Шаг 3. Прием источников данных и настройка обнаружения инцидентов в Microsoft Sentinel
После завершения разработки и реализации рабочих областей Microsoft Sentinel можно перейти к приему источников данных и настройке обнаружения инцидентов.
Соединители данных настроены для включения приема данных в рабочую область. После включения ключевых точек данных для приема в Sentinel, Аналитика поведения пользователей и сущностей (UEBA) и правила аналитики также должны быть включены для записи аномальных и вредоносных действий. Правила аналитики определяют способ создания оповещений и инцидентов в экземпляре Sentinel. Настройка правил аналитики в соответствии с потребностями вашей среды и организации с помощью сопоставления сущностей позволяет создавать инциденты высокой точности и уменьшать усталость от оповещений.
Подготовка к работе
Подтвердите метод установки, необходимые роли и лицензии, необходимые для включения соединителей данных. Дополнительные сведения см. в статье Поиск нужных соединителей данных Microsoft Sentinel.
В следующей таблице приведена сводка необходимых компонентов, необходимых для приема ключевых соединителей Azure и данных:
| Тип ресурса | Метод установки | Необходимые роли и разрешения/ лицензия |
|---|---|---|
| Microsoft Entra ID | Соединитель собственных данных | администратор безопасности; Для журналов входа требуется лицензия Microsoft Entra ID P1 или P2 Другие журналы не требуют P1 или P2 |
| Защита идентификации Microsoft Entra | Собственный Подключение данных | администратор безопасности; Лицензия: Идентификатор Microsoft Entra ID P2 |
| Действие Azure | Политика Azure | Роль владельца, необходимая для подписок |
| Microsoft Defender XDR | Собственный Подключение данных | администратор безопасности; Лицензия: Microsoft 365 E5, Microsoft 365 A5 или любая другая лицензия на XDR в Microsoft Defender |
| Microsoft Defender для облака | Собственный Подключение данных | читатель сведений о безопасности; Чтобы включить двунаправленную синхронизацию, в подписке требуется роль участника или безопасности Администратор. |
| Microsoft Defender для удостоверений | Собственный Подключение данных | администратор безопасности; Лицензия: Microsoft Defender для удостоверений |
| Microsoft Defender для Office 365 | Собственный Подключение данных | администратор безопасности; Лицензия: план 2 Microsoft Defender для Office 365 |
| Office 365 | Собственный Подключение данных | администратор безопасности; |
| Microsoft Defender для Интернета вещей | Участник подписки с центрами Интернета вещей | |
| Microsoft Defender для облачных приложений | Собственный Подключение данных | администратор безопасности; Лицензия: приложения Microsoft Defender для облака |
| Microsoft Defender для конечной точки | Собственный Подключение данных | администратор безопасности; Лицензия: Microsoft Defender для конечной точки |
| Безопасность Windows события через агент Azure Monitor (AMA) | Собственные данные Подключение or с агентом | Чтение и запись в рабочей области Log Analytics |
| Системный журнал | Собственные данные Подключение or с агентом | Чтение и запись рабочей области Log Analytics |
Шаг 1. Включение соединителей данных
Используйте следующие рекомендации, чтобы приступить к настройке соединителей данных:
Сосредоточьтесь на настройке бесплатных источников данных для приема:
Журналы действий Azure. Прием журналов действий Azure критически важен при включении Sentinel для предоставления одноуровневого представления стекла в среде.
Журналы аудита Office 365, включая все действия SharePoint, действия администрирования Exchange и Teams.
Оповещения системы безопасности, включая оповещения из Microsoft Defender для облака, XDR в Microsoft Defender, Microsoft Defender для Office 365, Microsoft Defender для удостоверений и Microsoft Defender для конечной точки:
Прием оповещений системы безопасности в Sentinel позволяет использовать "центральную область управления инцидентами" в среде.
Исследование инцидентов начинается в Sentinel и должно продолжаться на портале Microsoft Defender или Defender для облака, если требуется более глубокий анализ.
