и изменить его.You can also run a rule on demand and modify it.

Совет

Оповещения, поднятые пользовательскими обнаружениями, доступны для оповещения и API инцидентов.Alerts raised by custom detections are available over alerts and incident APIs. Дополнительные сведения см. в сайте Supported Microsoft 365 Defender API.For more information, see Supported Microsoft 365 Defender APIs.

Просмотр существующих правилView existing rules

Чтобы просмотреть все существующие пользовательские правила обнаружения, перейдите к обнаружениям Hunting > Custom.To view all existing custom detection rules, navigate to Hunting > Custom detections. На странице перечислены все правила со следующими сведениями о запуске:The page lists all the rules with the following run information:

  • Последний запуск— при последнем запуске правила для проверки совпадений запросов и создания оповещенийLast run—when a rule was last run to check for query matches and generate alerts
  • Состояние последнего запуска— успешно ли выполнило правилоLast run status—whether a rule ran successfully
  • Следующий запуск— следующий запланированный запускNext run—the next scheduled run
  • Состояние— независимо от того, включено или отключено правилоStatus—whether a rule has been turned on or off

Просмотр сведений о правилах, изменение правила и правила запускаView rule details, modify rule, and run rule

Чтобы просмотреть всестороннюю информацию о настраиваемом правиле обнаружения, перейдите к обнаружению Hunting Custom и выберите > имя правила.To view comprehensive information about a custom detection rule, go to Hunting > Custom detections and then select the name of rule. Затем можно просмотреть общие сведения о правиле, включая сведения о состоянии и области запуска.You can then view general information about the rule, including information its run status and scope. На странице также содержится список срабатывуемого оповещений и действий.The page also provides the list of triggered alerts and actions.

Страница пользовательских сведений о правилах обнаруженияCustom detection rule details page
Пользовательские сведения о правилах обнаруженияCustom detection rule details

На этой странице также можно принять следующие действия по правилу:You can also take the following actions on the rule from this page:

  • Запустите— запустите правило немедленно.Run—run the rule immediately. Это также сбрасывает интервал для следующего запуска.This also resets the interval for the next run.
  • Изменение— изменение правила без изменения запросаEdit—modify the rule without changing the query
  • Изменение запроса— изменение запроса в продвинутой охотеModify query—edit the query in advanced hunting
  • Включаем / Отключите правило или остановите его работуTurn on / Turn off—enable the rule or stop it from running
  • Удаление— отключите правило и удалите егоDelete—turn off the rule and remove it

Просмотр и управление срабатывными оповещениямиView and manage triggered alerts

На экране сведений правила (Hunting > Custom detections[Rule name] ) перейдите к триггерным оповещениям, в которых перечислены оповещения, созданные совпадениями, > к правилу. In the rule details screen (Hunting > Custom detections > [Rule name]), go to Triggered alerts, which lists the alerts generated by matches to the rule. Выберите оповещение, чтобы просмотреть подробные сведения о нем и принять следующие действия:Select an alert to view detailed information about it and take the following actions:

  • Управление оповещением путем настройки его состояния и классификации (true или false alert)Manage the alert by setting its status and classification (true or false alert)
  • Ссылка оповещений на инцидентLink the alert to an incident
  • Запустите запрос, который вызвал оповещение при продвинутой охотеRun the query that triggered the alert on advanced hunting

Проверка действийReview actions

В экране сведений правила (Hunting > Custom detections > [Rule name]), перейдите к triggered actions, в котором перечислены действия, принятые на основе совпадений с правилом.In the rule details screen (Hunting > Custom detections > [Rule name]), go to Triggered actions, which lists the actions taken based on matches to the rule.

Совет

Чтобы быстро просмотреть сведения и принять меры по элементу в таблице, используйте столбец выбора [✓] слева от таблицы.To quickly view information and take action on an item in a table, use the selection column [✓] at the left of the table.

Примечание

Некоторые столбцы в этой статье могут быть недоступны в Microsoft Defender для конечной точки.Some columns in this article might not be available in Microsoft Defender for Endpoint. Включи Microsoft 365 Defender для охоты на угрозы с помощью дополнительных источников данных.Turn on Microsoft 365 Defender to hunt for threats using more data sources. Вы можете переместить расширенные процессы охоты из Microsoft Defender для конечной точки в Microsoft 365 Defender, следуя шагам в миграции расширенных запросов охоты из Microsoft Defender для конечнойточки .You can move your advanced hunting workflows from Microsoft Defender for Endpoint to Microsoft 365 Defender by following the steps in Migrate advanced hunting queries from Microsoft Defender for Endpoint.

См. такжеSee also