Utwórz zaplanowaną regułę analizy od podstaw

Masz już skonfigurowane konektory i inne sposoby zbierania danych o aktywności w całym środowisku cyfrowym. Teraz musisz przeglądać wszystkie te dane, aby wykrywać wzorce aktywności i odnajdywać działania, które nie pasują do tych wzorców i które mogą stanowić zagrożenie dla bezpieczeństwa.

Microsoft Sentinel i jego liczne rozwiązania dostępne w centrum zawartości oferują szablony dla najczęściej używanych typów reguł analitycznych, a korzystanie z tych szablonów i dostosowywanie ich do konkretnych scenariuszy jest zdecydowanie zalecane. Możliwe jednak, że będziesz potrzebować czegoś zupełnie innego, więc w takim przypadku możesz utworzyć regułę od podstaw przy użyciu kreatora reguł analizy.

Uwaga

Jeśli przeglądasz szczegóły zalecenia optymalizacji SOC na stronie optymalizacji SOC i korzystasz z linku Dowiedz się więcej na tej stronie, możesz szukać listy sugerowanych reguł analizy. W takim przypadku przewiń do dołu karty szczegóły optymalizacji i wybierz pozycję Przejdź do centrum zawartości , aby znaleźć i zainstalować zalecane reguły specyficzne dla tego zalecenia. Aby uzyskać więcej informacji, zobacz Przepływ użycia optymalizacji SOC.

W tej sekcji opisano proces tworzenia reguły analizy od podstaw, w tym przy użyciu kreatora reguł analizy. Zawiera zrzuty ekranu i wskazówki, jak uzyskać dostęp do kreatora zarówno w portalu Azure, jak i w portalu Defender.

Ważna

Po 31 marca 2027 r. Microsoft Sentinel nie będą już obsługiwane w Azure Portal i będą dostępne tylko w portalu Microsoft Defender. Wszyscy klienci korzystający z Microsoft Sentinel w Azure Portal zostaną przekierowane do portalu usługi Defender i będą używać Microsoft Sentinel tylko w portalu usługi Defender.

Jeśli nadal używasz Microsoft Sentinel w Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia płynnego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez Microsoft Defender.

Wymagania wstępne

  • Musisz mieć rolę współautora Microsoft Sentinel lub dowolną inną rolę lub zestaw uprawnień, który obejmuje uprawnienia do zapisu w obszarze roboczym usługi Log Analytics i jego grupie zasobów.

  • Należy mieć co najmniej podstawową znajomość nauki o danych i analizy oraz język zapytań Kusto.

  • Należy zapoznać się z kreatorem reguł analizy i wszystkimi dostępnymi opcjami konfiguracji. Aby uzyskać więcej informacji, zobacz Zaplanowane reguły analizy w Microsoft Sentinel.

Projektowanie i tworzenie zapytania

Zanim zrobisz cokolwiek innego, powinieneś zaprojektować i utworzyć zapytanie w języku zapytań Kusto (KQL), którego reguła będzie używać do wykonywania zapytań względem jednej lub wielu tabel w obszarze roboczym usługi Log Analytics.

  1. Określ źródło danych lub zestaw źródeł danych, które chcesz wyszukać w celu wykrycia nietypowych lub podejrzanych działań. Znajdź nazwę tabeli usługi Log Analytics, do której są pozyskiwane dane z tych źródeł. Nazwę tabeli można znaleźć na stronie łącznika danych dla tego źródła. Użyj tej nazwy tabeli (lub funkcji na jej podstawie) jako podstawy zapytania.

  2. Zdecyduj, jakiego rodzaju analizę ma wykonać to zapytanie w tabeli. Ta decyzja określa, których poleceń i funkcji należy użyć w zapytaniu.

  3. Zdecyduj, które elementy danych (pola, kolumny) mają pochodzić z wyników zapytania. Ta decyzja określa strukturę danych wyjściowych zapytania.