Примечание.
Если вы включили соединитель XDR в Microsoft Defender, автоматически устанавливается двунаправленная синхронизация между 365 инцидентами Защитника и Sentinel. Чтобы избежать создания повторяющихся инцидентов для одинаковых оповещений, рекомендуется отключить все правила создания инцидентов Майкрософт для интегрированных с Microsoft Defender XDR продуктов (Defender для конечной точки, Defender для удостоверений, Defender для Office 365, Defender для облака приложений и Защита идентификации Microsoft Entra). Дополнительные сведения см. в статье об инцидентах XDR в Microsoft Defender и правилах создания инцидентов Майкрософт.
Microsoft Defender для облака оповещения приложений.
Дополнительные сведения см. в статье о бесплатных источниках данных.
В следующей таблице перечислены бесплатные источники данных, которые можно включить в Microsoft Sentinel:
Совет
Дополнительные сведения о самых актуальных ценах Sentinel см. в статье о ценах На Microsoft Sentinel.
Соединитель данных Microsoft Sentinel Бесплатный тип данных Журналы действий Azure AzureActivity Защита идентификации Microsoft Entra SecurityAlert (IPC) Office 365 OfficeActivity (SharePoint)
OfficeActivity (Exchange)
OfficeActivity (Teams)Microsoft Defender для облака SecurityAlert (Defender для облака) Microsoft Defender для Интернета вещей SecurityAlert (Defender для Интернета вещей) Microsoft Defender XDR SecurityIncident
SecurityAlertMicrosoft Defender для конечной точки SecurityAlert (Microsoft Defender Advanced Threat Protection (MDATP)) Microsoft Defender для удостоверений SecurityAlert (Azure Advanced Threat Protection (AATP)) Microsoft Defender для облачных приложений SecurityAlert (Defender for Cloud Apps) Чтобы обеспечить более широкий охват мониторинга и оповещений, сосредоточьтесь на следующих соединителях данных:
Примечание.
Плата за прием данных из источников, перечисленных в разделе
Microsoft Entra ID
Соединитель XDR в Microsoft Defender
Отправьте журналы XDR в Microsoft Defender в Sentinel, если требуется следующее:
Использование оповещений Fusion с Помощью Sentinel.
- Fusion сопоставляет источники данных из нескольких продуктов для обнаружения многоэтапных атак в среде.
Более длительное хранение, чем то, что предлагается в XDR в Microsoft Defender.
Автоматизация, не охватываемая встроенными исправлениями, предлагаемыми Microsoft Defender для конечной точки. Дополнительные сведения см. в разделе "Действия по исправлению" в XDR в Microsoft Defender.
При развертывании в Azure используйте следующие соединители для отправки журналов диагностики этих ресурсов в Sentinel:
- Брандмауэр Azure
- Шлюз приложений Azure
- Хранилище ключей
- Служба Azure Kubernetes
- Azure SQL
- группы сетевой безопасности;
- Серверы Azure-Arc
Рекомендуемый метод настраивает Политика Azure, чтобы их журналы были переадресованы в базовую рабочую область Log Analytics. Дополнительные сведения см. в статье "Создание параметров диагностики в масштабе с помощью Политика Azure".
Для виртуальных машин, размещенных локально или в других облаках, для которых требуются собранные журналы, используйте:
- события Безопасность Windows с помощью AMA
- События безопасности с помощью устаревшего агента
- События через Defender для конечной точки (для сервера)
- Соединитель системного журнала
Для сетевых виртуальных устройств или других локальных источников, создающих журналы common Event Format (CEF) или SYSLOG, используйте следующий соединитель:
- Общий формат событий (CEF) через AMA
- Общий формат событий (CEF) через устаревший агент
Дополнительные сведения см. в статье "Развертывание средства пересылки журналов для приема журналов Syslog и CEF в Microsoft Sentinel".
Рассмотрите возможность миграции из устаревшего агента в новое руководство по единому агенту Azure Monitor. Дополнительные сведения см. в статье MIgrat из устаревших агентов в агент Azure Monitor.
Поиск в центре контента для других устройств, приложений Software as a service (SaaS), требующих отправки журналов в Sentinel. Дополнительные сведения см. в статье "Обнаружение и управление содержимым Microsoft Sentinel вне поля".
Шаг 2. Включение аналитики поведения сущностей пользователей
После настройки соединителей данных в Sentinel обязательно включите анализ поведения сущностей пользователя для выявления подозрительного поведения, что может привести к фишинговым эксплойтам и в конечном итоге атакам, таким как программ-шантажистов. Часто обнаружение аномалий с помощью UEBA является лучшим способом обнаружения эксплойтов нулевого дня на ранних этапах.
Необходимые источники данных:
- Журналы Active Directory (Microsoft Defender для удостоверений)
- Идентификатор Microsoft Entra
- Журналы аудита
- Действие Azure
- События безопасности
- Вход в журналы
Использование UEBA позволяет Microsoft Sentinel создавать профили поведения сущностей вашей организации во время и одноранговой группе для выявления аномальных действий. Это добавило служебные средства в экспедиции определения того, был ли скомпрометирован ресурс. Так как он определяет связь одноранговых групп, это также может помочь в определении радиуса взрыва указанного компромисса.
Шаг 3. Включение правил аналитики
Мозг Sentinel исходит из аналитических правил. Это правила, которые вы устанавливаете, чтобы сообщить Sentinel о событиях с набором условий, которые вы считаете важным. Встроенные решения Sentinel основаны на аналитике поведения пользовательской сущности (UEBA) и корреляции данных между несколькими источниками данных.
Примечание.
Если вы включили соединитель XDR в Microsoft Defender, автоматически устанавливается двунаправленная синхронизация между 365 инцидентами Защитника и Sentinel. Чтобы избежать создания повторяющихся инцидентов для одинаковых оповещений, рекомендуется отключить все правила создания инцидентов Майкрософт для интегрированных с Microsoft Defender XDR продуктов (Defender для конечной точки, Defender для удостоверений, Defender для Office 365, Defender для облака приложений и Защита идентификации Microsoft Entra). Дополнительные сведения см. в статье об инцидентах XDR в Microsoft Defender и правилах создания инцидентов Майкрософт.
Microsoft Sentinel включает правило аналитики обнаружения многоэтапных атак Fusion Advanced по умолчанию для автоматической идентификации многоэтапных атак. Использование аномального поведения и подозрительных событий активности, наблюдаемых в цепочке кибер-убийств, Microsoft Sentinel создает инциденты, которые позволяют видеть инциденты компрометации с двумя или более действиями оповещения в нем с высокой степенью достоверности.
Технология оповещения Fusion сопоставляет широкие точки сигналов данных с расширенным анализом машинного обучения, чтобы помочь определить известные, неизвестные и возникающие угрозы. Например, обнаружение Fusion может принимать шаблоны правил аномалий и запланированные запросы, созданные для сценария программ-шантажистов, и связать их с оповещениями из продуктов Microsoft Security Suite:
- Защита идентификации Microsoft Entra
- Microsoft Defender для облака
- Microsoft Defender для Интернета вещей
- Microsoft Defender XDR
- Microsoft Defender для облачных приложений
- Защитник Майкрософт для конечных точек
- Microsoft Defender для удостоверений
- Microsoft Defender для Office 365;
Другим набором стандартных правил, включенных по умолчанию, являются правила аномалий в Sentinel. Они основаны на моделях Машинное обучение и UEBA, которые обучают данные в рабочей области, чтобы пометить аномальное поведение между пользователями, узлами и другими пользователями. Часто фишинговая атака приводит к шагу выполнения, таком как локальная или облачная обработка или управление учетными записями или вредоносное выполнение скрипта. Правила аномалий выглядят именно для таких типов действий:
- Аномальный отзыв доступа к учетной записи
- Аномальное создание учетной записи
- Аномальное удаление учетной записи
- Аномальные операции с учетной записью
- Аномальное выполнение кода (UEBA)
- Аномальное уничтожение данных
- Аномальное изменение защитного механизма
- Аномальный сбой входа
- Аномальный сброс пароля
- Аномальное предоставление привилегий
- Аномальная попытка входа
Просмотрите правила аномалий и пороговое значение оценки аномалий для каждого из них. Если вы наблюдаете ложные срабатывания, например, рассмотрите возможность дедупликации правила и изменения порогового значения, выполнив действия, описанные в правилах настройки аномалий.
