共用方式為

使用比對分析來偵測威脅

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

利用 Microsoft 所產生的威脅情報,利用 Microsoft Defender 威脅情報 Analytics 規則產生高逼真度警示和事件。 Microsoft Sentinel 中的這個內建規則會比對具有一般事件格式 (CEF) 記錄的指標、具有網域和 IPv4 威脅指標的 Windows DNS 事件、syslog 數據等等。

重要

比對分析目前處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。

必要條件

若要產生高逼真度警示和事件,必須安裝一或多個支持的數據連接器,但不需要進階 MDTI 授權。 從內容中樞安裝適當的解決方案,以連接這些數據源。

  • 常見事件格式 (CEF)
  • DNS (Preview)
  • Syslog
  • Office 活動記錄
  • Azure 活動記錄

顯示 Microsoft Defender 威脅情報 Analytics 規則數據源連線的螢幕快照。

例如,視您的數據源而定,您可能會使用下列解決方案和數據連接器。

解決方案 數據連接器
Sentinel 的常見事件格式解決方案 Microsoft Sentinel 的通用事件格式 (CEF) 連接器
Windows Server DNS 適用於 Microsoft Sentinel 的 DNS 連接器
Sentinel 的 Syslog 解決方案 Microsoft Sentinel 的 Syslog 連接器
Sentinel 的 Microsoft 365 解決方案 適用於 Microsoft Sentinel 的 Office 365 連接器
Sentinel 的 Azure 活動解決方案 適用於 Microsoft Sentinel 的 Azure 活動連接器

設定比對分析規則

當您啟用 Microsoft Defender 威脅情報 Analytics 規則時,會設定比對分析。

  1. 按兩下 [組態] 區段中的 [分析] 功能表。

  2. 選取 [ 規則範本] 選單索引標籤。

  3. 在搜尋視窗中,輸入 威脅情報

  4. 選取 Microsoft Defender 威脅情報 Analytics 規則範本。

  5. 按兩下 [ 建立規則]。 規則詳細數據是唯讀的,且已啟用規則的默認狀態。

  6. 按兩下 [檢閱>建立]。

顯示 [使用中規則] 索引標籤中已啟用 Microsoft Defender 威脅情報 分析規則的螢幕快照。

數據源和指標

Microsoft Defender 威脅情報 (MDTI) 分析會以下列方式,將您的記錄與網域、IP 和 URL 指標相符:

  • 如果填RequestURL入欄位中的 CEF 記錄,則擷取到 Log Analytics CommonSecurityLog 數據表中的 URL 和網域指標,以及欄位中的 DestinationIP IPv4 指標。

  • Windows DNS 記錄,其中事件 SubType == "LookupQuery" 內嵌到 DnsEvents 數據表符合欄位中填 Name 入的網域指標,以及字段中的 IPAddresses IPv4 指標。

  • 內嵌至 Syslog 數據表的 Syslog 事件Facility == "cron"會直接從SyslogMessage欄位比對網域和 IPv4 指標。

  • 內嵌到 OfficeActivity 數據表中的 Office 活動記錄會直接從ClientIP欄位比對 IPv4 指標。

  • 內嵌到 AzureActivity 數據表中的 Azure 活動記錄會直接從CallerIpAddress欄位比對 IPv4 指標。

將比對分析所產生的事件分級

如果 Microsoft 的分析發現相符專案,則產生的任何警示都會分組為事件。

使用下列步驟來分級 Microsoft Defender 威脅情報 Analytics 規則所產生的事件:

  1. 在已啟用 Microsoft Defender 威脅情報 Analytics 規則的 Microsoft Sentinel 工作區中,選取 [事件] 並搜尋 [Microsoft Defender 威脅情報 Analytics]。

    任何找到的事件會顯示在方格中。

  2. 選取 [ 檢視完整詳細數據 ] 以檢視實體和其他有關事件的詳細數據,例如特定警示。

    例如:

    比對分析與詳細數據窗格所產生的事件螢幕快照。

  3. 觀察指派給警示和事件的嚴重性。 根據指標的比對方式,將適當的嚴重性指派給來自 InformationalHigh的警示。 例如,如果指標與允許流量的防火牆記錄相符,就會產生高嚴重性警示。 如果相同的指標與封鎖流量的防火牆記錄相符,則產生的警示會是低或中。

    然後,警示會根據指標的每個可觀察依據分組。 例如,在符合 contoso.com 網域的24小時內產生的所有警示都會分組為單一事件,並根據最高警示嚴重性指派嚴重性。

  4. 觀察指標詳細數據。 找到相符專案時,指標會發佈至 Log Analytics ThreatIntelligenceIndicators 數據表,並顯示在 [ 威脅情報 ] 頁面中。 針對從此規則發佈的任何指標,來源會定義為 Microsoft Defender 威脅情報 Analytics

例如,在 ThreatIntelligenceIndicators 數據表中:

Log Analytics 中 ThreatIntelligenceIndicator 數據表的螢幕快照,其中顯示具有 Microsoft Threat Intelligence Analytics SourceSystem 的指標。

在 [ 威脅情報 ] 頁面中:

威脅情報概觀的螢幕快照,其中已選取指標,其中顯示來源為 Microsoft 威脅情報分析。

從 Microsoft Defender 威脅情報 取得更多內容

除了高逼真度警示和事件,某些 MDTI 指標也包含 MDTI 社群入口網站中參考文章的連結。

具有參考 MDTI 文章連結之事件的螢幕快照。

如需詳細資訊,請參閱 MDTI 入口網站什麼是 Microsoft Defender 威脅情報?

相關內容

在本文中,您已瞭解如何連接 Microsoft 所產生的威脅情報,以產生警示和事件。 如需 Microsoft Sentinel 中威脅情報的詳細資訊,請參閱下列文章: