Vytvoření pravidla naplánované analýzy od začátku

Nastavili jste konektory a další prostředky pro shromažďování dat o aktivitách napříč vašimi digitálními aktivy. Teď potřebujete projít všechna tato data, abyste zjistili vzory aktivit a zjistili aktivity, které těmto vzorům neodpovídají a které by mohly představovat bezpečnostní hrozbu.

Microsoft Sentinel a celá řada řešení poskytovaných v centru Obsah nabízejí šablony pro nejčastěji používané typy analytických pravidel a důrazně doporučujeme, abyste tyto šablony používali a přizpůsobili je tak, aby vyhovovaly vašim konkrétním scénářům. Je ale možné, že budete potřebovat něco úplně jiného, takže v takovém případě můžete vytvořit pravidlo úplně od začátku pomocí průvodce analytickými pravidly.

Poznámka

Pokud si prohlížíte podrobnosti doporučení optimalizace SOC na stránce optimalizace SOC a použijete odkaz Další informace na této stránce, možná hledáte seznam navrhovaných analytických pravidel. V takovém případě se posuňte do dolní části karty podrobností o optimalizaci a vyberte Přejít do centra Obsah a vyhledejte a nainstalujte doporučená pravidla specifická pro toto doporučení. Další informace najdete v tématu Tok využití optimalizace SOC.

Tato část popisuje proces vytvoření analytického pravidla od začátku, včetně použití průvodce analytickým pravidlem. Obsahuje snímky obrazovky a navigační pokyny pro přístup k průvodci na Azure Portal i na portálu Defender.

Důležité

Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.

Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.

Požadavky

  • Musíte mít roli přispěvatele Microsoft Sentinel nebo jakoukoli jinou roli nebo sadu oprávnění, která zahrnují oprávnění k zápisu do pracovního prostoru služby Log Analytics a jeho skupiny prostředků.

  • Měli byste mít alespoň základní znalosti o datových vědách a analýze a dotazovací jazyk Kusto.

  • Měli byste se seznámit s průvodcem analytickými pravidly a všemi dostupnými možnostmi konfigurace. Další informace najdete v tématu Pravidla naplánované analýzy v Microsoft Sentinel.

Návrh a sestavení dotazu

Než začnete dělat něco jiného, měli byste navrhnout a sestavit dotaz v dotazovací jazyk Kusto (KQL), který vaše pravidlo použije k dotazování jedné nebo více tabulek v pracovním prostoru služby Log Analytics.

  1. Určete zdroj dat nebo sadu zdrojů dat, které chcete vyhledat, abyste zjistili neobvyklou nebo podezřelou aktivitu. Vyhledejte název tabulky Log Analytics, do které se ingestují data z těchto zdrojů. Název tabulky najdete na stránce datového konektoru pro daný zdroj. Jako základ dotazu použijte tento název tabulky (nebo na něm založenou funkci).

  2. Rozhodněte, jaký druh analýzy má tento dotaz v tabulce provádět. Toto rozhodnutí určuje, které příkazy a funkce byste měli v dotazu použít.

  3. Rozhodněte se, které datové prvky (pole, sloupce) chcete z výsledků dotazu použít. Toto rozhodnutí určuje, jak strukturujete výstup dotazu.

    Důležité

    Ujistěte se, že dotaz vrací TimeGenerated sloupec, protože pravidla plánované analýzy ho používají jako referenci pro období zpětného vyhledávání. Protože TimeGenerated slouží jako odkaz zpětného vyhledávání, pravidlo vyhodnocuje pouze záznamy, ve kterých TimeGenerated hodnota spadá do zadaného okna zpětného vyhledávání.

  4. Sestavte a otestujte dotazy na obrazovce Protokoly . Až budete spokojení, uložte dotaz pro použití v pravidle.

Další informace najdete tady:

Vytvoření analytického pravidla

Následující postup vysvětluje, jak vytvořit plánované analytické pravidlo pomocí portálu Azure nebo portálu Defender.

Začínáme vytvářet pravidlo pro plánovaný dotaz

Začněte tím, že přejdete na stránku Analýza v Microsoft Sentinel a vytvoříte pravidlo naplánované analýzy.

  1. V aplikaci Microsoft Sentinel na portálu Defender vyberte Microsoft Sentinel>Konfigurace>Analýza. Pro Microsoft Sentinel v Azure Portal vyberte v části Konfiguracemožnost Analýza.

