Skapa och hantera anpassade identifieringsreglerCreate and manage custom detections rules

Viktigt

Det förbättrade Microsoft 365 Säkerhetscenter är nu tillgänglig.The improved Microsoft 365 security center is now available. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office, 365 Microsoft 365 Defender och annat till Microsoft 365 säkerhetscenter.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Läs om de senaste.Learn what's new.

Gäller för:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender
  • Microsoft Defender för EndpointMicrosoft Defender for Endpoint

Anpassade identifieringsregler är regler som du kan utforma och modifiera med hjälp av avancerade sökfrågor.Custom detection rules are rules you can design and tweak using advanced hunting queries. Med dessa regler kan du proaktivt övervaka olika händelser och systemhändelser, inklusive misstänkt intrång och felkonfigurerade slutpunkter.These rules let you proactively monitor various events and system states, including suspected breach activity and misconfigured endpoints. Du kan ange att de ska köras med jämna mellanrum, generera aviseringar och vidta svarsåtgärder när det finns matchningar.You can set them to run at regular intervals, generating alerts and taking response actions whenever there are matches.

Behörighet som krävs för att hantera anpassade identifieringarRequired permissions for managing custom detections

För att kunna hantera anpassade identifieringar måste du tilldelas en av följande roller:To manage custom detections, you need to be assigned one of these roles:

  • Säkerhetsadministratör– Användare med den Azure Active Directory rollen kan hantera säkerhetsinställningar i Microsoft 365 säkerhetscenter och andra portaler och tjänster.Security administrator—Users with this Azure Active Directory role can manage security settings in Microsoft 365 security center and other portals and services.

  • Säkerhetsoperator– Användare med den Azure Active Directory rollen kan hantera aviseringar och ha global skrivskyddsåtkomst till säkerhetsrelaterade funktioner, inklusive all information Microsoft 365 säkerhetscenter.Security operator—Users with this Azure Active Directory role can manage alerts and have global read-only access to security-related features, including all information in Microsoft 365 security center. Den här rollen är tillräcklig för att hantera anpassade identifieringar endast om rollbaserad åtkomstkontroll (RBAC) är inaktiverad i Microsoft Defender för Slutpunkt.This role is sufficient for managing custom detections only if role-based access control (RBAC) is turned off in Microsoft Defender for Endpoint. Om RBAC har konfigurerats behöver du också behörigheten hantera säkerhetsinställningar för Defender för Endpoint.If you have RBAC configured, you also need the manage security settings permission for Defender for Endpoint.

En global administratör kan hantera nödvändiga behörigheter genom att:To manage required permissions, a global administrator can:

  • Tilldela rollen som säkerhetsadministratör eller säkerhetsoperator i Microsoft 365 under Rollsäkerhetsadministratör. > Assign the security administrator or security operator role in Microsoft 365 admin center under Roles > Security admin.
  • Kontrollera RBAC-inställningarna för Microsoft Defender för slutpunkt i Microsoft Defender Säkerhetscenter under Inställningar > Behörighetsroller > .Check RBAC settings for Microsoft Defender for Endpoint in Microsoft Defender Security Center under Settings > Permissions > Roles. Välj motsvarande roll för att tilldela behörigheten hantera säkerhetsinställningar.Select the corresponding role to assign the manage security settings permission.

Anteckning

Om du vill hantera anpassade identifieringar behöver säkerhetsoperatorerna behörigheten hantera säkerhetsinställningar i Microsoft Defender för Endpoint om RBAC är aktiverat. To manage custom detections, security operators will need the manage security settings permission in Microsoft Defender for Endpoint if RBAC is turned on.

Skapa en anpassad identifieringsregelCreate a custom detection rule

1. Förbereda frågan.1. Prepare the query.

I Microsoft 365 på Avancerad sökning och väljer en befintlig fråga eller skapar en ny fråga.In Microsoft 365 security center, go to Advanced hunting and select an existing query or create a new query. När du använder en ny fråga kör du frågan för att identifiera fel och förstå möjliga resultat.When using a new query, run the query to identify errors and understand possible results.

