Skapa och hantera anpassade identifieringsregler

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender
  • Microsoft Defender för Endpoint

Anpassade identifieringsregler är regler som du kan utforma och modifiera med hjälp av avancerade sökfrågor. Med dessa regler kan du proaktivt övervaka olika händelser och systemhändelser, inklusive misstänkt intrång och felkonfigurerade slutpunkter. Du kan ange att de ska köras med jämna mellanrum, generera aviseringar och vidta svarsåtgärder när det finns matchningar.

Behörighet som krävs för att hantera anpassade identifieringar

För att kunna hantera anpassade identifieringar måste du tilldelas en av följande roller:

  • Säkerhetsadministratör– Användare med den Azure Active Directory rollen kan hantera säkerhetsinställningar i Microsoft 365 Defender och andra portaler och tjänster.

  • Säkerhetsoperator– Användare med den här Azure Active Directory-rollen kan hantera aviseringar och ha global skrivskyddsåtkomst till säkerhetsrelaterade funktioner, inklusive all information i Microsoft 365 Defender portalen. Den här rollen är tillräcklig för att hantera anpassade identifieringar endast om rollbaserad åtkomstkontroll (RBAC) är inaktiverad i Microsoft Defender för Slutpunkt. Om RBAC har konfigurerats behöver du också behörigheten hantera säkerhetsinställningar för Defender för Endpoint.

Du kan också hantera anpassade identifieringar som gäller för data från specifika Microsoft 365 Defender lösningar om du har behörighet för dem. Om du bara har behörighet att hantera Microsoft 365 Defender för Office kan du till exempel skapa anpassade identifieringar med hjälp av Email tabeller, men inte Identity tabeller.

En global administratör kan hantera nödvändiga behörigheter genom att:

  • Tilldela rollen som säkerhetsadministratör eller säkerhetsoperator i Administrationscenter för Microsoft 365 under Roller – > säkerhetsadministratör.
  • Kontrollera RBAC-inställningarna för Microsoft Defender för slutpunkt i Microsoft 365 Defender under Inställningar > Behörighetsroller > . Välj motsvarande roll för att tilldela behörigheten hantera säkerhetsinställningar.

Anteckning

Om du vill hantera anpassade identifieringar behöver säkerhetsoperatorerna behörigheten hantera säkerhetsinställningar i Microsoft Defender för Endpoint om RBAC är aktiverat.

Skapa en anpassad identifieringsregel

1. Förbereda frågan.

I Microsoft 365 Defender går du till Avancerad sökning och väljer en befintlig fråga eller skapar en ny fråga. När du använder en ny fråga kör du frågan för att identifiera fel och förstå möjliga resultat.

Viktigt

För att förhindra att tjänsten returnerar för många aviseringar är varje regel begränsad till att generera endast 100 aviseringar när den körs. Innan du skapar en regel bör du justera frågan så att du inte får aviseringar om normal aktivitet.

Obligatoriska kolumner i frågeresultatet

Om du vill skapa en anpassad identifieringsregel måste frågan returnera följande kolumner:

  • Timestamp– används för att ange tidsstämpeln för genererade aviseringar
  • ReportId– aktiverar uppslag för de ursprungliga posterna
  • En av följande kolumner som identifierar specifika enheter, användare eller postlådor:
    • DeviceId
    • DeviceName
    • RemoteDeviceName
    • RecipientEmailAddress
    • SenderFromAddress (kuvertavsändare Return-Path adress)
    • SenderMailFromAddress (avsändaradressen visas i e-postklienten)
    • RecipientObjectId
    • AccountObjectId
    • AccountSid
    • AccountUpn
    • InitiatingProcessAccountSid
    • InitiatingProcessAccountUpn
    • InitiatingProcessAccountObjectId

Anteckning

Stöd för ytterligare enheter läggs till när nya tabeller läggs till i det avancerade sökschemat.

Enkla frågor, till exempel de som inte använder operatorn eller för att anpassa eller sammanställa resultat, returnerar project summarize vanligtvis dessa gemensamma kolumner.

Det finns olika sätt att säkerställa att mer komplexa frågor returnerar dessa kolumner. Om du till exempel föredrar att aggregera och räkna efter entitet under en kolumn som , kan du fortfarande returnera och genom att hämta den från den senaste händelsen som innefattar DeviceId Timestamp varje unik ReportId DeviceId .

Viktigt

Undvik att filtrera anpassade identifieringar med hjälp av Timestamp kolumnen. De data som används för anpassade identifieringar är förfiltrelade baserat på identifieringsfrekvensen.

