使用比對分析來偵測威脅
利用 Microsoft 所產生的威脅情報,利用 Microsoft Defender 威脅情報 Analytics 規則產生高逼真度警示和事件。 Microsoft Sentinel 中的這個內建規則會比對具有一般事件格式 (CEF) 記錄的指標、具有網域和 IPv4 威脅指標的 Windows DNS 事件、syslog 數據等等。
重要
比對分析目前處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
必要條件
若要產生高逼真度警示和事件,必須安裝一或多個支持的數據連接器,但不需要進階 MDTI 授權。 從內容中樞安裝適當的解決方案,以連接這些數據源。
- 常見事件格式 (CEF)
- DNS (Preview)
- Syslog
- Office 活動記錄
- Azure 活動記錄
例如,視您的數據源而定,您可能會使用下列解決方案和數據連接器。
設定比對分析規則
當您啟用 Microsoft Defender 威脅情報 Analytics 規則時,會設定比對分析。
按兩下 [組態] 區段中的 [分析] 功能表。
選取 [ 規則範本] 選單索引標籤。
在搜尋視窗中,輸入 威脅情報。
選取 Microsoft Defender 威脅情報 Analytics 規則範本。
按兩下 [ 建立規則]。 規則詳細數據是唯讀的,且已啟用規則的默認狀態。
按兩下 [檢閱>建立]。
數據源和指標
Microsoft Defender 威脅情報 (MDTI) 分析會以下列方式,將您的記錄與網域、IP 和 URL 指標相符:
如果填
RequestURL
入欄位中的 CEF 記錄,則擷取到 Log Analytics CommonSecurityLog 數據表中的 URL 和網域指標,以及欄位中的DestinationIP
IPv4 指標。Windows DNS 記錄,其中事件
SubType == "LookupQuery"
內嵌到 DnsEvents 數據表符合欄位中填Name
入的網域指標,以及字段中的IPAddresses
IPv4 指標。內嵌至 Syslog 數據表的 Syslog 事件
Facility == "cron"
會直接從SyslogMessage
欄位比對網域和 IPv4 指標。內嵌到 OfficeActivity 數據表中的 Office 活動記錄會直接從
ClientIP
欄位比對 IPv4 指標。內嵌到 AzureActivity 數據表中的 Azure 活動記錄會直接從
CallerIpAddress
欄位比對 IPv4 指標。
將比對分析所產生的事件分級
如果 Microsoft 的分析發現相符專案,則產生的任何警示都會分組為事件。
使用下列步驟來分級 Microsoft Defender 威脅情報 Analytics 規則所產生的事件:
在已啟用 Microsoft Defender 威脅情報 Analytics 規則的 Microsoft Sentinel 工作區中,選取 [事件] 並搜尋 [Microsoft Defender 威脅情報 Analytics]。
任何找到的事件會顯示在方格中。
選取 [ 檢視完整詳細數據 ] 以檢視實體和其他有關事件的詳細數據,例如特定警示。
例如:
觀察指派給警示和事件的嚴重性。 根據指標的比對方式,將適當的嚴重性指派給來自
Informational
High
的警示。 例如,如果指標與允許流量的防火牆記錄相符,就會產生高嚴重性警示。 如果相同的指標與封鎖流量的防火牆記錄相符,則產生的警示會是低或中。然後,警示會根據指標的每個可觀察依據分組。 例如,在符合
contoso.com
網域的24小時內產生的所有警示都會分組為單一事件,並根據最高警示嚴重性指派嚴重性。觀察指標詳細數據。 找到相符專案時,指標會發佈至 Log Analytics ThreatIntelligenceIndicators 數據表,並顯示在 [ 威脅情報 ] 頁面中。 針對從此規則發佈的任何指標,來源會定義為 Microsoft Defender 威脅情報 Analytics。
例如,在 ThreatIntelligenceIndicators 數據表中:
在 [ 威脅情報 ] 頁面中:
從 Microsoft Defender 威脅情報 取得更多內容
除了高逼真度警示和事件,某些 MDTI 指標也包含 MDTI 社群入口網站中參考文章的連結。
如需詳細資訊,請參閱 MDTI 入口網站和什麼是 Microsoft Defender 威脅情報?
相關內容
在本文中,您已瞭解如何連接 Microsoft 所產生的威脅情報,以產生警示和事件。 如需 Microsoft Sentinel 中威脅情報的詳細資訊,請參閱下列文章:
- 在 Microsoft Sentinel 中使用威脅指標。
- 連線 Microsoft Sentinel 至STIX/TAXII 威脅情報摘要。
- 連線 Microsoft Sentinel 的威脅情報平臺。
- 查看哪些 TIP 平臺、TAXII 摘要和擴充 可以與 Microsoft Sentinel 整合。