Använda hotindikatorer i analysregler

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Använd dina analysregler med dina hotindikatorer för att automatiskt generera aviseringar baserat på hotinformationen som du har integrerat.

Förutsättningar

• Hotindikatorer. Dessa kan vara från hotinformationsflöden, plattformar för hotinformation, massimport från en platt fil eller manuella indata.

• Datakällor. Händelser från dina dataanslutningar måste flöda till sentinel-arbetsytan.

• En analysregel i formatet "TI map..." som kan mappa hotindikatorerna som du har med de händelser som du har matat in.

Konfigurera en regel för att generera säkerhetsaviseringar

Nedan visas ett exempel på hur du aktiverar och konfigurerar en regel för att generera säkerhetsaviseringar med hjälp av hotindikatorerna som du har importerat till Microsoft Sentinel. I det här exemplet använder du regelmallen SOM kallas TI map IP-entitet till AzureActivity. Den här regeln matchar alla hotindikatorer av IP-adresstyp med alla dina Azure-aktivitetshändelser. När en matchning hittas genereras en avisering tillsammans med en motsvarande incident för undersökning av ditt säkerhetsåtgärdsteam. Den här specifika analysregeln kräver Azure Activity Data Connector (för att importera händelser på Azure-prenumerationsnivå) och en eller båda av dataanslutningarna för Hotinformation (för att importera hotindikatorer). Den här regeln utlöses också från importerade indikatorer eller manuellt skapade indikatorer.

1. Från Azure-portalen går du till Microsoft Sentinel-tjänsten.

2. Välj den arbetsyta som du importerade hotindikatorer till med hjälp av dataanslutningarna Hotinformation och Azure-aktivitetsdata med hjälp av Azure Activity-dataanslutningen.

3. Välj Analys i avsnittet Konfiguration på Microsoft Sentinel-menyn.

4. Välj fliken Regelmallar för att se listan över tillgängliga analysregelmallar.

5. Leta reda på regeln med titeln TI map IP entity to AzureActivity (IP-entitet för mappning till AzureActivity ) och se till att du har anslutit alla nödvändiga datakällor enligt nedan.

   

6. Välj TI-mappa IP-entiteten till AzureActivity-regeln och välj sedan Skapa regel för att öppna en regelkonfigurationsguide. Konfigurera inställningarna i guiden och välj sedan Nästa: Ange regellogik >.

   

7. Regellogikdelen i guiden har fyllts i i förväg med följande objekt:

   • Frågan som ska användas i regeln.

   • Entitetsmappningar, som talar om för Microsoft Sentinel hur entiteter som konton, IP-adresser och URL:er identifieras, så att incidenter och undersökningar förstår hur man arbetar med data i säkerhetsaviseringar som genereras av den här regeln.

   • Schemat för att köra den här regeln.

   • Antalet frågeresultat som behövs innan en säkerhetsavisering genereras.

   Standardinställningarna i mallen är:

   • Kör en gång i timmen.

   • Matcha eventuella hotindikatorer för IP-adresser från tabellen ThreatIntelligenceIndicator med alla IP-adresser som hittades under den senaste timmens händelser från AzureActivity-tabellen .

   • Generera en säkerhetsavisering om frågeresultatet är större än noll, vilket innebär att om några matchningar hittas.

   • Regeln är aktiverad.

   Du kan lämna standardinställningarna eller ändra dem så att de uppfyller dina krav, och du kan definiera incidentgenereringsinställningar på fliken Incidentinställningar . Mer information finns i Skapa anpassade analysregler för att identifiera hot. När du är klar väljer du fliken Automatiserat svar .

8. Konfigurera all automatisering som du vill utlösa när en säkerhetsavisering genereras från den här analysregeln. Automatisering i Microsoft Sentinel sker med hjälp av kombinationer av automatiseringsregler och spelböcker som drivs av Azure Logic Apps. Mer information finns i den här självstudien: Använda spelböcker med automatiseringsregler i Microsoft Sentinel. När du är klar väljer du knappen Nästa: Granska > för att fortsätta.

9. När du ser meddelandet om att regelverifieringen har godkänts väljer du knappen Skapa så är du klar.

Granska dina regler

Hitta dina aktiverade regler på fliken Aktiva regler i avsnittet Analys i Microsoft Sentinel. Redigera, aktivera, inaktivera, duplicera eller ta bort den aktiva regeln därifrån. Den nya regeln körs omedelbart vid aktivering och körs sedan enligt det definierade schemat.

Enligt standardinställningarna genererar alla resultat som hittas en säkerhetsavisering varje gång regeln körs enligt schemat. Säkerhetsaviseringar i Microsoft Sentinel kan visas i avsnittet Loggar i Microsoft Sentinel i tabellen SecurityAlert under Microsoft Sentinel-gruppen.

I Microsoft Sentinel genererar aviseringarna som genereras från analysregler också säkerhetsincidenter, som finns i Incidenter under Hothantering på Microsoft Sentinel-menyn. Incidenter är vad dina säkerhetsåtgärdsteam kommer att sortera och undersöka för att fastställa lämpliga svarsåtgärder. Du hittar detaljerad information i den här självstudien: Undersöka incidenter med Microsoft Sentinel.

Kommentar

Eftersom analysregler begränsar sökningar efter mer än 14 dagar uppdaterar Microsoft Sentinel indikatorer var 12:e dag för att se till att de är tillgängliga för matchande ändamål via analysreglerna.

Relaterat innehåll

I den här artikeln har du lärt dig hur du använder indikatorer för hotinformation för att identifiera hot. Mer information om hotinformation i Microsoft Sentinel finns i följande artiklar:

• Arbeta med hotindikatorer i Microsoft Sentinel.
• Anslut Microsoft Sentinel till STIX/TAXII-hotinformationsflöden.
• Anslut plattformar för hotinformation till Microsoft Sentinel.
• Se vilka TIP-plattformar, TAXII-feeds och berikningar som enkelt kan integreras med Microsoft Sentinel.