I exempelfrågan nedan räknas antalet unika enheter () med antivirusidentifiering och antalet används för att endast hitta enheter med DeviceId fler än fem identifieringar. För att returnera det Timestamp senaste och motsvarande används ReportId summarize operatorn med arg_max funktionen.

DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

Tips

För att få bättre frågeprestanda kan du ange ett tidsfilter som matchar den avsedda körningsfrekvensen för regeln. Eftersom det minsta antalet körningar är en gång per dygn omfattar filtreringen för den senaste dagen alla nya data.

2. Skapa en ny regel och ange aviseringsinformation.

Med frågan i frågeredigeraren väljer du Skapa identifieringsregel och anger följande aviseringsinformation:

  • Identifieringsnamn– namnet på identifieringsregeln
  • Frekvens – intervall för att köra frågan och vidta åtgärder. Mer information finns nedan
  • Aviseringsrubrik– rubrik som visas med aviseringar som utlöses av regeln
  • Allvarlighetsgrad– potentiell risk för komponenten eller aktiviteten som identifieras av regeln
  • Kategori– hotkomponent eller aktivitet som identifieras av regeln
  • MITRE ATT&CK-tekniker– en eller flera attacktekniker som identifieras av regeln enligt finns i MITRE ATT&CK-ramverket. Det här avsnittet är dolt för vissa aviseringskategorier, till exempel skadlig kod, utpressningstrojaner, misstänkt aktivitet och oönskad programvara
  • Beskrivning– mer information om komponenten eller aktiviteten som identifieras av regeln
  • Rekommenderade åtgärder– ytterligare åtgärder som svarare kan vidta för en avisering

Regelfrekvens

När du sparar en ny regel körs den och söker efter matchningar från de senaste 30 dagarnas data. Regeln körs sedan igen med fasta intervall, och en motslagsvaraktighet tillämpas baserat på den frekvens du väljer:

  • Körs en gång per dygn och kontrollerar data från de senaste 30 dagarna
  • Körs var 12:e timme per dygn och kontrollerar data från de senaste 24 timmarna
  • Körs var tredje timme och kontrollerar data från de senaste 6 timmarna
  • Varje timme körs varje timme och du kontrollerar data från de senaste två timmarna

När du redigerar en regel körs den med tillämpade ändringar under nästa körning enligt den frekvens du har angett.

Tips

Matcha tidsfiltren i frågan med tillbakaslagslängden. Resultat utanför återställningsvaraktigheten ignoreras.

Välj den frekvens som matchar hur nära du vill övervaka identifieringar. Ta hänsyn till organisationens kapacitet att svara på aviseringarna.

3. Välj de berörda enheterna.

Identifiera kolumnerna i frågeresultatet där du förväntar dig att hitta den viktigaste påverkade eller påverkade enheten. En fråga kan till exempel returnera avsändarens ( SenderFromAddress eller SenderMailFromAddress ) och mottagarens ( ) RecipientEmailAddress adresser. Genom att identifiera vilka av dessa kolumner som representerar den viktigaste påverkade enheten bidrar tjänsten till att slå samman relevanta aviseringar, korrelera incidenter och målsvarsåtgärder.

Du kan bara välja en kolumn för varje entitetstyp (postlåda, användare eller enhet). Kolumner som inte returneras av frågan kan inte markeras.

4. Ange åtgärder.

Den anpassade identifieringsregeln kan automatiskt vidta åtgärder på enheter, filer eller användare som returneras av frågan.

Åtgärder på enheter

Dessa åtgärder tillämpas på enheter i DeviceId kolumnen med frågeresultat:

Åtgärder för filer

Med det här alternativet kan du välja att tillämpa filåtgärden Karantän för filer i , SHA1 , eller kolumnen i InitiatingProcessSHA1 SHA256 InitiatingProcessSHA256 frågeresultaten. Den här åtgärden tar bort filen från dess aktuella plats och placerar en kopia i karantän.

Åtgärder för användare

Med det här alternativet vidtas åtgärden Markera användare som komprometterad på användare i , eller kolumnen i AccountObjectId InitiatingProcessAccountObjectId RecipientObjectId frågeresultatet. Med den här åtgärden anges användarrisknivån till "hög" i Azure Active Directory vilket utlöser motsvarande identitetsskyddsprinciper.

Anteckning

Åtgärden tillåt eller blockera för anpassade identifieringsregler stöds för närvarande inte på alla Microsoft 365 Defender.