После просмотра и изменения правил Fusion и Аномалий включите нестандартное правило Аналитики угроз Майкрософт. Убедитесь, что это правило соответствует данным журнала с аналитикой угроз, созданной корпорацией Майкрософт. Корпорация Майкрософт имеет обширный репозиторий данных аналитики угроз, и это правило аналитики использует подмножество для создания оповещений и инцидентов высокой точности для групп SOC (центры управления безопасностью) для обработки.
С включенными правилами Fusion, Anomaly и Threat Intelligence Analytic Rules необходимо провести переход MITRE Attck, чтобы помочь вам решить, какие оставшиеся правила аналитики позволяют и завершить реализацию зрелого процесса XDR (расширенного обнаружения и ответа). Это позволит обнаруживать и реагировать на них на протяжении всего жизненного цикла атаки.
Исследовательский отдел MITRE Attck создал метод MITRE, и он предоставляется в составе Microsoft Sentinel, чтобы упростить реализацию. Необходимо убедиться, что у вас есть правила аналитики, которые растягивают длину и ширину подхода к векторам атак. Начните с просмотра методов MITRE, которые рассматриваются существующими правилами аналитики Active, а затем выберите "Шаблоны правил аналитики" и "Правила аномалий" в раскрывающемся списке "Имитация ". Теперь он покажет вам, где у вас есть тактика противника и /или методы, охватываемые и где есть доступные аналитические правила, которые следует рассмотреть, чтобы улучшить охват. Например, чтобы обнаружить потенциальные фишинговые атаки, просмотрите шаблоны правил аналитики для метода фишинга и укажите приоритеты включения правил, которые специально запрашивают источники данных, которые были подключены к Sentinel.
Как правило, существует пять этапов атаки программы-шантажистов, и фишинг попадает под начальный доступ, как показано на снимке экрана ниже. Выполните оставшиеся действия, чтобы покрыть всю цепочку убийств соответствующими правилами аналитики:
- Первоначальный доступ
- Кража учетных данных
- Перемещение внутри периметра
- Сохраняемость
- Уклонение от защиты
- Эксфильтрация (это место обнаружения программы-шантажистов)
В итоге при включении правил аналитики для Sentinel приоритет включает подключенные источники данных, организационный риск и тактику MITRE.
Рекомендуемое обучение
Подключение данных к Microsoft Sentinel с помощью соединителей данных
| Обучение | Подключение данные в Microsoft Sentinel с помощью соединителей данных |
|---|---|
|
Основной подход к подключению данных журнала — это использование соединителей данных, предоставленных в Microsoft Sentinel. Этот модуль содержит общие сведения о доступных соединителях данных. |
Задание. Подключение журналов к Microsoft Sentinel
| Обучение | Задание. Подключение журналов к Microsoft Sentinel |
|---|---|
|
Подключение данных в масштабе облака для всех пользователей, устройств, приложений и инфраструктуры как локально, так и из нескольких облаков в Microsoft Sentinel. |
Выявление угроз с помощью аналитики поведения
| Обучение | Определение угроз с помощью аналитики поведения |
|---|---|
|
Основной подход к подключению данных журнала — это использование соединителей данных, предоставленных в Microsoft Sentinel. Этот модуль содержит общие сведения о доступных соединителях данных. |
Следующие шаги
Перейдите к шагу 4, чтобы ответить на инцидент.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по