Viktigt

För att förhindra att tjänsten returnerar för många aviseringar är varje regel begränsad till att generera endast 100 aviseringar när den körs.To prevent the service from returning too many alerts, each rule is limited to generating only 100 alerts whenever it runs. Innan du skapar en regel bör du justera frågan för att undvika aviseringar om normal aktivitet.Before creating a rule, tweak your query to avoid alerting for normal, day-to-day activity.

Obligatoriska kolumner i frågeresultatetRequired columns in the query results

Om du vill skapa en anpassad identifieringsregel måste frågan returnera följande kolumner:To create a custom detection rule, the query must return the following columns:

  • Timestamp– används för att ange tidsstämpeln för genererade aviseringarTimestamp—used to set the timestamp for generated alerts
  • ReportId– aktiverar uppslag för de ursprungliga posternaReportId—enables lookups for the original records
  • En av följande kolumner som identifierar specifika enheter, användare eller postlådor:One of the following columns that identify specific devices, users, or mailboxes:
    • DeviceId
    • DeviceName
    • RemoteDeviceName
    • RecipientEmailAddress
    • SenderFromAddress (kuvertavsändare Return-Path adress)SenderFromAddress (envelope sender or Return-Path address)
    • SenderMailFromAddress (avsändaradressen visas i e-postklienten)SenderMailFromAddress (sender address displayed by email client)
    • RecipientObjectId
    • AccountObjectId
    • AccountSid
    • AccountUpn
    • InitiatingProcessAccountSid
    • InitiatingProcessAccountUpn
    • InitiatingProcessAccountObjectId

Anteckning

Stöd för ytterligare enheter läggs till när nya tabeller läggs till i det avancerade sökschemat.Support for additional entities will be added as new tables are added to the advanced hunting schema.

Enkla frågor, till exempel de som inte använder operatorn eller för att anpassa eller sammanställa resultat, returnerar project summarize vanligtvis dessa gemensamma kolumner.Simple queries, such as those that don't use the project or summarize operator to customize or aggregate results, typically return these common columns.

Det finns olika sätt att säkerställa att mer komplexa frågor returnerar dessa kolumner.There are various ways to ensure more complex queries return these columns. Om du till exempel föredrar att aggregera och räkna efter entitet under en kolumn som , kan du fortfarande returnera och genom att hämta den från den senaste händelsen som innefattar DeviceId Timestamp varje unik ReportId DeviceId .For example, if you prefer to aggregate and count by entity under a column such as DeviceId, you can still return Timestamp and ReportId by getting it from the most recent event involving each unique DeviceId.

I exempelfrågan nedan räknas antalet unika enheter () med antivirusidentifiering och antalet används för att endast hitta enheter med DeviceId fler än fem identifieringar.The sample query below counts the number of unique devices (DeviceId) with antivirus detections and uses this count to find only the devices with more than five detections. För att returnera det Timestamp senaste och motsvarande används ReportId summarize operatorn med arg_max funktionen.To return the latest Timestamp and the corresponding ReportId, it uses the summarize operator with the arg_max function.

DeviceEvents
| where Timestamp > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

Tips

För att få bättre frågeprestanda kan du ange ett tidsfilter som matchar den avsedda körningsfrekvensen för regeln.For better query performance, set a time filter that matches your intended run frequency for the rule. Eftersom det minsta antalet körningar är en gång per dygn omfattar filtreringen för den senaste dagen alla nya data.Since the least frequent run is every 24 hours, filtering for the past day will cover all new data.

2. Skapa en ny regel och ange aviseringsinformation.2. Create new rule and provide alert details.

Med frågan i frågeredigeraren väljer du Skapa identifieringsregel och anger följande aviseringsinformation:With the query in the query editor, select Create detection rule and specify the following alert details:

