Detekce hrozeb v Microsoft Sentinelu
Po nastavení Služby Microsoft Sentinel ke shromažďování dat z celé organizace musíte neustále procházet všechna tato data, abyste mohli detekovat bezpečnostní hrozby pro vaše prostředí. K dosažení této úlohy microsoft Sentinel poskytuje pravidla detekce hrozeb, která se spouštějí pravidelně, dotazují se shromážděná data a analyzují je za účelem zjišťování hrozeb. Tato pravidla přicházejí v několika různých příchutích a souhrnně se označují jako analytická pravidla.
Tato pravidla generují upozornění , když zjistí, co hledají. Výstrahy obsahují informace o zjištěných událostech, jako jsou entity (uživatelé, zařízení, adresy a další položky). Výstrahy se agregují a korelují s incidenty – soubory případů – které můžete přiřadit a prošetřit, abyste zjistili úplný rozsah zjištěné hrozby a odpovídajícím způsobem reagovali. Do vlastní konfigurace pravidel můžete také sestavit předem definované automatizované odpovědi.
Tato pravidla můžete vytvořit úplně od začátku pomocí integrovaného průvodce analytickými pravidly. Microsoft však důrazně doporučuje, abyste využili širokou škálu šablon analytických pravidel dostupných prostřednictvím mnoha řešení pro Microsoft Sentinel poskytovaná v centru obsahu. Tyto šablony jsou předdefinované prototypy pravidel navržené týmy odborníků na zabezpečení a analytiků na základě jejich znalostí známých hrozeb, běžných vektorů útoku a řetězů eskalace podezřelých aktivit. Pravidla z těchto šablon aktivujete tak, aby se automaticky vyhledaly všechny aktivity, které vypadají podezřele. Mnoho šablon je možné přizpůsobit tak, aby vyhledaly konkrétní typy událostí nebo je vyfiltrovaly podle vašich potřeb.
Tento článek vám pomůže pochopit, jak Microsoft Sentinel detekuje hrozby a co se stane dál.
Důležité
Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Typy analytických pravidel
Analytická pravidla a šablony, které můžete použít, můžete zobrazit na stránce Analýza nabídky Konfigurace v Microsoft Sentinelu. Aktuálně aktivní pravidla jsou viditelná na jedné kartě a šablony pro vytvoření nových pravidel na jiné kartě. Třetí karta zobrazuje anomálie, speciální typ pravidla popsaný dále v tomto článku.
Pokud chcete najít více šablon pravidel, než se aktuálně zobrazuje, přejděte do centra obsahu v Microsoft Sentinelu a nainstalujte související produktová řešení nebo samostatný obsah. Šablony analytických pravidel jsou k dispozici s téměř každým produktovým řešením v centru obsahu.
V Microsoft Sentinelu jsou k dispozici následující typy analytických pravidel a šablon pravidel:
- Naplánovaná pravidla
- Pravidla NRT (Near-real-time)
- Pravidla anomálií
- Pravidla zabezpečení Microsoftu
Kromě předchozích typů pravidel existují i některé další specializované typy šablon, které můžou vytvořit jednu instanci pravidla s omezenými možnostmi konfigurace:
- Analýza hrozeb
- Pokročilá detekce útoků s více fázemi ("Fusion")
- Analýza chování strojového učení (ML)
Naplánovaná pravidla
Zdaleka nejběžnější typ analytického pravidla jsou naplánovaná pravidla založená na dotazech Kusto, které jsou nakonfigurované tak, aby běžely v pravidelných intervalech, a kontrolují nezpracovaná data z definovaného období zpětného vyhledávání. Pokud počet výsledků zachycených dotazem překročí prahovou hodnotu nakonfigurovanou v pravidle, pravidlo vytvoří výstrahu.
Dotazy v naplánovaných šablonách pravidel napsali odborníci na zabezpečení a datové vědy, a to buď od Microsoftu, nebo od dodavatele řešení poskytujícího šablonu. Dotazy můžou s cílovými daty provádět složité statistické operace, odhalit směrné plány a odlehlé hodnoty ve skupinách událostí.
Logika dotazu se zobrazí v konfiguraci pravidla. Můžete použít logiku dotazu a nastavení plánování a zpětného vyhledávání, jak je definováno v šabloně, nebo je přizpůsobit k vytvoření nových pravidel. Případně můžete zcela nová pravidla vytvořit úplně od začátku.
Přečtěte si další informace o naplánovaných analytických pravidlech v Microsoft Sentinelu.
Pravidla NRT (Near-real-time)
Pravidla NRT jsou omezenou podmnožinou plánovaných pravidel. Jsou navržené tak, aby běžely jednou za minutu, aby vám co nejvíce dodaly informace.
