Skapa anpassade analysregler för att identifiera hot

När du har anslutit dina datakällor till Microsoft Sentinel skapar du anpassade analysregler som hjälper dig att identifiera hot och avvikande beteenden i din miljö.

Analysregler söker efter specifika händelser eller uppsättningar av händelser i din miljö, varnar dig när vissa tröskelvärden eller villkor för händelser nås, genererar incidenter som soc:en kan hantera och undersöka samt svara på hot med automatiserade spårnings- och reparationsprocesser.

Skapa en anpassad analysregel med en schemalagd fråga

1. Från Microsoft Sentinel-navigeringsmenyn väljer du Analytics.

2. I åtgärdsfältet högst upp väljer du +Skapa och sedan Schemalagd frågeregel. Då öppnas guiden Analytics-regel.

   

Guide för analysregel – fliken Allmänt

• Ange ett unikt namn och en Beskrivning.

• I fältet Taktik kan du välja bland olika typer av attacker som du vill klassificera regeln med. Dessa baseras på mitre ATT-&CK-ramverket.

• Ange allvarlighetsgrad för aviseringen efter behov.

• När du skapar regeln är dess Status Aktiverad som standard, vilket innebär att den körs direkt när du har skapat den. Om du inte vill att den ska köras direkt väljer du Inaktiverad så läggs regeln till på fliken Aktiva regler och du kan aktivera den därifrån när du behöver den.

  

Definiera regelfrågelogiken och konfigurera inställningar

På fliken Ange regellogik kan du antingen skriva en fråga direkt i fältet Regelfråga eller skapa frågan i Log Analytics och sedan kopiera och klistra in den här.

• Frågor skrivs med Kusto Query Language (KQL). Läs mer om KQL-begrepp och frågoroch se den här praktiska snabbreferensguiden.

• Exemplet som visas i den här skärmbilden frågar tabellen SecurityEvent för att visa en typ av misslyckade Windows inloggningshändelser.

  

• Här är en annan exempelfråga, en som varnar dig när ett avvikande antal resurser skapas i Azure-aktiviteten.

  AzureActivity
  | where OperationName == "Create or Update Virtual Machine" or OperationName =="Create Deployment"
  | where ActivityStatus == "Succeeded"
  | make-series dcount(ResourceId)  default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller
  

  Anteckning

  Metodtips för regelfrågor:

  • Frågelängden ska vara mellan 1 och 10 000 tecken och får inte innehålla " search * " eller union * " ". Du kan använda användardefinierade funktioner för att lösa begränsningen av frågelängden.

  • Du kan inte använda ADX Azure Data Explorer för att skapa Azure Data Explorer frågor i Log Analytics-frågefönstret.

  • När du använder funktionen i en fråga kommer frågan att misslyckas om du projicerar kolumnerna som fält med hjälp av " " och bag_unpack project field1 kolumnen inte finns. För att skydda dig mot detta måste du projicera kolumnen på följande sätt:

    • project field1 = column_ifexists("field1","")

Aviseringsberikning

• Använd konfigurationsavsnittet Entitetsmappning för att mappa parametrar från dina frågeresultat till Microsoft Sentinel-identifierade entiteter. Entiteter utökar reglernas utdata (aviseringar och incidenter) med viktig information som fungerar som byggstenar i alla undersökande processer och åtgärdsåtgärder som följer. De är också de kriterier som du kan använda för att gruppera aviseringar i incidenter på fliken Incidentinställningar.

  Läs mer om entiteter i Microsoft Sentinel.

  Se Mappa datafält till entiteter i Microsoft Sentinel för fullständiga instruktioner för entitetsmappning, tillsammans med viktig information om bakåtkompatibilitet.

• Använd konfigurationsavsnittet Anpassad information för att extrahera händelsedataobjekt från din fråga och visa dem i aviseringarna som skapas av den här regeln, vilket ger dig omedelbar innehållssynlighet för händelser i dina aviseringar och incidenter.

  Läs mer om att visa anpassad information i aviseringar och se de fullständiga anvisningarna.