    Ważna

    Upewnij się, że zapytanie zwraca kolumnę TimeGenerated , ponieważ reguły zaplanowanej analizy używają jej jako odwołania do okresu wyszukiwania wstecznego. Ponieważ TimeGenerated służy jako odwołanie do odnośnika, reguła ocenia tylko rekordy, w których TimeGenerated wartość mieści się w określonym oknie odnośnika.

  4. Skompiluj i przetestuj zapytania na ekranie Dzienniki . Gdy będziesz zadowolony, zapisz zapytanie do użycia w regule.

Więcej informacji można znaleźć w następujących artykułach:

Utwórz regułę analityczną

W poniższej procedurze wyjaśniono, jak utworzyć zaplanowaną regułę analizy przy użyciu portalu Azure lub portalu Defender.

Rozpocznij tworzenie reguły zaplanowanego zapytania

Aby rozpocząć, przejdź do strony Analiza w Microsoft Sentinel, aby utworzyć regułę zaplanowanej analizy.

  1. W przypadku rozwiązania Microsoft Sentinel w portalu usługi Defender wybierz pozycję Microsoft Sentinel>Konfiguracja>Analiza. W Microsoft Sentinel w Azure Portal w obszarze Konfiguracja wybierz pozycję Analiza.

  2. Wybierz pozycję +Utwórz i wybierz pozycję Reguła zaplanowanego zapytania.

Nadaj regułze nazwę i zdefiniuj informacje ogólne

W Azure Portal etapy są wyświetlane jako karty. W portalu usługi Defender są one wyświetlane jako punkty kontrolne na osi czasu.

  1. Wprowadź poniższe informacje dotyczące reguły.

    Pole Opis
    Nazwa Unikatowa nazwa reguły. To pole obsługuje tylko zwykły tekst. Wszystkie adresy URL zawarte w nazwie powinny być zgodne z formatem kodowania procentowego , aby były wyświetlane prawidłowo.
    Opis Opis reguły w dowolnej formie tekstowej.
    Jeśli Microsoft Sentinel jest dołączony do portalu usługi Defender, to pole obsługuje tylko zwykły tekst. Wszystkie adresy URL zawarte w opisie powinny być zgodne z formatem kodowania procentowego, aby były wyświetlane prawidłowo.
    Ważność Dopasuj wpływ działania wyzwalającego regułę na środowisko docelowe, jeśli reguła jest prawdziwie dodatnia.

    Informacje: Brak wpływu na system, ale informacje mogą wskazywać na przyszłe kroki planowane przez aktora zagrożeń.
    Niski: bezpośredni wpływ jest minimalny. Aktor zagrożeń prawdopodobnie będzie musiał wykonać wiele kroków przed uzyskaniem wpływu na środowisko.
    Średni: aktor zagrożeń może mieć pewien wpływ na środowisko z tym działaniem, ale będzie on ograniczony zakresem lub wymaga dodatkowej aktywności.
    Wysoki: Zidentyfikowane działanie zapewnia aktorowi zagrożeń szeroki dostęp do prowadzenia akcji w środowisku lub jest wyzwalane przez wpływ na środowisko.
    MITRE ATT&CK Wybierz te działania dotyczące zagrożeń, które mają zastosowanie do twojej reguły. Wybierz spośród taktyk i technik mitre att&CK przedstawionych na liście rozwijanej. Możesz dokonać wielu wyborów.

    Aby uzyskać więcej informacji na temat maksymalizowania zakresu pokrycia krajobrazu zagrożeń MITRE ATT&CK, zobacz Informacje o pokryciu zabezpieczeń w strukturze MITRE ATT&CK®.
    Stan Włączone: reguła jest uruchamiana natychmiast po utworzeniu lub w określonym dniu i godzinie, w którą chcesz ją zaplanować (obecnie w wersji zapoznawczej).
    Wyłączone: reguła jest tworzona, ale nie jest uruchamiana. Włącz ją później na karcie Aktywne reguły , gdy będzie ona potrzebna.
  2. Wybierz pozycję Dalej: Ustaw logikę reguły.


Definiowanie logiki reguły

Ustaw logikę reguły, w tym dodaj utworzone wcześniej zapytanie Kusto.

