Identifiera hot utan konfiguration
Anteckning
Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.
När du har anslutit dina datakällor till Microsoft Sentinel vill du få ett meddelande när något misstänkt inträffar. Därför tillhandahåller Microsoft Sentinel färdiga inbyggda mallar som hjälper dig att skapa regler för hotidentifiering.
Regelmallar utformades av Microsofts team med säkerhetsexperter och analytiker baserat på kända hot, vanliga attackvektorer och misstänkta aktivitetseskaleringskedjor. Regler som skapas från dessa mallar söker automatiskt i din miljö efter aktiviteter som ser misstänkta ut. Många av mallarna kan anpassas för att söka efter aktiviteter eller filtrera bort dem efter dina behov. Aviseringarna som genereras av dessa regler skapar incidenter som du kan tilldela och undersöka i din miljö.
Den här artikeln hjälper dig att förstå hur du identifierar hot med Microsoft Sentinel:
- Använda out-of-the-box-hotidentifiering
- Automatisera hotsvar
Visa inbyggda identifieringar
Om du vill visa alla analysregler och identifieringar i Microsoft Sentinel går du till Mallar för > analysregler. Den här fliken innehåller alla inbyggda regler för Microsoft Sentinel.
Inbyggda identifieringar är:
| Regeltyp | Description |
|---|---|
| Microsoft-säkerhet | Microsofts säkerhetsmallar skapar automatiskt Microsoft Sentinel-incidenter från aviseringar som genereras i andra Microsoft-säkerhetslösningar i realtid. Du kan använda Microsofts säkerhetsregler som en mall för att skapa nya regler med liknande logik. Mer information om säkerhetsregler finns i Skapa incidenter automatiskt från Microsofts säkerhetsaviseringar. |
| Fusion (vissa identifieringar i förhandsversion) |
Microsoft Sentinel använder Fusion-korrelationsmotorn med sina skalbara maskininlärningsalgoritmer för att identifiera avancerade flerstegsattacker genom att korrelera många aviseringar och händelser med låg återgivning i flera produkter till incidenter med hög återgivning och åtgärdsbarhet. Fusion är aktiverat som standard. Eftersom logiken är dold och därför inte anpassningsbar kan du bara skapa en regel med den här mallen. Fusion-motorn kan också korrelera aviseringar som skapas av schemalagda analysregler med aviseringar från andra system, vilket ger incidenter med hög återgivning som följd. |
| Beteendeanalys för maskininlärning (ML) | ML för beteendeanalys baseras på microsofts egna maskininlärningsalgoritmer, så du kan inte se den interna logiken för hur de fungerar och när de körs. Eftersom logiken är dold och därför inte anpassningsbar kan du bara skapa en regel med varje mall av den här typen. |
| Anomali (Förhandsversion) |
Mallar för avvikelseregel använder SOC-ML (maskininlärning) för att identifiera specifika typer av avvikande beteende. Varje regel har sina egna unika parametrar och tröskelvärden, som är lämpliga för det beteende som analyseras. Dessa regelkonfigurationer kan inte ändras eller finjusteras, men du kan duplicera regeln, ändra och finjustera dubbletten. I sådana fall kör du dubbletten i Flighting-läge och originalet samtidigt i produktionsläge. Jämför sedan resultaten och växla dubbletten till Produktion om och när finjusteringen passar dig. Mer information finns i Använda SOC-ML avvikelser för att identifiera hot i Microsoft Sentinel och Arbeta med analysregler för avvikelseidentifiering i Microsoft Sentinel. |
| Planerad | Regler för schemalagd analys baseras på inbyggda frågor som skrivits av Microsofts säkerhetsexperter. Du kan se frågelogiken och göra ändringar i den. Du kan använda mallen för schemalagda regler och anpassa frågelogiken och schemaläggningsinställningarna för att skapa nya regler. Flera nya regelmallar för schemalagd analys producerar aviseringar som korreleras av Fusion-motorn med aviseringar från andra system för att producera incidenter med hög återgivning. Mer information finns i Avancerad attackidentifiering i flerasteg. Tips: Schemaläggningsalternativ för regler omfattar att konfigurera regeln så att den körs varje angivet antal minuter, timmar eller dagar, där klockan startar när du aktiverar regeln. Vi rekommenderar att du tänker på när du aktiverar en ny eller redigerad analysregel för att säkerställa att reglerna får den nya stacken med incidenter i tid. Du kanske till exempel vill köra en regel i synkronisering med när SOC-analytikerna påbörjar sin arbetsdag och aktiverar reglerna sedan. |
| Nära realtid (NRT) (Förhandsversion) |
NRT-regler är en begränsad uppsättning schemalagda regler som är utformade för att köras en gång i minuten, så att du kan få information så fort som möjligt. De fungerar främst som schemalagda regler och konfigureras på liknande sätt, med vissa begränsningar. Mer information finns i Identifiera hot snabbt med analysregler i nära realtid (NRT) i Microsoft Sentinel. |
Viktigt
Regelmallarna som anges ovan är för närvarande i FÖRHANDSVERSION, liksom några av Fusion-identifieringsmallarna (se Avancerad attackidentifiering i flerasteg i Microsoft Sentinel för att se vilka). Se kompletterande användningsvillkor för Microsoft Azure-förhandsversioner för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som inte har släppts allmänt ännu.