• Använd konfigurationsavsnittet Aviseringsinformation för att anpassa aviseringens presentationsinformation till det faktiska innehållet. Med aviseringsinformation kan du till exempel visa en angripares IP-adress eller kontonamn i själva aviseringens titel, så att den visas i din incidentkö, vilket ger dig en mycket mer omfattande och tydligare bild av ditt hotlandskap.

  Se de fullständiga anvisningarna om hur du anpassar din aviseringsinformation.

Schemaläggning av frågor och tröskelvärde för avisering

• I avsnittet Frågeschemaläggning anger du följande parametrar:

  

  • Ange Kör fråga varje för att styra hur ofta frågan körs – så ofta som var 5:e minut eller så sällan som en gång var 14:e dag.

  • Ange Uppslagsdata från den sista för att fastställa tidsperioden för de data som omfattas av frågan – till exempel kan den fråga de senaste 10 minuterna data eller de senaste 6 timmarna med data. Maxvärdet är 14 dagar.

    Anteckning

    Frågeintervall och återställningsperiod

    De här två inställningarna är oberoende av varandra, upp till en punkt. Du kan köra en fråga med ett kort intervall som omfattar en tidsperiod som är längre än intervallet (i praktiken med överlappande frågor), men du kan inte köra en fråga med ett intervall som överskrider täckningsperioden, annars har du luckor i den övergripande frågetäckningen. > > Datainmatningsfördröjning > > För att ta hänsyn till svarstider som kan uppstå mellan en händelses generation vid källan och dess inmatning i Microsoft Sentinel, och för att säkerställa fullständig täckning utan dataduplicering, kör Microsoft Sentinel schemalagda analysregler med en fördröjning på fem minuter från den schemalagda tiden. > > Mer information finns i Hantera inmatningsfördröjning i regler för schemalagd analys.

• Använd avsnittet Aviseringströskel för att definiera regelns känslighetsnivå. Ange till exempel Generera avisering när antalet frågeresultat är större än och ange numret 1000 om du vill att regeln endast ska generera en avisering om frågan returnerar fler än 1 000 resultat varje gång den körs. Det här är ett obligatoriskt fält, så om du inte vill ange ett tröskelvärde – det vill säga om du vill att aviseringen ska registrera varje händelse – anger du 0 i nummerfältet.

Resultatsimulering

I området Resultatsimulering går du till höger i guiden och väljer Testa med aktuella data så visar Microsoft Sentinel ett diagram över resultaten (logghändelser) som frågan skulle ha genererat under de senaste 50 gånger som den skulle ha körts, enligt det aktuella definierade schemat. Om du ändrar frågan väljer du Testa med aktuella data igen för att uppdatera diagrammet. Diagrammet visar antalet resultat under den definierade tidsperioden, vilket bestäms av inställningarna i avsnittet Frågeschemaläggning.

Så här kan resultatsimuleringen se ut för frågan i skärmbilden ovan. Den vänstra sidan är standardvyn och den högra sidan är det du ser när du hovrar över en tidpunkt i diagrammet.

Om du ser att frågan utlöser för många eller för frekventa aviseringar kan du experimentera med inställningarna i avsnitten Schemaläggning av fråga och Aviseringströskel och välja Testa med aktuella data igen.

Händelsegruppering och regelundertryckning

• Under Händelsegruppering väljer du ett av två sätt att hantera gruppering av händelser i aviseringar:

  • Gruppera alla händelser i en enda avisering (standardinställningen). Regeln genererar en enskild avisering varje gång den körs, så länge frågan returnerar fler resultat än det angivna tröskelvärdet för aviseringen ovan. Aviseringen innehåller en sammanfattning av alla händelser som returneras i resultatet.

  • Utlös en avisering för varje händelse. Regeln genererar en unik avisering för varje händelse som returneras av frågan. Detta är användbart om du vill att händelser ska visas individuellt, eller om du vill gruppera dem efter vissa parametrar – efter användare, värdnamn eller något annat. Du kan definiera dessa parametrar i frågan.

    För närvarande är maxgränsen 20 för antalet aviseringar som en regel kan generera. Om händelsegruppering i en viss regel är inställt på Utlösa en avisering för varje händelse och regelns fråga returnerar fler än 20 händelser genererar var och en av de första 19 händelserna en unik avisering och den 20:e aviseringen sammanfattar hela uppsättningen returnerade händelser. Med andra ord är den 20:e aviseringen det som skulle ha genererats under alternativet Gruppera alla händelser i en enda avisering.

