Använda matchande analys för att identifiera hot

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Dra nytta av hotinformation som skapats av Microsoft för att generera aviseringar och incidenter med hög återgivning med Microsoft Defender Hotinformation Analytics-regeln. Den här inbyggda regeln i Microsoft Sentinel matchar indikatorer med CEF-loggar (Common Event Format), Windows DNS-händelser med domän- och IPv4-hotindikatorer, syslog-data med mera.

Viktigt!

Matchande analys finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Förutsättningar

För att kunna skapa aviseringar och incidenter med hög återgivning måste en eller flera av de dataanslutningsprogram som stöds installeras, men en PREMIUM MDTI-licens krävs inte. Installera lämpliga lösningar från innehållshubben för att ansluta dessa datakällor.

• Common Event Format (CEF)
• DNS (förhandsversion)
• Syslog
• Office-aktivitetsloggar
• Azure-aktivitetsloggar

Beroende på din datakälla kan du till exempel använda följande lösningar och dataanslutningar.

Lösning	Datakoppling
Common Event Format-lösning för Sentinel	Common Event Format(CEF)-anslutningsprogram för Microsoft Sentinel
Windows Server DNS	DNS-anslutningsprogram för Microsoft Sentinel
Syslog-lösning för Sentinel	Syslog-anslutningsprogram för Microsoft Sentinel
Microsoft 365-lösning för Sentinel	Office 365-anslutningsprogram för Microsoft Sentinel
Azure Activity-lösning för Sentinel	Azure Activity Connector för Microsoft Sentinel

Konfigurera matchande analysregel

Matchande analys konfigureras när du aktiverar Microsoft Defender Hotinformation Analytics-regeln.

1. Klicka på analysmenyn i avsnittet Konfiguration.

2. Välj menyfliken Regelmallar .

3. I sökfönstret skriver du hotinformation.

4. Välj regelmallen Microsoft Defender Hotinformation Analytics.

5. Klicka på Skapa regel. Regelinformationen är skrivskyddad och standardstatusen för regeln är aktiverad.

6. Klicka på Granska>skapa.

Datakällor och indikatorer

Microsoft Defender Hotinformation (MDTI) Analytics matchar dina loggar med domän-, IP- och URL-indikatorer på följande sätt:

• CEF-loggar som matas in i Log Analytics CommonSecurityLog-tabellen matchar URL- och domänindikatorer om de RequestURL fylls i i fältet och IPv4-indikatorer i fältet DestinationIP .

• Windows DNS-loggar där händelsen SubType == "LookupQuery" som matas in i tabellen DnsEvents matchar domänindikatorer i Name fältet och IPv4-indikatorer i fältet IPAddresses .

• Syslog-händelser som Facility == "cron" matas in i Syslog-tabellen matchar domän- och IPv4-indikatorer direkt från fältet SyslogMessage .

• Office-aktivitetsloggar som matas in i tabellen OfficeActivity matchar IPv4-indikatorer direkt från fältet ClientIP .

• Azure-aktivitetsloggar som matas in i AzureActivity-tabellen matchar IPv4-indikatorer direkt från fältet CallerIpAddress .

Sortera en incident som genereras av matchande analys

Om Microsofts analys hittar en matchning grupperas alla aviseringar som genereras i incidenter.

Använd följande steg för att sortera igenom de incidenter som genereras av Microsoft Defender Hotinformation Analytics-regeln:

1. På den Microsoft Sentinel-arbetsyta där du har aktiverat regeln Microsoft Defender Hotinformation Analytics väljer du Incidenter och söker efter Microsoft Defender Hotinformation Analytics.

   Alla incidenter som hittas visas i rutnätet.

2. Välj Visa fullständig information för att visa entiteter och annan information om incidenten, till exempel specifika aviseringar.

   Till exempel:

   

3. Observera allvarlighetsgraden som tilldelats aviseringarna och incidenten. Beroende på hur indikatorn matchas tilldelas en lämplig allvarlighetsgrad till en avisering från Informational till High. Om indikatorn till exempel matchas med brandväggsloggar som har tillåtit trafiken genereras en varning med hög allvarlighetsgrad. Om samma indikator matchades med brandväggsloggar som blockerade trafiken skulle aviseringen som genereras vara låg eller medelhög.

   Aviseringar grupperas sedan per observerbar bas av indikatorn. Till exempel grupperas alla aviseringar som genereras under en tidsperiod på 24 timmar som matchar domänen contoso.com i en enskild incident med en allvarlighetsgrad tilldelad baserat på den högsta allvarlighetsgraden för aviseringar.

4. Observera indikatorinformationen. När en matchning hittas publiceras indikatorn i tabellen Log Analytics ThreatIntelligenceIndicators och visas på sidan Hotinformation . För indikatorer som publiceras från den här regeln definieras källan som Microsoft Defender Hotinformation Analytics.

Till exempel i tabellen ThreatIntelligenceIndicators :

På sidan Hotinformation :

Hämta mer kontext från Microsoft Defender Hotinformation

Tillsammans med aviseringar och incidenter med hög återgivning innehåller vissa MDTI-indikatorer en länk till en referensartikel i MDTI-communityportalen.

Mer information finns i MDTI-portalen och Vad är Microsoft Defender Hotinformation?

Relaterat innehåll

I den här artikeln har du lärt dig hur du ansluter hotinformation som skapats av Microsoft för att generera aviseringar och incidenter. Mer information om hotinformation i Microsoft Sentinel finns i följande artiklar:

• Arbeta med hotindikatorer i Microsoft Sentinel.
• Anslut Microsoft Sentinel till STIX/TAXII-hotinformationsflöden.
• Anslut plattformar för hotinformation till Microsoft Sentinel.
• Se vilka TIP-plattformar, TAXII-feeds och berikningar som enkelt kan integreras med Microsoft Sentinel.