  1. Wprowadź zapytanie reguły i konfigurację rozszerzenia alertu.

    Ustawienie Opis
    Zapytanie dotyczące reguły Wklej zapytanie, które zostało zaprojektowane, utworzone i przetestowane, do okna Zapytanie reguły. Każda zmiana w tym oknie jest natychmiast weryfikowana, więc jeśli wystąpią jakieś błędy, tuż pod oknem zostanie wyświetlone wskazanie.
    Mapowanie jednostek Rozwiń Mapowanie jednostek i zdefiniuj do 10 typów jednostek rozpoznawanych przez Microsoft Sentinel w polach wyników zapytania. To mapowanie integruje zidentyfikowane jednostki z polem Jednostki w schemacie alertów zabezpieczeń Microsoft Sentinel.

    Aby uzyskać pełne instrukcje dotyczące mapowania encji, zobacz Mapowanie pól danych do encji w usłudze Microsoft Sentinel.
    Wyświetl niestandardowe szczegóły w alertach Rozwiń sekcję Szczegóły niestandardowe i zdefiniuj w wynikach zapytania te pola, które chcesz uwzględnić w alertach jako szczegóły niestandardowe. Te pola są również wyświetlane w przypadku wszystkich zdarzeń, które również są wynikiem.

    Aby uzyskać pełne instrukcje dotyczące wyświetlania niestandardowych szczegółów zdarzeń, zobacz Wyświetlanie niestandardowych szczegółów zdarzeń w alertach w Microsoft Sentinel.
    Dostosowywanie szczegółów alertu Rozwiń Szczegóły alertu i dostosuj standardowe właściwości alertu na podstawie zawartości różnych pól w każdym alercie. Na przykład, dostosuj nazwę lub opis alertu, aby uwzględnić nazwę użytkownika lub adres IP występujące w alercie.

    Aby uzyskać pełne instrukcje dotyczące dostosowywania szczegółów alertów, zobacz Dostosowywanie szczegółów alertów w Microsoft Sentinel.
  2. Planowanie i określanie zakresu zapytania. Ustaw następujące parametry w sekcji Planowanie zapytań :

    Ustawienie Opis/opcje
    Uruchamiaj zapytanie co Steruje interwałem zapytań: jak często jest uruchamiane zapytanie.
    Dozwolony zakres: od 5 minut do 14 dni.
    Wyszukaj dane z ostatniego Określa okres wsteczny: przedział czasu objęty zapytaniem.
    Dozwolony zakres: od 5 minut do 14 dni.
    Musi być dłuższa lub równa interwałowi zapytania.
    Rozpocznij uruchamianie Automatycznie: reguła jest uruchamiana po raz pierwszy natychmiast po utworzeniu, a następnie w interwale zapytania.
    O określonej porze (Wersja zapoznawcza): Ustaw datę i godzinę, o której reguła zostanie uruchomiona po raz pierwszy, a następnie będzie uruchamiana zgodnie z interwałem zapytania.
    Dozwolony zakres: od 10 minut do 30 dni po czasie tworzenia reguły (lub włączenia).
  3. Ustaw próg tworzenia alertów.

    Użyj sekcji Próg alertu, aby zdefiniować poziom czułości reguły. Na przykład ustaw minimalny próg 100:

    Ustawienie Opis
    Generowanie alertu, gdy liczba wyników zapytania Jest większa niż
    Liczba zdarzeń 100

    Jeśli nie chcesz ustawiać progu, wprowadź 0 wartość w polu liczba.

  4. Ustaw ustawienia grupowania zdarzeń.

    W obszarze Grupowanie zdarzeń wybierz jeden z dwóch sposobów obsługi grupowania zdarzeń w alerty:

    Ustawienie Zachowanie
    Grupowanie wszystkich zdarzeń w pojedynczy alert
    (wartość domyślna)
    Reguła generuje pojedynczy alert za każdym razem, gdy jest uruchamiany, o ile zapytanie zwraca więcej wyników niż określony próg alertu powyżej. Ten pojedynczy alert podsumowuje wszystkie zdarzenia zwrócone w wynikach zapytania.
    Wyzwalanie alertu dla każdego zdarzenia Reguła generuje unikalny alert dla każdego zdarzenia zwróconego przez zapytanie. Ta opcja jest przydatna, jeśli chcesz, aby zdarzenia były wyświetlane indywidualnie lub jeśli chcesz grupować je według określonych parametrów — według użytkownika, nazwy hosta lub innego. Te parametry można zdefiniować w zapytaniu.
  5. Tymczasowo pomiń regułę po wygenerowaniu alertu.