    Om du väljer det här alternativet lägger Microsoft Sentinel till ett nytt fält, OriginalQuery, i frågans resultat. Här är en jämförelse av det befintliga frågefältet och det nya fältet:

    Fältnamn	Innehåller	Köra frågan i det här fältet resulterar i...
    Query	Den komprimerade posten för händelsen som genererade den här instansen av aviseringen	Den händelse som genererade den här instansen av aviseringen
    OriginalQuery	Den ursprungliga frågan som skrivits i   analysregeln	Den senaste händelsen i tidsramen där frågan körs, som passar de parametrar som definieras av frågan

    Med andra ord fungerar fältet OriginalQuery som frågefältet vanligtvis fungerar. Resultatet av det här extra fältet är att problemet som beskrivs av det första objektet i felsökningsavsnittet nedan har lösts.

  Anteckning

  Vad är skillnaden mellan händelser och aviseringar?

  • En händelse är en beskrivning av en enskild förekomst av en åtgärd. Till exempel kan en enda post i en loggfil räknas som en händelse. I det här sammanhanget refererar en händelse till ett enskilt resultat som returneras av en fråga i en analysregel.

  • En avisering är en samling händelser som tillsammans är viktiga ur säkerhetssynpunkt. En avisering kan innehålla en enda händelse om händelsen har betydande säkerhetskonsekvenser – till exempel en administrativ inloggning från ett främmande land utanför kontorstid.

  • Vad är incidenter? Microsoft Sentinels interna logik skapar incidenter från aviseringar eller grupper av aviseringar. Incidentkön är fokuspunkten för SOC-analytikernas arbete – att undersöka, undersöka och åtgärda.

  Microsoft Sentinel matar in råhändelser från vissa datakällor och redan bearbetade aviseringar från andra. Det är viktigt att notera vilken du arbetar med när som helst.

• I avsnittet Undertryckning kan du ställa in inställningen Stoppa körning efter att aviseringen har genererats På om du vill inaktivera åtgärden för den här regeln under en tidsperiod som överstiger frågeintervallet när du får en avisering. Om du aktiverar det här måste du ställa in Frågan Sluta köra för till hur lång tid frågan ska sluta köras, upp till 24 timmar.

Konfigurera inställningarna för att skapa incidenter

På fliken Incident Inställningar kan du välja om och hur Microsoft Sentinel ska omvandla aviseringar till åtgärdsbara incidenter. Om den här fliken lämnas ensam skapar Microsoft Sentinel en enda, separat incident från varje avisering. Du kan välja att inte skapa några incidenter eller gruppera flera aviseringar i en enda incident genom att ändra inställningarna på den här fliken.

Exempel:

Incidentinställningar

I avsnittet Incidentinställningar är Skapa incidenter från aviseringar som utlöses av den här analysregeln inställt på Aktiverad som standard, vilket innebär att Microsoft Sentinel skapar en enda, separat incident från varje avisering som utlöses av regeln.

• Om du inte vill att den här regeln ska leda till att några incidenter skapas (till exempel om den här regeln bara är att samla in information för efterföljande analys) anger du detta till Inaktiverad.

• Om du vill att en enskild incident ska skapas från en grupp med aviseringar, i stället för en för varje enskild avisering, kan du gå till nästa avsnitt.

Aviseringsgrupp

Om du vill att en enskild incident ska genereras från en grupp med upp till 150 liknande eller återkommande aviseringar (se anmärkning) i avsnittet Aviseringsgrupp anger du Grupprelaterade aviseringar, som utlöses av den här analysregeln, till Incidenter till Aktiverad och anger följande parametrar.

• Begränsa gruppen till aviseringar som skapats inom den valda tidsramen: Bestäm inom vilken tidsram liknande eller återkommande aviseringar ska grupperas. Alla motsvarande aviseringar inom den här tidsramen genererar tillsammans en incident eller en uppsättning incidenter (beroende på gruppinställningarna nedan). Aviseringar utanför den här tidsramen genererar en separat incident eller uppsättning incidenter.