  2. Vyberte + Vytvořit a vyberte Naplánované pravidlo dotazu.

Pojmenujte pravidlo a definujte obecné informace.

V Azure Portal se fáze zobrazují jako karty. Na portálu Defender se zobrazují jako milníky na časové ose.

  1. Zadejte následující informace pro toto pravidlo.

    :----- Popis
    Název Jedinečný název pravidla. Toto pole podporuje pouze prostý text. Všechny adresy URL zahrnuté v názvu by měly mít formát kódování procent , aby se správně zobrazily.
    Popis Volný textový popis pravidla.
    Pokud je Microsoft Sentinel onboardovaný na portálu Defender, toto pole podporuje jenom prostý text. Všechny adresy URL zahrnuté v popisu by měly odpovídat formátu kódování procent, aby se správně zobrazily.
    Závažnost Porovná dopad aktivity aktivující pravidlo na cílové prostředí, pokud je pravidlo skutečně pozitivní.

    Informační: Žádný vliv na váš systém, ale informace můžou značit budoucí kroky plánované aktérem hrozby.
    Nízký: Okamžitý dopad je minimální. Aby mohl aktér hrozeb dosáhnout dopadu na prostředí, bude pravděpodobně muset provést několik kroků.
    Střední: Aktér hrozby může mít s touto aktivitou nějaký dopad na prostředí, ale rozsah by byl omezený nebo vyžadoval další aktivitu.
    Vysoká: Identifikovaná aktivita poskytuje aktérům hrozeb široký přístup k provádění akcí v prostředí nebo je aktivována dopadem na prostředí.
    MITRE ATT&CK Vyberte aktivity hrozeb, které se vztahují na vaše pravidlo. Vyberte si z taktik a technik MITRE ATT&CK uvedených v rozevíracím seznamu. Můžete vybrat více možností.

    Další informace o maximalizaci pokrytí prostředí hrozeb MITRE ATT&CK najdete v tématu Vysvětlení pokrytí zabezpečení pomocí rozhraní MITRE ATT&CK®.
    Stav Povoleno: Pravidlo se spustí okamžitě po vytvoření nebo k určitému datu a času, které zvolíte při jeho plánování (aktuálně ve verzi Preview).
    Zakázáno: Pravidlo se vytvoří, ale nespustí se. Můžete ho později zapnout na kartě Aktivní pravidla, když ho budete potřebovat.
  2. Vyberte Další: Nastavit logiku pravidla.


Definování logiky pravidla

Nastavte logiku pravidla, včetně přidání dotazu Kusto, který jste vytvořili.

  1. Zadejte dotaz pravidla a konfiguraci rozšíření upozornění.

    Nastavení Popis
    Dotaz pravidla Do okna dotazu Pravidla vložte dotaz, který jste navrhli, vytvořili a otestovali. Každá změna, kterou v tomto okně uděláte, se okamžitě ověří, takže pokud dojde k nějakým chybám, uvidíte přímo pod oknem indikaci.
    Mapování entit Rozbalte mapování entit a definujte až 10 typů entit rozpoznaných Microsoft Sentinel do polí ve výsledcích dotazu. Toto mapování integruje identifikované entity do pole Entity ve schématu výstrah zabezpečení Microsoft Sentinel.

    Úplné pokyny k mapování entit najdete v tématu Mapování datových polí na entity v Microsoft Sentinel.
    Vlastní podrobnosti o zařízení Surface v upozorněních Rozbalte vlastní podrobnosti a definujte všechna pole ve výsledcích dotazu, která chcete zobrazit v upozorněních jako vlastní podrobnosti. Tato pole se také zobrazují ve všech vzniklých incidentech.

    Úplné pokyny, jak zobrazit vlastní podrobnosti, najdete v tématu Zobrazení vlastních podrobností událostí v upozorněních v Microsoft Sentinel.
    Přizpůsobení podrobností o upozorněních Rozbalte podrobnosti o upozornění a přizpůsobte jinak standardní vlastnosti výstrahy podle obsahu různých polí v jednotlivých výstrahách. Můžete například přizpůsobit název nebo popis upozornění tak, aby obsahoval uživatelské jméno nebo IP adresu, která je součástí výstrahy.