    Aby wstrzymać działanie reguły po terminie jej następnego uruchomienia, jeśli zostanie wygenerowany alert, ustaw opcję Zatrzymaj uruchamianie zapytania po wygenerowaniu alertu na Włączone. Jeśli to włączysz, ustaw ustawienie Zatrzymaj uruchamianie zapytania na czas, przez który zapytanie powinno przestać działać, do 24 godzin.

  6. Symuluj wyniki ustawień zapytania i logiki.

    W obszarze Symulacja wyników wybierz pozycję Testuj z bieżącymi danymi , aby zobaczyć, jak wyglądałyby wyniki reguły, gdyby były uruchomione na bieżących danych. Microsoft Sentinel symuluje uruchomienie reguły 50 razy na podstawie bieżących danych, zgodnie z określonym harmonogramem, i wyświetla wykres wyników (zdarzeń dziennika). Jeśli zmodyfikujesz zapytanie, wybierz ponownie pozycję Testuj z bieżącymi danymi , aby zaktualizować graf. Wykres przedstawia liczbę wyników w okresie zdefiniowanym przez ustawienia w sekcji Planowanie zapytań .

  7. Wybierz pozycję Dalej: Ustawienia zdarzenia.

Konfigurowanie ustawień tworzenia zdarzenia

Na karcie Ustawienia zdarzenia wybierz, czy Microsoft Sentinel przekształca alerty w zdarzenia z możliwością działania oraz czy i jak alerty są grupowane razem w zdarzeniach.

  1. Włącz tworzenie zdarzeń.

    W sekcji Ustawienia incydentu ustawienie Utwórz zdarzenia na podstawie alertów wyzwalanych przez tę regułę analizy jest domyślnie ustawione na wartość Włączone, co oznacza, że Microsoft Sentinel tworzy pojedyncze, oddzielne zdarzenie od każdego alertu wyzwalanego przez regułę.

    • Jeśli nie chcesz, aby ta reguła tworzyła zdarzenia (na przykład jeśli ta reguła służy tylko do zbierania informacji do późniejszej analizy), ustaw tę opcję na Wyłączone.

      Ważna

      Jeśli wdrożono usługę Microsoft Sentinel w portalu Microsoft Defender, pozostaw to ustawienie Włączone.

      • W tym scenariuszu Microsoft Defender XDR tworzy zdarzenia, a nie Microsoft Sentinel.
      • Te zdarzenia są wyświetlane w kolejce zdarzeń zarówno w portalach Azure, jak i Defender.
      • W Azure Portal nowe zdarzenia są wyświetlane z nazwą dostawcy zdarzenia "Microsoft XDR".
    • Jeśli chcesz utworzyć pojedyncze zdarzenie na podstawie grupy alertów, zamiast jednego dla każdego pojedynczego alertu, zobacz następny krok.

  2. Ustaw ustawienia grupowania alertów.

    W sekcji Grupowanie alertów, jeśli chcesz, aby z grupy maksymalnie 150 podobnych lub powtarzających się alertów został wygenerowany pojedynczy incydent (zobacz uwagę), ustaw opcję Grupuj powiązane alerty wyzwalane przez tę regułę analityczną w incydenty na wartość Włączone, a następnie ustaw następujące parametry.

    1. Ogranicz grupę do alertów utworzonych w wybranym przedziale czasu: ustaw przedział czasu, w którym podobne lub cykliczne alerty są grupowane razem. Alerty spoza tego przedziału czasu generują oddzielne zdarzenie lub zestaw zdarzeń.

    2. Grupuj alerty wyzwalane przez tę regułę analizy w pojedynczym zdarzeniu według: Wybierz sposób grupowania alertów:

      Opcja Opis
      Grupowanie alertów w pojedyncze zdarzenie, jeśli wszystkie jednostki są zgodne Alerty są grupowane razem, jeśli mają identyczne wartości dla każdej z mapowanych encji (zdefiniowanych na karcie Ustaw logikę reguły powyżej). Jest to zalecane ustawienie.
      Zgrupuj wszystkie alerty wyzwalane przez tę regułę w jeden incydent Wszystkie alerty wygenerowane przez tę regułę są grupowane razem, nawet jeśli nie mają identycznych wartości.
      Grupowanie alertów w pojedyncze zdarzenie, jeśli wybrane jednostki i szczegóły są zgodne Alerty są grupowane razem, jeśli mają identyczne wartości dla wszystkich zamapowanych jednostek, szczegółów alertów i niestandardowych szczegółów wybranych z odpowiednich list rozwijanych.
    3. Otwórz ponownie zamknięte pasujące zdarzenia: jeśli zdarzenie zostało rozwiązane i zamknięte, a później zostanie wygenerowany inny alert, który powinien należeć do tego zdarzenia, ustaw to ustawienie na Wartość Włączone , jeśli chcesz, aby zamknięte zdarzenie zostało ponownie otwarte, i pozostaw wartość Wyłączone , jeśli chcesz, aby alert utworzył nowe zdarzenie.

      Opcja Ponowne otwieranie zamkniętych powiązanych incydentów nie jest dostępna, gdy Microsoft Sentinel został wdrożony w portalu Microsoft Defender.

    Ważna

    Jeśli dołączono Microsoft Sentinel do portalu Microsoft Defender, ustawienia grupowania alertów będą obowiązywać dopiero po utworzeniu zdarzenia.

    Ponieważ aparat korelacji portalu usługi Defender jest odpowiedzialny za korelację alertów w tym scenariuszu, akceptuje te ustawienia jako początkowe instrukcje, ale może również podejmować decyzje dotyczące korelacji alertów, które nie uwzględniają tych ustawień.

    W związku z tym sposób grupowania alertów w zdarzenia może często różnić się od oczekiwanego na podstawie tych ustawień.

    Uwaga

    Maksymalnie 150 alertów można pogrupować w pojedyncze zdarzenie.

    • Zdarzenie jest tworzone dopiero po wygenerowaniu wszystkich alertów. Wszystkie alerty są dodawane do zdarzenia natychmiast po jego utworzeniu.

    • Jeśli reguła zgrupuje więcej niż 150 alertów w pojedynczym zdarzeniu, zostanie wygenerowane nowe zdarzenie z tymi samymi szczegółami zdarzenia co oryginalne, a nadmiar alertów zostanie pogrupowany w nowe zdarzenie.

  3. Wybierz pozycję Dalej: Automatyczna odpowiedź.

Przeglądanie lub dodawanie automatycznych odpowiedzi

  1. Na karcie Zautomatyzowane odpowiedzi zobacz reguły automatyzacji wyświetlane na liście. Jeśli chcesz dodać odpowiedzi, które nie są jeszcze objęte istniejącymi regułami, masz dwie opcje:

    • Edytuj istniejącą regułę, jeśli chcesz, aby dodana odpowiedź miała zastosowanie do wielu lub wszystkich reguł.
    • Wybierz pozycję Dodaj nową , aby utworzyć nową regułę automatyzacji , która ma zastosowanie tylko do tej reguły analizy.

    Aby dowiedzieć się więcej o tym, do czego można używać reguł automatyzacji, zobacz Automatyzowanie reagowania na zagrożenia w Microsoft Sentinel za pomocą reguł automatyzacji.

    • W obszarze Automatyzacja alertów (klasyczna) w dolnej części ekranu zobaczysz wszystkie playbooki skonfigurowane do automatycznego uruchamiania po wygenerowaniu alertu przy użyciu starej metody.
      • Od czerwca 2023 r. nie można dodawać podręczników do tej listy. Podręczniki już wymienione w tym miejscu będą nadal działać do momentu wycofania tej metody z marca 2026 r.

      • Jeśli nadal masz tutaj wymienione jakiekolwiek playbooki, utwórz regułę automatyzacji na podstawie wyzwalacza „utworzono alert” i uruchom playbook z poziomu reguły automatyzacji. Po ukończeniu tego kroku wybierz wielokropek na końcu wiersza podręcznika wymienionego tutaj, a następnie wybierz pozycję Usuń. Pełne instrukcje znajdziesz tutaj: Migrowanie podręczników Microsoft Sentinel wyzwalanych alertami do reguł automatyzacji.

  2. Wybierz pozycję Dalej: Przejrzyj i utwórz, aby przejrzeć wszystkie ustawienia nowej reguły analitycznej.

Weryfikowanie konfiguracji i tworzenie reguły

  1. Po wyświetleniu komunikatu "Weryfikacja przekazana" wybierz pozycję Utwórz.

  2. Jeśli zamiast tego pojawi się błąd, znajdź i wybierz czerwony znak X na karcie kreatora, na której wystąpił błąd.

  3. Popraw błąd i wróć do karty Przeglądanie i tworzenie , aby ponownie uruchomić walidację.

Wyświetlanie reguły i jej danych wyjściowych

Wyświetlanie definicji reguły

Regułę niestandardową utworzoną niedawno (typu „Zaplanowana”) można znaleźć w tabeli na karcie Aktywne reguły na głównym ekranie Analityka. Z tej listy można włączyć, wyłączyć lub usunąć każdą regułę.

Wyświetlanie wyników reguły

Aby wyświetlić wyniki reguł analizy utworzonych w portalu usługi Defender, rozwiń węzeł Badanie & odpowiedzi w menu nawigacji, a następnie Zdarzenia & alerty. Wyświetl zdarzenia na stronie Zdarzenia , gdzie można klasyfikować zdarzenia, badać je i korygować zagrożenia. Wyświetl poszczególne alerty na stronie Alerty .

Zrzut ekranu przedstawiający stronę zdarzeń w Azure Portal.

Dostrój regułę

Po uruchomieniu reguły dostosuj ją, aby zmniejszyć szum i poprawić jakość wykrywania.

Uwaga

Alerty generowane w Microsoft Sentinel są dostępne za pośrednictwem usługi Microsoft Graph Security. Aby uzyskać więcej informacji, zobacz dokumentację alertów zabezpieczeń programu Microsoft Graph.

Eksportuj regułę do szablonu ARM

Jeśli chcesz spakować regułę, która ma być zarządzana i wdrażana jako kod, możesz łatwo wyeksportować regułę do szablonu Azure Resource Manager (ARM). Można również importować reguły z plików szablonów, aby wyświetlać i edytować je w interfejsie użytkownika.

Następne kroki

W przypadku używania reguł analizy do wykrywania zagrożeń ze strony Microsoft Sentinel należy włączyć wszystkie reguły skojarzone z połączonymi źródłami danych w celu zapewnienia pełnego pokrycia zabezpieczeń środowiska.

Aby zautomatyzować włączanie reguł, należy przesyłać reguły do usługi Microsoft Sentinel za pośrednictwem interfejsu API REST Microsoft Sentinel i modułu Az.SecurityInsights programu PowerShell, choć wymaga to dodatkowego wysiłku. W przypadku korzystania z interfejsu API lub programu PowerShell należy najpierw wyeksportować reguły do formatu JSON przed włączeniem reguł. Interfejs API lub program PowerShell mogą być przydatne podczas włączania reguł w wielu wystąpieniach Microsoft Sentinel z identycznymi ustawieniami w każdym wystąpieniu.

Więcej informacji można znaleźć w następujących artykułach:

Dowiedz się również na podstawie przykładu używania niestandardowych reguł analizy podczas monitorowania aplikacji Zoom przy użyciu niestandardowego łącznika Microsoft Sentinel.