  • Identifieringsnamn– namnet på identifieringsregelnDetection name—name of the detection rule
  • Frekvens– intervall för att köra frågan och vidta åtgärder.Frequency—interval for running the query and taking action. Mer information finns nedanSee additional guidance below
  • Aviseringsrubrik– rubrik som visas med aviseringar som utlöses av regelnAlert title—title displayed with alerts triggered by the rule
  • Allvarlighetsgrad– potentiell risk för komponenten eller aktiviteten som identifieras av regelnSeverity—potential risk of the component or activity identified by the rule
  • Kategori– hotkomponent eller aktivitet som identifieras av regelnCategory—threat component or activity identified by the rule
  • MITRE ATT&CK-tekniker– en eller flera attacktekniker som identifieras av regeln enligt reglerna som beskrivs i MITRE ATT&CK-ramverket.MITRE ATT&CK techniques—one or more attack techniques identified by the rule as documented in the MITRE ATT&CK framework. Det här avsnittet är dolt för vissa aviseringskategorier, till exempel skadlig kod, utpressningstrojaner, misstänkt aktivitet och oönskad programvaraThis section is hidden for certain alert categories, including malware, ransomware, suspicious activity, and unwanted software
  • Beskrivning– mer information om komponenten eller aktiviteten som identifieras av regelnDescription—more information about the component or activity identified by the rule
  • Rekommenderade åtgärder– ytterligare åtgärder som svarare kan vidta för en aviseringRecommended actions—additional actions that responders might take in response to an alert

RegelfrekvensRule frequency

När du sparar en ny regel körs den och söker efter matchningar från de senaste 30 dagarnas data.When you save a new rule, it runs and checks for matches from the past 30 days of data. Regeln körs sedan igen med fasta intervall, och en motslagsvaraktighet tillämpas baserat på den frekvens du väljer:The rule then runs again at fixed intervals, applying a lookback duration based on the frequency you choose:

  • Körs en gång per dygn och kontrollerar data från de senaste 30 dagarnaEvery 24 hours—runs every 24 hours, checking data from the past 30 days
  • Körs var 12:e timme per dygn och kontrollerar data från de senaste 24 timmarnaEvery 12 hours—runs every 12 hours, checking data from the past 24 hours
  • Körs var tredje timme och kontrollerar data från de senaste 6 timmarnaEvery 3 hours—runs every 3 hours, checking data from the past 6 hours
  • Varje timme körs varje timme och du kontrollerar data från de senaste två timmarnaEvery hour—runs hourly, checking data from the past 2 hours

När du redigerar en regel körs den med tillämpade ändringar under nästa körning enligt den frekvens du har angett.When you edit a rule, it will run with the applied changes in the next run time scheduled according to the frequency you set.

Tips

Matcha tidsfiltren i frågan med tillbakaslagslängden.Match the time filters in your query with the lookback duration. Resultat utanför återställningsvaraktigheten ignoreras.Results outside of the lookback duration are ignored.

Välj den frekvens som matchar hur nära du vill övervaka identifieringar.Select the frequency that matches how closely you want to monitor detections. Ta hänsyn till organisationens kapacitet att svara på aviseringarna.Consider your organization's capacity to respond to the alerts.

3. Välj de berörda enheterna.3. Choose the impacted entities.

Identifiera kolumnerna i frågeresultatet där du förväntar dig att hitta den viktigaste påverkade eller påverkade enheten.Identify the columns in your query results where you expect to find the main affected or impacted entity. En fråga kan till exempel returnera avsändarens ( SenderFromAddress eller SenderMailFromAddress ) och mottagarens ( ) RecipientEmailAddress adresser.For example, a query might return sender (SenderFromAddress or SenderMailFromAddress) and recipient (RecipientEmailAddress) addresses. Genom att identifiera vilka av dessa kolumner som representerar den viktigaste påverkade enheten bidrar tjänsten till att slå samman relevanta aviseringar, korrelera incidenter och målsvarsåtgärder.Identifying which of these columns represent the main impacted entity helps the service aggregate relevant alerts, correlate incidents, and target response actions.

Du kan bara välja en kolumn för varje entitetstyp (postlåda, användare eller enhet).You can select only one column for each entity type (mailbox, user, or device). Kolumner som inte returneras av frågan kan inte markeras.Columns that are not returned by your query can't be selected.

4. Ange åtgärder.4. Specify actions.

Den anpassade identifieringsregeln kan automatiskt vidta åtgärder på enheter, filer eller användare som returneras av frågan.Your custom detection rule can automatically take actions on devices, files, or users that are returned by the query.