    Úplné pokyny k přizpůsobení podrobností výstrah najdete v tématu Přizpůsobení podrobností upozornění v Microsoft Sentinel.
  2. Naplánujte a vytyčíte rozsah dotazu. V části Plánování dotazů nastavte následující parametry:

    Nastavení Popis / Možnosti
    Spustit dotaz každý Řídí interval dotazu: jak často se dotaz spouští.
    Povolený rozsah: 5 minut14 dní.
    Vyhledat data z posledního Určuje období zpětného vyhledávání: časové období pokryté dotazem.
    Povolený rozsah: 5 minut14 dní.
    Musí být delší než nebo rovna intervalu dotazu.
    Spustit Automaticky: Pravidlo se spustí poprvé hned po vytvoření a potom v intervalu dotazu.
    V určitém čase (Preview): Nastavte datum a čas prvního spuštění pravidla, po kterém se spustí v intervalu dotazu.
    Povolený rozsah: 10 minut30 dní po době vytvoření (nebo povolení) pravidla.
  3. Nastavte prahovou hodnotu pro vytváření upozornění.

    V části Prahová hodnota upozornění můžete definovat úroveň citlivosti pravidla. Například nastavte minimální prahovou hodnotu 100:

    Nastavení Popis
    Vygenerovat upozornění při počtu výsledků dotazu Je větší než
    Počet událostí 100

    Pokud nechcete nastavit prahovou hodnotu, zadejte 0 do pole číslo.

  4. Nastavení seskupování událostí

    V části Seskupování událostí zvolte jeden ze dvou způsobů, jak seskupování událostí do výstrah zpracovat:

    Nastavení Chování
    Seskupení všech událostí do jednoho upozornění
    (výchozí)
    Pravidlo při každém spuštění vygeneruje jednu výstrahu, pokud dotaz vrátí více výsledků, než je zadaná prahová hodnota upozornění uvedená výše. Tato jediná výstraha shrnuje všechny události vrácené ve výsledcích dotazu.
    Aktivace upozornění pro každou událost Pravidlo vygeneruje jedinečnou výstrahu pro každou událost vrácenou dotazem. Tato možnost je užitečná, pokud chcete, aby se události zobrazovaly jednotlivě nebo pokud je chcete seskupit podle určitých parametrů – podle uživatele, názvu hostitele nebo něčeho jiného. Tyto parametry můžete definovat v dotazu.
  5. Po vygenerování výstrahy pravidlo dočasně potlačit.

    Pokud chcete pravidlo potlačit i po příštím spuštění, pokud se vygeneruje výstraha, přepněte nastavení Zastavit spouštění dotazu po vygenerování výstrahyna Zapnuto. Pokud tuto možnost zapnete, nastavte možnost Zastavit spouštění dotazu pro na dobu, po kterou by měl dotaz přestat běžet( až 24 hodin).

  6. Simulujte výsledky dotazu a nastavení logiky.

    V oblasti Simulace výsledků vyberte Test s aktuálními daty a podívejte se, jak by vypadaly výsledky pravidla, kdyby běželo na vašich aktuálních datech. Microsoft Sentinel simuluje spuštění pravidla 50krát na aktuálních datech podle definovaného plánu a zobrazí graf výsledků (událostí v protokolu). Pokud dotaz upravíte, znovu vyberte Test s aktuálními daty a aktualizujte graf. Graf zobrazuje počet výsledků za časové období definované nastavením v části Plánování dotazů .

  7. Vyberte Další: Nastavení incidentu.

Nakonfigurujte nastavení vytváření incidentů

Na kartě Nastavení incidentů zvolte, zda Microsoft Sentinel převede výstrahy na incidenty vyžadující akci a zda a jak se mají výstrahy seskupovat do incidentů.

  1. Povolte vytváření incidentů.

    V části Nastavení incidentu je možnost Vytvořit incidenty z výstrah aktivovaných tímto analytickým pravidlem ve výchozím nastavení nastavená na Povoleno, což znamená, že Microsoft Sentinel vytvoří jeden samostatný incident od každé výstrahy aktivované pravidlem.

    • Pokud nechcete, aby toto pravidlo vytvářelo incidenty (například pokud má toto pravidlo jenom shromažďovat informace pro následnou analýzu), nastavte tuto možnost na Zakázáno.