5. Ange regelns omfattning.

Ange omfattningen för att ange vilka enheter som omfattas av regeln. Omfattningen påverkar regler som kontrollerar enheter och påverkar inte regler som bara kontrollerar postlådor och användarkonton eller identiteter.

När du anger omfattningen kan du välja:

  • Alla enheter
  • Specifika enhetsgrupper

Endast data från enheter i omfattningen kommer att tillfrågas. Dessutom kommer åtgärder endast att vidtas på de enheterna.

6. Granska och aktivera regeln.

När du har granskat regeln väljer du Skapa för att spara den. Regeln för anpassad identifiering körs direkt. Den körs igen baserat på konfigurerad frekvens för att söka efter matchningar, generera aviseringar och vidta svarsåtgärder.

Viktigt

Anpassade identifieringar bör regelbundet granskas av effektivitet och effektivitet. Om du vill vara säker på att du skapar identifieringar som utlöser sanna aviseringar tar det tid att granska dina befintliga anpassade identifieringar genom att följa stegen i Hantera befintliga anpassade identifieringsregler.

Du behåller kontrollen över hur omfattande eller specifika dina anpassade identifieringar är, så falska varningar som genereras av anpassade identifieringar kan ange ett behov av att ändra vissa parametrar för reglerna.

Hantera befintliga anpassade identifieringsregler

Du kan visa listan över befintliga anpassade identifieringsregler, kontrollera deras tidigare körningar och granska de aviseringar som de har utlöst. Du kan även köra en regel på begäran och ändra den.

Tips

Aviseringar som upphöjs med anpassade identifieringar är tillgängliga via API:er för aviseringar och incidenter. Mer information finns i API:er som Microsoft 365 Defender.

Visa befintliga regler

Om du vill visa alla befintliga anpassade identifieringsregler går du till Regler för anpassad identifiering > av eftersökning. På sidan visas alla regler med följande körningsinformation:

  • Senaste körningen– när en regel senast körts för att söka efter frågematchningar och generera aviseringar
  • Status för senaste körningen– om en regel kördes som den ska
  • Nästa körning– nästa schemalagda körning
  • Status– om en regel har aktiverats eller inaktiverats

Visa regeldetaljer, ändra regel och köra regel

Om du vill visa omfattande information om en anpassad identifieringsregel går du till Anpassade identifieringsregler för söka och väljer namnet på > regeln. Du kan sedan visa allmän information om regeln, inklusive information om dess körningsstatus och omfattning. Sidan innehåller också en lista över utlösande aviseringar och åtgärder.

Sidan Information om anpassade identifieringsregel.
Information om anpassade identifieringsregel

Du kan också utföra följande åtgärder på regeln från den här sidan:

  • Kör– kör regeln direkt. Då återställs också intervallet för nästa körning.
  • Redigera– ändra regeln utan att ändra frågan
  • Ändra fråga– redigera frågan under avancerad sökning
  • Aktivera / Inaktivera – aktivera regeln eller hindra den från att köras
  • Ta bort – inaktivera regeln och ta bort den

Visa och hantera utlösande aviseringar

Gå till Utlösade aviseringar , som visar de aviseringar som genererats av matchningar mot regeln, på skärmen med regeldetaljer ( Anpassade identifieringar efter uppgifter > > [Regelnamn]). Välj en avisering om du vill visa detaljerad information om den och utföra följande åtgärder:

  • Hantera aviseringen genom att ange dess status och klassificering (sant eller falskt meddelande)
  • Länka aviseringen till en händelse
  • Kör frågan som utlöste varningen vid avancerad sökning

Granska åtgärder

På skärmen med regeldetaljer ( Anpassade identifieringar av uppgifter > > [Regelnamn] ) går du till Utlösade åtgärder, där de åtgärder som vidtas baserat på matchningar mot regeln visas.

Tips

Om du snabbt vill visa information och vidta åtgärder för ett objekt i en tabell använder du urvalskolumnen [✓] till vänster om tabellen.

Anteckning

Vissa kolumner i den här artikeln kanske inte är tillgängliga i Microsoft Defender för Endpoint. Aktivera Microsoft 365 Defender för att leta efter hot med hjälp av fler datakällor. Du kan flytta dina avancerade arbetsflöden för sökning från Microsoft Defender för Endpoint till Microsoft 365 Defender genom att följa stegen i Migrera avancerade sökfrågor från Microsoft Defender för Slutpunkt.

Se även