Genom att skapa och aktivera regler baserat på ML-beteendeanalysmallarna ger du Microsoft tillstånd att kopiera inmatade data utanför Microsoft Sentinel-arbetsytans geografiska område efter behov för bearbetning av maskininlärningsmotorerna och -modellerna.
Använda inbyggda analysregler
Den här proceduren beskriver hur du använder inbyggda mallar för analysregler.
Så här använder du inbyggda analysregler:
På sidan mallar för Microsoft Sentinel> > Analytics-regel väljer du ett mallnamn och sedan knappen Skapa regel i informationsfönstret för att skapa en ny aktiv regel som baseras på mallen.
Varje mall har en lista över nödvändiga datakällor. När du öppnar mallen kontrolleras datakällorna automatiskt för tillgänglighet. Om det uppstår ett tillgänglighetsproblem kan knappen Skapa regel vara inaktiverad, eller så kan du se en varning om detta.
Om du väljer Skapa regel öppnas guiden skapa regler baserat på den valda mallen. All information fylls i automatiskt och med säkerhetsmallarna Schemalagd eller Microsoft kan du anpassa logiken och andra regelinställningar så att de passar dina specifika behov bättre. Du kan upprepa den här processen om du vill skapa ytterligare regler baserat på den inbyggda mallen. När du har följt stegen i guiden för att skapa regler till slutet är du klar med att skapa en regel baserat på mallen. De nya reglerna visas på fliken Aktiva regler.
Mer information om hur du anpassar dina regler i guiden skapa regler finns i Skapa anpassade analysregler för att identifiera hot.
Tips
Se till att du aktiverar alla regler som är associerade med dina anslutna datakällor för att säkerställa fullständig säkerhetstäckning för din miljö. Det effektivaste sättet att aktivera analysregler är direkt från dataanslutningssidan, som visar en lista över relaterade regler. Mer information finns i Anslut datakällor.
Du kan också skicka regler till Microsoft Sentinel via API och PowerShell, men om du gör det krävs ytterligare arbete.
När du använder API eller PowerShell måste du först exportera reglerna till JSON innan du aktiverar reglerna. API eller PowerShell kan vara användbart när du aktiverar regler i flera instanser av Microsoft Sentinel med identiska inställningar i varje instans.
Exportera regler till en ARM-mall
Du kan enkelt exportera regeln till en Azure Resource Manager(ARM)-mall om du vill hantera och distribuera dina regler som kod. Du kan också importera regler från mallfiler för att visa och redigera dem i användargränssnittet.
Nästa steg
Om du vill skapa anpassade regler använder du befintliga regler som mallar eller referenser. Genom att använda befintliga regler som baslinje kan du bygga ut det mesta av logiken innan du gör de ändringar som behövs. Mer information finns i Skapa anpassade analysregler för att identifiera hot.
Information om hur du automatiserar svar på hot finns i Konfigurera automatiserade hotsvar i Microsoft Sentinel.