Åtgärder på enheterActions on devices

Dessa åtgärder tillämpas på enheter i DeviceId kolumnen med frågeresultat:These actions are applied to devices in the DeviceId column of the query results:

Åtgärder för filerActions on files

Med det här alternativet kan du välja att tillämpa filåtgärden Karantän för filer i SHA1 , , eller kolumnen i InitiatingProcessSHA1 SHA256 InitiatingProcessSHA256 frågeresultatet.When selected, you can choose to apply the Quarantine file action on files in the SHA1, InitiatingProcessSHA1, SHA256, or InitiatingProcessSHA256 column of the query results. Den här åtgärden tar bort filen från dess aktuella plats och placerar en kopia i karantän.This action deletes the file from its current location and places a copy in quarantine.

Åtgärder för användareActions on users

Med det här alternativet vidtas åtgärden Markera användare som komprometterad på användare i , eller i kolumnen för AccountObjectId InitiatingProcessAccountObjectId RecipientObjectId frågeresultatet.When selected, the Mark user as compromised action is taken on users in the AccountObjectId, InitiatingProcessAccountObjectId, or RecipientObjectId column of the query results. Med den här åtgärden anges användarrisknivån till "hög" i Azure Active Directory vilket utlöser motsvarande identitetsskyddsprinciper.This action sets the users risk level to "high" in Azure Active Directory, triggering corresponding identity protection policies.

Anteckning

Åtgärden tillåt eller blockera för anpassade identifieringsregler stöds för närvarande inte på Microsoft 365 Defender.The allow or block action for custom detection rules is currently not supported on Microsoft 365 Defender.

5. Ange regelns omfattning.5. Set the rule scope.

Ange omfattningen för att ange vilka enheter som omfattas av regeln.Set the scope to specify which devices are covered by the rule. Omfattningen påverkar regler som kontrollerar enheter och påverkar inte regler som bara kontrollerar postlådor och användarkonton eller identiteter.The scope influences rules that check devices and doesn't affect rules that check only mailboxes and user accounts or identities.

När du anger omfattningen kan du välja:When setting the scope, you can select:

  • Alla enheterAll devices
  • Specifika enhetsgrupperSpecific device groups

Endast data från enheter i omfattningen kommer att tillfrågas.Only data from devices in scope will be queried. Dessutom kommer åtgärder endast att vidtas på de enheterna.Also, actions will be taken only on those devices.

6. Granska och aktivera regeln.6. Review and turn on the rule.

När du har granskat regeln väljer du Skapa för att spara den.After reviewing the rule, select Create to save it. Regeln för anpassad identifiering körs direkt.The custom detection rule immediately runs. Den körs igen baserat på konfigurerad frekvens för att söka efter matchningar, generera aviseringar och vidta svarsåtgärder.It runs again based on configured frequency to check for matches, generate alerts, and take response actions.

Viktigt

Anpassade identifieringar bör regelbundet granskas av effektivitet och effektivitet.Custom detections should be regularly reviewed for efficiency and effectiveness. Om du vill vara säker på att du skapar identifieringar som utlöser sanna aviseringar tar det tid att granska dina befintliga anpassade identifieringar genom att följa stegen i Hantera befintliga anpassade identifieringsregler.To make sure you are creating detections that trigger true alerts, take time to review your existing custom detections by following the steps in Manage existing custom detection rules.

Du behåller kontrollen över hur omfattande eller specifika dina anpassade identifieringar är, så falska varningar som genereras av anpassade identifieringar kan ange ett behov av att ändra vissa parametrar för reglerna.You maintain control over the broadness or specificity of your custom detections so any false alerts generated by custom detections might indicate a need to modify certain parameters of the rules.

Hantera befintliga anpassade identifieringsreglerManage existing custom detection rules

Du kan visa listan över befintliga anpassade identifieringsregler, kontrollera deras tidigare körningar och granska de aviseringar som de har utlöst.You can view the list of existing custom detection rules, check their previous runs, and review the alerts they have triggered. Du kan även köra en regel på begäran och ändra den.You can also run a rule on demand and modify it.

Tips

Aviseringar som upphöjs med anpassade identifieringar är tillgängliga via API:er för aviseringar och incidenter.Alerts raised by custom detections are available over alerts and incident APIs. Mer information finns i Defender-API:Microsoft 365 som stöds.For more information, see Supported Microsoft 365 Defender APIs.

