建立及管理自訂的偵測規則

重要

改良的 Microsoft 365 安全性中心現在可用。 這個新的體驗會將適用於端點的 Defender、適用於 Office 365 的 Defender、Microsoft 365 Defender 和更多功能帶到 Microsoft 365 安全性中心。 了解新功能

適用於:

  • Microsoft 365 Defender
  • 適用於端點的 Microsoft Defender

自訂偵測規則是您可以使用 高級搜尋 查詢進行設計和調整的規則。 這些規則可讓您主動監視各種事件和系統狀態,包括可疑的侵犯活動和設定不當的端點。 您可以將它們設定為定期執行、產生警示,以及每當有符合事件時採取回應動作。

管理自訂偵測所需的權限

若要管理自訂偵測,您必須被指派以下其中一個角色:

  • 安全性管理員:具有此 Azure Active Directory 角色的使用者可以管理 Microsoft 365 Defender 入口網站和其他入口網站和服務中的安全性設定。

  • 安全操作員-具有此 Azure Active Directory 角色的使用者可以管理提醒,並具有安全性相關功能的全域唯讀許可權,包括 Microsoft 365 Defender 入口網站中的所有資訊。 只有在 Microsoft Defender for Endpoint 中關閉以角色為基礎的存取控制 (RBAC) 時,此角色才足以管理自訂偵測。 如果您已設定 RBAC,您也需要使用 Defender for Endpoint 的「 管理安全性設定 」許可權。

您也可以管理自訂的偵測,以套用至特定 Microsoft 365 Defender 方案中的資料(如果您有許可權進行)。 例如,如果您只具有 Office Microsoft 365 Defender 的管理許可權,例如,您可以使用資料表,而不是資料表來建立自訂偵測 Email Identity

若要管理必要的許可權, 全域管理員 可以:

  • 在 [角色 安全性管理員] 底下的 Microsoft 365 系統管理中心中指派 安全性管理員安全性操作員 角色 > ****。
  • 在 [ 設定 > 許可權 > 角色] 底下的 Microsoft Defender 資訊安全中心中檢查 Microsoft Defender for Endpoint 的 RBAC 設定。 選取對應的角色以指派「 管理安全性設定 」許可權。

注意

若要管理自訂偵測,當已開啟 RBAC 時, 安全性操作員 會需要 Microsoft Defender for Endpoint 中的「 管理安全性設定 」許可權。

建立自訂偵測規則

1. 準備查詢。

在 Microsoft 365 Defender 入口網站中,移至 [高級搜尋],然後選取現有的查詢或建立新的查詢。 使用新查詢時,執行查詢以識別錯誤並瞭解可能的結果。

重要

為避免服務返回太多警示,每個規則只限在執行時產生 100 個警示。 建立規則之前,請調整您的查詢以避免一般、日常活動的通知。

查詢結果中所需的欄

若要建立自訂偵測規則,查詢必須會返回下列欄:

  • Timestamp-用於設定所產生警示的時間戳記
  • ReportId-啟用原始記錄的查閱
  • 識別特定裝置、使用者或信箱的下列其中一個欄:
    • DeviceId
    • DeviceName
    • RemoteDeviceName
    • RecipientEmailAddress
    • SenderFromAddress (信封寄件者或退回路徑位址)
    • SenderMailFromAddress (電子郵件客戶程式顯示的寄件者位址)
    • RecipientObjectId
    • AccountObjectId
    • AccountSid
    • AccountUpn
    • InitiatingProcessAccountSid
    • InitiatingProcessAccountUpn
    • InitiatingProcessAccountObjectId

注意

當新的資料表新增至 高級搜尋架構時,將新增額外實體的支援。

簡單的查詢(如未使用 project or summarize 運算子自訂或匯總結果的查詢)通常會傳回這些通用欄。

有多種方式可確保更複雜的查詢傳回這些欄位。 例如,如果您想要依實體(如所示)匯總和計數 DeviceId ,仍然可以傳回 Timestamp ,並 ReportId 從每個唯一相關的最近事件中取得 DeviceId

重要

避免使用欄篩選自訂偵測 Timestamp 。 自訂偵測使用的資料會根據偵測頻率預先篩選。

下列範例查詢計算使用防病毒偵測 () 的唯一裝置數目 DeviceId ,並使用此計數來找出超過五個偵測的裝置。 若要傳回最新 Timestamp 和對應的 ReportId ,它會搭配 summarize 函數使用運算子 arg_max

DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

提示

為了獲得更佳的查詢效能,請設定符合規則之預定執行頻率的時間篩選。 由於頻率最低的執行是 每24小時,篩選過去一天會涵蓋所有新的資料。

2. 建立新的規則,並提供警示詳細資料。

使用查詢編輯器中的查詢,選取 [ 建立偵測規則 ],並指定下列警示詳細資料:

  • 偵測名稱—偵測規則的名稱
  • Frequency:執行查詢和採取動作的間隔。 請參閱以下其他指導方針
  • 警示標題—顯示規則所觸發警示的標題
  • 嚴重性(由規則所識別之元件或活動的潛在風險)
  • 類別:由規則識別的威脅元件或活動
  • MITRE ATT&CK 技術-由規則識別的一或多個攻擊技術(如 MITRE ATT 中所述) &CK framework。 此區段針對某些警示類別(包括惡意程式碼、勒索軟體、可疑活動和不需要的軟體)隱藏。
  • 描述-規則所識別之元件或活動的詳細資訊
  • 建議動作-回應者可能會採取以回應警示的其他動作

規則頻率

當您儲存新規則時,它會執行並檢查過去30天的資料是否相符。 然後,此規則會以固定間隔重新執行,並根據您選擇的頻率套用 lookback 持續時間:

  • 每24小時-每24小時執行一次,檢查過去30天的資料
  • 每12小時-每12小時執行一次,檢查過去24小時的資料
  • 每3小時,每3小時執行一次,檢查過去6個小時的資料
  • 每小時-每小時執行一次,檢查過去2個小時的資料

當您編輯規則時,它會在根據您設定的頻率排定的下一個執行時間中執行已套用變更。

提示

使查詢中的時間篩選與 lookback 持續時間相符。 Lookback 持續時間以外的結果會被忽略。

選取頻率,以符合您要監視偵測的程度。 請考慮您組織的容量,以回應提醒。

3. 選擇受影響的實體。

在查詢結果中識別欄,以找出主要受影響或受影響的實體。 例如,查詢可能會傳回寄件者 (SenderFromAddressSenderMailFromAddress) 和收件者 (RecipientEmailAddress) 位址。 識別哪些欄代表主要受影響的實體,可協助服務匯總相關警示、關聯事件,以及目標回應動作。

每個實體類型 (信箱、使用者或裝置) 只能選取一欄。 無法選取查詢未返回的欄標籤。

4. 指定動作。

您的自訂偵測規則可以自動對查詢所返回的裝置、檔案或使用者採取動作。

在裝置上採取動作

這些動作會適用於查詢結果 DeviceId 資料行中的裝置:

對檔案採取動作

選取此選項時,您可以選擇對查詢結果的、、或欄中的檔案套用 隔離檔 動作 SHA1 InitiatingProcessSHA1 SHA256 InitiatingProcessSHA256 。 此動作會從檔案的目前位置刪除檔案,並隔離一份複製檔案。

對使用者採取動作

選取時, 將對查詢結果 AccountObjectIdInitiatingProcessAccountObjectId、或 RecipientObjectId 資料行中的使用者採取 將使用者標記為遭入侵 動作。 此巨集指令會在 Azure Active Directory 中,觸發對應的身分識別保護原則,將使用者風險層級設定為「高」。

注意

目前不支援自訂偵測規則的 allow 或 block 動作 Microsoft 365 Defender。

5. 設定規則範圍。

設定範圍以指定規則涵蓋哪些裝置。 範圍會影響檢查裝置的規則,且不會影響僅檢查信箱和使用者帳戶或身分識別的規則。

設定範圍時,您可以選取:

  • 所有裝置
  • 特定裝置群組

只會查詢範圍中裝置的資料。 此外,只會在這些裝置上採取動作。

6. 檢查並開啟規則。

在檢閱規則後,選取 建立 以儲存。 自訂偵測規則會立即執行。 它會根據已設定的頻率再次執行,檢查符合的項目、產生警示,以及採取回應動作。

重要

應該定期檢查自訂偵測,以取得效能和效能。 若要確定您建立的偵測會觸發 true 警示,請遵循 管理現有自訂偵測規則中的步驟,以複查現有的自訂偵測。

您可以維持對自訂偵測的 broadness 或明確程度的控制權,因此自訂偵測產生的任何 false 警示,都可能表示需要修改規則的特定參數。

管理現有的自訂偵測規則

您可以查看現有的自訂偵測規則清單,檢查其先前的執行,並查看其觸發的警示。 您也可以根據需要執行規則,並加以修改。

提示

自訂偵測所引發的警示會透過警示和事件 APIs 獲得。 如需詳細資訊,請參閱支援的 Microsoft 365 Defender APIs

查看現有規則

若要查看所有現有的自訂偵測規則,請流覽至 搜尋 > 自訂 偵測。 此頁會列出具有下列執行資訊的所有規則:

  • 上次執行 時間-最後一次執行規則以檢查查詢符合專案並產生警示
  • 上次執行狀態—是否已成功執行規則
  • 下一次執行(下一個排程的執行)
  • 狀態—是否已開啟或關閉規則

檢視規則詳細資料、修改規則及執行規則

若要查看有關自訂偵測規則的完整資訊,請移至 搜尋 > 自訂 偵測,然後選取規則的名稱。 然後,您可以檢視規則的一般資訊,包括其執行狀態和範圍的資訊。 此頁面也提供觸發警示和動作的清單。

自訂偵測規則詳細資料頁面。
自訂偵測規則詳細資料

您也可以從此頁面對規則採取下列動作:

  • Run-立即執行規則。 這也會重設下一次執行間隔。
  • 編輯—修改規則但不變更查詢
  • 修改查詢-在高級搜尋中編輯查詢
  • 開啟 / 關閉—啟用規則或停止執行
  • 刪除—關閉規則並加以移除

查檢視和管理觸發的警示

在 [規則詳細資料] 畫面中 (搜尋 > 自訂 偵測 > [規則名稱]) 中,移至 [觸發警示],其中會列出與規則相符所產生的警示。 選取警示以檢視其詳細資訊,並採取下列動作:

  • 設定警示的狀態和分類(真或假警示)以管理警示
  • 將警示連結至事件
  • 執行在進階搜捕時觸發警示的查詢

審閱動作

在 [規則詳細資料] 畫面中 (搜尋 > 自訂 偵測 > [規則名稱]) 中,移至 [觸發的動作],其中會根據符合規則的相符,列出所採取的動作。

提示

若要快速查看資訊,並對表格中的專案採取動作,請使用表格左邊的選取範圍欄 [✓]。

注意

本文中的部分欄可能無法在 Microsoft Defender for Endpoint 中使用。 使用更多資料來源開啟 Microsoft 365 Defender以尋找威脅。 您可以遵循從 microsoft defender for endpoint 遷移 advanced 搜尋查詢中的步驟,將您的高級搜尋工作流程從 microsoft defender for endpoint 移至 Microsoft 365 Defender。

另請參閱