Använda matchande analys för att identifiera hot
Dra nytta av hotinformation som skapats av Microsoft för att generera aviseringar och incidenter med hög återgivning med Microsoft Defender Hotinformation Analytics-regeln. Den här inbyggda regeln i Microsoft Sentinel matchar indikatorer med CEF-loggar (Common Event Format), Windows DNS-händelser med domän- och IPv4-hotindikatorer, syslog-data med mera.
Viktigt!
Matchande analys finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Förutsättningar
För att kunna skapa aviseringar och incidenter med hög återgivning måste en eller flera av de dataanslutningsprogram som stöds installeras, men en PREMIUM MDTI-licens krävs inte. Installera lämpliga lösningar från innehållshubben för att ansluta dessa datakällor.
- Common Event Format (CEF)
- DNS (förhandsversion)
- Syslog
- Office-aktivitetsloggar
- Azure-aktivitetsloggar
Beroende på din datakälla kan du till exempel använda följande lösningar och dataanslutningar.
Konfigurera matchande analysregel
Matchande analys konfigureras när du aktiverar Microsoft Defender Hotinformation Analytics-regeln.
Klicka på analysmenyn i avsnittet Konfiguration.
Välj menyfliken Regelmallar .
I sökfönstret skriver du hotinformation.
Välj regelmallen Microsoft Defender Hotinformation Analytics.
Klicka på Skapa regel. Regelinformationen är skrivskyddad och standardstatusen för regeln är aktiverad.
Klicka på Granska>skapa.
Datakällor och indikatorer
Microsoft Defender Hotinformation (MDTI) Analytics matchar dina loggar med domän-, IP- och URL-indikatorer på följande sätt:
CEF-loggar som matas in i Log Analytics CommonSecurityLog-tabellen matchar URL- och domänindikatorer om de
RequestURL
fylls i i fältet och IPv4-indikatorer i fältetDestinationIP
.Windows DNS-loggar där händelsen
SubType == "LookupQuery"
som matas in i tabellen DnsEvents matchar domänindikatorer iName
fältet och IPv4-indikatorer i fältetIPAddresses
.Syslog-händelser som
Facility == "cron"
matas in i Syslog-tabellen matchar domän- och IPv4-indikatorer direkt från fältetSyslogMessage
.Office-aktivitetsloggar som matas in i tabellen OfficeActivity matchar IPv4-indikatorer direkt från fältet
ClientIP
.Azure-aktivitetsloggar som matas in i AzureActivity-tabellen matchar IPv4-indikatorer direkt från fältet
CallerIpAddress
.
Sortera en incident som genereras av matchande analys
Om Microsofts analys hittar en matchning grupperas alla aviseringar som genereras i incidenter.
Använd följande steg för att sortera igenom de incidenter som genereras av Microsoft Defender Hotinformation Analytics-regeln:
På den Microsoft Sentinel-arbetsyta där du har aktiverat regeln Microsoft Defender Hotinformation Analytics väljer du Incidenter och söker efter Microsoft Defender Hotinformation Analytics.
Alla incidenter som hittas visas i rutnätet.
Välj Visa fullständig information för att visa entiteter och annan information om incidenten, till exempel specifika aviseringar.
Till exempel:
Observera allvarlighetsgraden som tilldelats aviseringarna och incidenten. Beroende på hur indikatorn matchas tilldelas en lämplig allvarlighetsgrad till en avisering från
Informational
tillHigh
. Om indikatorn till exempel matchas med brandväggsloggar som har tillåtit trafiken genereras en varning med hög allvarlighetsgrad. Om samma indikator matchades med brandväggsloggar som blockerade trafiken skulle aviseringen som genereras vara låg eller medelhög.Aviseringar grupperas sedan per observerbar bas av indikatorn. Till exempel grupperas alla aviseringar som genereras under en tidsperiod på 24 timmar som matchar domänen
contoso.com
i en enskild incident med en allvarlighetsgrad tilldelad baserat på den högsta allvarlighetsgraden för aviseringar.Observera indikatorinformationen. När en matchning hittas publiceras indikatorn i tabellen Log Analytics ThreatIntelligenceIndicators och visas på sidan Hotinformation . För indikatorer som publiceras från den här regeln definieras källan som Microsoft Defender Hotinformation Analytics.
Till exempel i tabellen ThreatIntelligenceIndicators :
På sidan Hotinformation :
Hämta mer kontext från Microsoft Defender Hotinformation
Tillsammans med aviseringar och incidenter med hög återgivning innehåller vissa MDTI-indikatorer en länk till en referensartikel i MDTI-communityportalen.
Mer information finns i MDTI-portalen och Vad är Microsoft Defender Hotinformation?
Relaterat innehåll
I den här artikeln har du lärt dig hur du ansluter hotinformation som skapats av Microsoft för att generera aviseringar och incidenter. Mer information om hotinformation i Microsoft Sentinel finns i följande artiklar:
- Arbeta med hotindikatorer i Microsoft Sentinel.
- Anslut Microsoft Sentinel till STIX/TAXII-hotinformationsflöden.
- Anslut plattformar för hotinformation till Microsoft Sentinel.
- Se vilka TIP-plattformar, TAXII-feeds och berikningar som enkelt kan integreras med Microsoft Sentinel.