      Důležité

      Pokud jste Microsoft Sentinel onboardovali na portál Microsoft Defender, ponechte toto nastavení Povoleno.

      • V tomto scénáři Microsoft Defender XDR vytváří incidenty, nikoli Microsoft Sentinel.
      • Tyto incidenty se zobrazují ve frontě incidentů na portálu Azure i na portálu Defender.
      • V Azure Portal se nové incidenty zobrazují s názvem poskytovatele incidentů Microsoft XDR.
    • Pokud chcete, aby se ze skupiny upozornění vytvořil jeden incident místo jednoho incidentu pro každou jednotlivou výstrahu, podívejte se na další krok.

  2. Nastavte seskupování výstrah.

    Pokud chcete, aby se v části Seskupení výstrah vygeneroval jeden incident ze skupiny až 150 podobných nebo opakovaných výstrah (viz poznámka), nastavte upozornění související se skupinami aktivovaná tímto analytickým pravidlem na incidenty na Povoleno a nastavte následující parametry.

    1. Omezit skupinu na výstrahy vytvořené ve vybraném časovém rámci: Nastavte časový rámec, ve kterém se podobné nebo opakující se výstrahy seskupují dohromady. Výstrahy mimo tento časový rámec generují samostatný incident nebo sadu incidentů.

    2. Seskupte výstrahy aktivované tímto analytickým pravidlem do jednoho incidentu podle: Zvolte, jak se mají výstrahy seskupovat:

      Možnost Popis
      Pokud se všechny entity shodují, seskupte upozornění do jednoho incidentu. Výstrahy se seskupí dohromady, pokud sdílejí stejné hodnoty pro každou z mapovaných entit (definované na kartě Nastavit logiku pravidla výše). Toto je doporučené nastavení.
      Seskupení všech výstrah aktivovaných tímto pravidlem do jednoho incidentu Všechna upozornění vygenerovaná tímto pravidlem jsou seskupené, i když nesdílejí žádné stejné hodnoty.
      Pokud se vybrané entity a podrobnosti shodují, seskupte výstrahy do jednoho incidentu. Výstrahy se seskupí dohromady, pokud sdílejí stejné hodnoty pro všechny namapované entity, podrobnosti výstrah a vlastní podrobnosti vybrané z příslušných rozevíracích seznamů.
    3. Znovu otevřít uzavřené odpovídající incidenty: Pokud se incident vyřeší a zavře a později se vygeneruje další výstraha, která by měla k tomuto incidentu patřit, nastavte toto nastavení na Povoleno , pokud chcete, aby se zavřený incident znovu otevřel, a pokud chcete, aby výstraha vytvořila nový incident, ponechte ho jako Zakázáno .

      Možnost Znovu otevřít uzavřené odpovídající incidenty není dostupná, když Microsoft Sentinel je onboardovaný na portálu Microsoft Defender.

    Důležité

    Pokud jste Microsoft Sentinel připojili k portálu Microsoft Defender, nastavení seskupení výstrah se uplatní pouze v okamžiku vytvoření incidentu.

    Vzhledem k tomu, že korelační modul portálu Defender je v tomto scénáři zodpovědný za korelaci upozornění, přijímá tato nastavení jako počáteční pokyny, ale může také rozhodovat o korelaci upozornění, která tato nastavení nebere v úvahu.

    Proto může být způsob, jakým se výstrahy seskupují do incidentů, často jiný, než byste na základě těchto nastavení očekávali.

    Poznámka

    Do jednoho incidentu je možné seskupit až 150 výstrah.

    • Incident se vytvoří až po vygenerování všech výstrah. Všechny výstrahy se do incidentu přidají okamžitě po jeho vytvoření.

    • Pokud pravidlo, které je seskupí do jednoho incidentu, vygeneruje více než 150 výstrah, vygeneruje se nový incident se stejnými podrobnostmi incidentu jako původní a nadbytečné výstrahy se seskupí do nového incidentu.

  3. Vyberte Další: Automatizovaná odpověď.

Kontrola nebo přidání automatizovaných odpovědí

  1. Na kartě Automatizované odpovědi se podívejte na pravidla automatizace zobrazená v seznamu. Pokud chcete přidat všechny odpovědi, které ještě nejsou pokryté stávajícími pravidly, máte dvě možnosti:

    • Pokud chcete, aby přidaná odpověď platila pro mnoho nebo všechna pravidla, upravte existující pravidlo.
    • Vyberte Přidat nový a vytvořte nové pravidlo automatizace , které se vztahuje pouze na toto analytické pravidlo.

    Další informace o tom, k čemu můžete používat pravidla automatizace, najdete v tématu Automatizace reakce na hrozby v Microsoft Sentinel pomocí pravidel automatizace.

    • V části Automatizace upozornění (klasická) v dolní části obrazovky uvidíte všechny playbooky, které jste nakonfigurovali tak, aby se automaticky spouštěly při vygenerování upozornění pomocí staré metody.
      • Od června 2023 nemůžete do tohoto seznamu přidávat playbooky. Playbooky, které jsou zde uvedeny, budou nadále spuštěny, dokud nebude tato metoda zastaralá s platností od března 2026.

      • Pokud zde stále máte nějaké playbooky uvedené v tomto seznamu, vytvořte automatizační pravidlo založené na aktivační události vytvoření výstrahy a z automatizačního pravidla spusťte playbook. Po dokončení tohoto kroku vyberte ikonu se třemi tečkami na konci řádku playbooku uvedeného zde a vyberte Odebrat. Úplné pokyny najdete v článku Migrace playbooků Microsoft Sentinel spouštěných výstrahami na pravidla automatizace.

  2. Vyberte Další: Zkontrolovat a vytvořit a zkontrolujte všechna nastavení nového analytického pravidla.

Ověření konfigurace a vytvoření pravidla

  1. Jakmile se zobrazí zpráva Ověření bylo úspěšné, vyberte Vytvořit.

  2. Pokud se místo toho zobrazí chyba, vyhledejte a vyberte červený křížek na kartě v průvodci, kde k chybě došlo.

  3. Opravte chybu a vraťte se na kartu Zkontrolovat a vytvořit a znovu spusťte ověření.

Zobrazení pravidla a jeho výstupu

Zobrazení definice pravidla

Nově vytvořené vlastní pravidlo (typu Naplánované) najdete v tabulce na kartě Aktivní pravidla na hlavní obrazovce Analýza . V tomto seznamu můžete každé pravidlo povolit, zakázat nebo odstranit.

Zobrazení výsledků pravidla

Pokud chcete zobrazit výsledky analytických pravidel, která vytvoříte na portálu Defender, rozbalte v navigační nabídce položku Vyšetřování & odpověď a pak na Incidenty & výstrahy. Podívejte se na incidenty na stránce Incidenty , kde můžete určit jejich prioritu, prozkoumat je a napravit hrozby. Zobrazte si jednotlivá upozornění na stránce Výstrahy .

Snímek obrazovky se stránkou incidentů v Azure Portal

Vylaďte pravidlo

Po spuštění pravidla ho vylaďte, abyste snížili šum a zlepšili kvalitu detekce.

Poznámka

Výstrahy vygenerované v Microsoft Sentinel jsou dostupné prostřednictvím Microsoft Graph Security. Další informace najdete v dokumentaci k upozorněním Microsoft Graph Security.

Export pravidla do šablony ARM

Pokud chcete zabalit pravidlo ke správě a nasazení jako kód, můžete ho snadno exportovat do šablony Azure Resource Manager (ARM). Pravidla můžete také importovat ze souborů šablon, abyste je mohli zobrazit a upravit v uživatelském rozhraní.

Další kroky

Pokud používáte analytická pravidla k detekci hrozeb z Microsoft Sentinel, ujistěte se, že jste povolili všechna pravidla přidružená k připojeným zdrojům dat, abyste zajistili úplné zabezpečení vašeho prostředí.

Chcete-li automatizovat povolování pravidel, odesílejte pravidla do Microsoft Sentinel prostřednictvím rozhraní REST API služby Microsoft Sentinel a modulu PowerShell Az.SecurityInsights, i když to vyžaduje další úsilí. Při použití rozhraní API nebo PowerShellu musíte před povolením pravidel nejprve exportovat pravidla do formátu JSON. Rozhraní API nebo PowerShell můžou být užitečné při povolování pravidel ve více instancích Microsoft Sentinel se stejným nastavením v každé instanci.

Další informace najdete tady:

Také se naučíte z příkladu použití vlastních analytických pravidel při monitorování zoomu pomocí vlastního konektoru Microsoft Sentinel.