• Gruppera aviseringar som utlöses av den här analysregeln i en enda incident av: Välj på vilken grund aviseringarna ska grupperas:

  Alternativ	Beskrivning
  Gruppera aviseringar i en enda incident om alla entiteter matchar	Aviseringar grupperas tillsammans om de delar identiska värden för var och en av de mappade entiteterna (definieras på fliken Ange regellogik ovan). Detta är den rekommenderade inställningen.
  Gruppera alla aviseringar som utlöses av den här regeln i en enda incident	Alla aviseringar som genereras av den här regeln grupperas tillsammans även om de inte delar identiska värden.
  Gruppera aviseringar i en enskild incident om de valda entiteterna och informationen matchar	Aviseringar grupperas tillsammans om de delar identiska värden för alla mappade entiteter, aviseringsinformation och anpassad information som valts från respektive listrutan. Du kanske vill använda den här inställningen om du till exempel vill skapa separata incidenter baserat på källans eller målets IP-adresser, eller om du vill gruppera aviseringar som matchar en specifik entitet och allvarlighetsgrad. Obs! När du väljer det här alternativet måste du ha minst en entitetstyp eller ett fält valt för regeln. Annars misslyckas regelverifieringen och regeln skapas inte.

• Öppna stängda matchande incidenter på nytt: Om en incident har lösts och stängts och senare genereras en annan avisering som ska tillhöra incidenten ställer du in den här inställningen på Aktiverad om du vill att den stängda incidenten ska öppnas igen och lämnar som Inaktiverad om du vill att aviseringen ska skapa en ny incident.

  Anteckning

  Upp till 150 aviseringar kan grupperas i en enda incident. Om fler än 150 aviseringar genereras av en regel som grupperar dem i en enda incident genereras en ny incident med samma incidentinformation som den ursprungliga, och de överflödiga aviseringarna grupperas i den nya incidenten.

Ange automatiserade svar och skapa regeln

1. På fliken Automatiserade svar kan du ställa in automatisering baserat på aviseringen eller aviseringarna som genereras av den här analysregeln, eller baserat på incidenten som skapats av aviseringarna.

   • För aviseringsbaserad automatisering väljer du i listrutan under Aviseringsautomatisering alla spelböcker som du vill köra automatiskt när en avisering genereras.
   • För incidentbaserad automatisering väljer eller skapar du en automatiseringsregel under Incidentautomatisering (förhandsversion). Du kan anropa spelböcker (de som baseras på incidentutlösaren ) från dessa automatiseringsregler, samt automatisera triage, tilldelning och stängning.
   • Mer information och instruktioner om hur du skapar spelböcker och automatiseringsregler finns i Automatisera hotsvar.
   • Mer information om när du ska använda aviseringsutlösaren eller incidentutlösaren finns i Använda utlösare och åtgärder i Microsoft Sentinel-spelböcker.

   

2. Välj Granska och skapa för att granska alla inställningar för den nya aviseringsregeln. När meddelandet "Valideringen har godkänts" visas väljer du Skapa för att initiera aviseringsregeln.

   

Visa regeln och dess utdata

• Du hittar din nyligen skapade anpassade regel (av typen "Schemalagd") i tabellen under fliken Aktiva regler på huvudskärmen i Analytics. I den här listan kan du aktivera, inaktivera eller ta bort varje regel.

• Om du vill visa resultatet av de aviseringsregler som du skapar går du till sidan Incidenter, där du kan granska,undersöka incidenter och åtgärda hoten.

• Du kan uppdatera regelfrågan för att undanta falska positiva resultat. Mer information finns i Hantera falska positiva resultat i Microsoft Sentinel.

Exportera regeln till en ARM-mall

Om du vill paketera regeln som ska hanteras och distribueras som kod kan du enkelt exportera regeln till en Azure Resource Manager -mall (ARM). Du kan också importera regler från mallfiler för att visa och redigera dem i användargränssnittet.

Felsökning

Problem: Inga händelser visas i frågeresultat

Om händelsegruppering är inställt på att utlösa en avisering för varje händelse är det i vissa fall möjligt att inga frågeresultat visas när du visar frågeresultatet vid ett senare tillfälle (till exempel när du pivoterar tillbaka till aviseringar från en incident). Det beror på att händelsens anslutning till aviseringen uppnås genom hash-kodning av den specifika händelsens information och inkludering av hashen i frågan. Om frågeresultatet har ändrats sedan aviseringen genererades är hash-värdet inte längre giltigt och inga resultat visas.