Visa befintliga reglerView existing rules

Om du vill visa alla befintliga anpassade identifieringsregler går du till Söka efter > anpassade identifieringar.To view all existing custom detection rules, navigate to Hunting > Custom detections. På sidan visas alla regler med följande körningsinformation:The page lists all the rules with the following run information:

  • Senaste körningen– när en regel senast körts för att söka efter frågematchningar och generera aviseringarLast run—when a rule was last run to check for query matches and generate alerts
  • Status för senaste körningen– om en regel kördes som den skaLast run status—whether a rule ran successfully
  • Nästa körning– nästa schemalagda körningNext run—the next scheduled run
  • Status– om en regel har aktiverats eller inaktiveratsStatus—whether a rule has been turned on or off

Visa regeldetaljer, ändra regel och köra regelView rule details, modify rule, and run rule

Om du vill visa omfattande information om en anpassad identifieringsregel går du till > Anpassade identifieringar av visning och väljer namnet på regeln.To view comprehensive information about a custom detection rule, go to Hunting > Custom detections and then select the name of rule. Du kan sedan visa allmän information om regeln, inklusive information om dess körningsstatus och omfattning.You can then view general information about the rule, including information its run status and scope. Sidan innehåller också en lista över utlösande aviseringar och åtgärder.The page also provides the list of triggered alerts and actions.

Sidan Information om anpassade identifieringsregelCustom detection rule details page
Information om anpassade identifieringsregelCustom detection rule details

Du kan också utföra följande åtgärder på regeln från den här sidan:You can also take the following actions on the rule from this page:

  • Kör– kör regeln direkt.Run—run the rule immediately. Då återställs också intervallet för nästa körning.This also resets the interval for the next run.
  • Redigera– ändra regeln utan att ändra fråganEdit—modify the rule without changing the query
  • Ändra fråga– redigera frågan under avancerad sökningModify query—edit the query in advanced hunting
  • Aktivera / Inaktivera – aktivera regeln eller hindra den från att körasTurn on / Turn off—enable the rule or stop it from running
  • Ta bort – inaktivera regeln och ta bort denDelete—turn off the rule and remove it

Visa och hantera utlösande aviseringarView and manage triggered alerts

På skärmen med regeldetaljer (Anpassad identifiering av uppgifter > > [Regelnamn]) går du till Utlösade aviseringar, som visar de aviseringar som genererats av matchningar mot regeln.In the rule details screen (Hunting > Custom detections > [Rule name]), go to Triggered alerts, which lists the alerts generated by matches to the rule. Välj en avisering om du vill visa detaljerad information om den och utföra följande åtgärder:Select an alert to view detailed information about it and take the following actions:

  • Hantera aviseringen genom att ange dess status och klassificering (sant eller falskt meddelande)Manage the alert by setting its status and classification (true or false alert)
  • Länka aviseringen till en händelseLink the alert to an incident
  • Kör frågan som utlöste varningen vid avancerad sökningRun the query that triggered the alert on advanced hunting

Granska åtgärderReview actions

På skärmen med regeldetaljer ( Anpassade identifieringar av uppgifter > > [Regelnamn] ) går du till Utlösade åtgärder, där de åtgärder som vidtas baserat på matchningar mot regeln visas.In the rule details screen (Hunting > Custom detections > [Rule name]), go to Triggered actions, which lists the actions taken based on matches to the rule.

Tips

Om du snabbt vill visa information och vidta åtgärder för ett objekt i en tabell använder du urvalskolumnen [✓] till vänster om tabellen.To quickly view information and take action on an item in a table, use the selection column [✓] at the left of the table.

Anteckning

Vissa kolumner i den här artikeln kanske inte är tillgängliga i Microsoft Defender för Endpoint.Some columns in this article might not be available in Microsoft Defender for Endpoint. Aktivera Microsoft 365 Defender för att leta efter hot med hjälp av fler datakällor.Turn on Microsoft 365 Defender to hunt for threats using more data sources. Du kan flytta dina avancerade arbetsflöden för sökning från Microsoft Defender för Slutpunkt till Microsoft 365 Defender genom att följa stegen i Migrera avancerade sökfrågor från Microsoft Defender för Slutpunkt.You can move your advanced hunting workflows from Microsoft Defender for Endpoint to Microsoft 365 Defender by following the steps in Migrate advanced hunting queries from Microsoft Defender for Endpoint.

Se ävenSee also