Om du vill se händelserna tar du bort raden med hashen manuellt från regelns fråga och kör frågan.

Problem: En schemalagd regel kunde inte köras eller visas med AUTO DISABLED tillagt i namnet

Det är en sällsynt händelse att en schemalagd frågeregel inte kan köras, men det kan inträffa. Microsoft Sentinel klassificerar fel direkt som antingen tillfälliga eller permanenta, baserat på den specifika typen av fel och de omständigheter som ledde till felet.

Tillfälligt fel

Ett tillfälligt fel inträffar på grund av en tillfällig situation som snart kommer att återgå till det normala, då regelkörningen lyckas. Några exempel på fel som Microsoft Sentinel klassificerar som tillfälliga är:

• En regelfråga tar för lång tid att köra och tar för lång tid.
• Anslutningsproblem mellan datakällor och Log Analytics, eller mellan Log Analytics och Microsoft Sentinel.
• Alla andra nya och okända fel betraktas som tillfälliga.

Vid ett tillfälligt fel fortsätter Microsoft Sentinel att försöka köra regeln igen efter förinställda och ständigt ökande intervall, upp till en punkt. Efter det körs regeln bara igen vid nästa schemalagda tidpunkt. En regel inaktiveras aldrig automatiskt på grund av ett tillfälligt fel.

Permanent fel – regeln avaktiveras automatiskt

Ett permanent fel inträffar på grund av en ändring av villkoren som tillåter att regeln körs, som utan mänsklig inblandning inte återgår till sin tidigare status. Följande är några exempel på fel som klassificeras som permanenta:

• Målarbetsytan (som regelfrågan körs på) har tagits bort.
• Måltabellen (som regelfrågan körs på) har tagits bort.
• Microsoft Sentinel har tagits bort från målarbetsytan.
• En funktion som används av regelfrågan är inte längre giltig. Den har antingen ändrats eller tagits bort.
• Behörigheter till en av datakällorna för regelfrågan har ändrats.
• En av datakällorna för regelfrågan har tagits bort eller kopplats från.

I händelse av ett förbestämt antal på varandra följande permanenta fel, av samma typ och i samma regel, Microsoft Sentinel slutar att försöka köra regeln och vidtar även följande steg:

• Inaktiverar regeln.
• Lägger till orden "INAKTIVERAD AUTOMATISKT" i början av regelns namn.
• Lägger till orsaken till felet (och inaktiveringen) i regelns beskrivning.

Du kan enkelt fastställa förekomsten av automatiskt inaktiverade regler genom att sortera regellistan efter namn. Reglerna för automatisk inaktiverad finns längst upp i listan eller nästan längst upp.

SOC-cheferna bör kontrollera regellistan regelbundet för att se om det finns regler för automatisk inaktiverad.

Nästa steg

När du använder analysregler för att identifiera hot från Microsoft Sentinel ska du se till att aktivera alla regler som är associerade med dina anslutna datakällor för att säkerställa fullständig säkerhetstäckning för din miljö. Det effektivaste sättet att aktivera analysregler är direkt från dataanslutningssidan, som visar en lista över relaterade regler. Mer information finns i Anslut datakällor.

Du kan också skicka regler till Microsoft Sentinel via API och PowerShell,men om du gör det krävs ytterligare arbete. När du använder API eller PowerShell måste du först exportera reglerna till JSON innan du aktiverar reglerna. API eller PowerShell kan vara användbart när du aktiverar regler i flera instanser av Microsoft Sentinel med identiska inställningar i varje instans.

Mer information finns i:

Mer information finns i:

• Självstudie: Undersöka incidenter med Microsoft Sentinel
• Klassificera och analysera data med hjälp av entiteter i Microsoft Sentinel
• Självstudie: Använda spelböcker med automatiseringsregler i Microsoft Sentinel

Lär dig också från ett exempel på hur du använder anpassade analysregler när du övervakar Zoom med en anpassad anslutningsapp.