Fungují většinou jako plánovaná pravidla a konfigurují se podobně s určitými omezeními.
Přečtěte si další informace o rychlé detekci hrozeb pomocí analytických pravidel téměř v reálném čase (NRT) v Microsoft Sentinelu.
Pravidla anomálií
Pravidla anomálií používají strojové učení ke sledování konkrétních typů chování v určitém časovém období k určení směrného plánu. Každé pravidlo má své vlastní jedinečné parametry a prahové hodnoty, které jsou vhodné pro analyzované chování. Po dokončení období pozorování se nastaví směrný plán. Když pravidlo sleduje chování, které překračuje hranice nastavené v účaří, označí tyto výskyty jako neobvyklé.
Konfigurace předefinovaných pravidel se sice nedají změnit ani doladit, ale můžete duplikovat pravidlo a potom duplikovat a potom duplikovat a vyladit. V takovýchpřípadechch Pak porovnejte výsledky a přepněte duplikát do produkčního prostředí , pokud a kdy je jeho vyladění podle vašich představ.
Anomálie nemusí nutně znamenat škodlivé nebo dokonce podezřelé chování sami. Pravidla anomálií proto negenerují vlastní výstrahy. Místo toho zaznamenávají výsledky analýzy – zjištěné anomálie – v tabulce Anomálie . Dotazem na tuto tabulku můžete poskytnout kontext, který zlepšuje zjišťování, vyšetřování a proaktivní vyhledávání hrozeb.
Další informace najdete v tématu Použití přizpůsobitelných anomálií k detekci hrozeb v Microsoft Sentinelu a práci s analytickými pravidly detekce anomálií v Microsoft Sentinelu.
Pravidla zabezpečení Microsoftu
Zatímco naplánovaná pravidla a pravidla NRT automaticky vytvářejí incidenty pro výstrahy, které generují, upozornění generovaná v externích službách a ingestovaná službou Microsoft Sentinel nevytvují vlastní incidenty. Pravidla zabezpečení Microsoftu automaticky vytvářejí incidenty Microsoft Sentinelu z výstrah generovaných v jiných řešeních zabezpečení Microsoftu v reálném čase. Šablony zabezpečení Microsoftu můžete použít k vytvoření nových pravidel s podobnou logikou.
Důležité
Pravidla zabezpečení Společnosti Microsoft nejsou k dispozici , pokud máte:
- Povolení integrace incidentů XDR v programu Microsoft Defender nebo
- Onboarded Microsoft Sentinel to the unified security operations platform.
V těchto scénářích místo toho XDR v programu Microsoft Defender vytvoří incidenty.
Všechna taková pravidla, která jste předem definovali, se automaticky deaktivují.
Další informace o pravidlech vytváření incidentů zabezpečení společnosti Microsoft naleznete v tématu Automatické vytváření incidentů z výstrah zabezpečení Společnosti Microsoft.
Analýza hrozeb
Využijte výhod analýzy hrozeb vytvořené Microsoftem k vygenerování vysoce věrných výstrah a incidentů pomocí pravidla Analýzy hrozeb Microsoftu . Toto jedinečné pravidlo není přizpůsobitelné, ale pokud je povolené, automaticky odpovídá protokolům CEF (Common Event Format), datům Syslogu nebo událostem DNS systému Windows s doménou, indikátory hrozeb IP a adresy URL z Microsoft Threat Intelligence. Některé indikátory obsahují více kontextových informací prostřednictvím MDTI (Analýza hrozeb v programu Microsoft Defender).
Další informace o povolení tohoto pravidla najdete v tématu Použití odpovídající analýzy k detekci hrozeb.
Další informace o MDTI naleznete v tématu Co je Analýza hrozeb v programu Microsoft Defender.
Pokročilá detekce útoků s více fázemi (Fusion)
Microsoft Sentinel používá modul fúzní korelace se svými škálovatelnými algoritmy strojového učení k detekci pokročilých útoků s více fázemi díky korelaci mnoha upozornění a událostí nízké přesnosti napříč několika produkty do vysoce věrných a akčních incidentů. Ve výchozím nastavení je povolené pravidlo rozšířené detekce útoků s více fázemi. Vzhledem k tomu, že je logika skrytá, a proto není přizpůsobitelná, může existovat pouze jedno pravidlo s touto šablonou.
Modul Fusion může také korelovat výstrahy vytvořené podle plánovaných analytických pravidel s upozorněními z jiných systémů a v důsledku toho vytvářet vysoce věrné incidenty.
Důležité
Typ pravidla rozšířené detekce útoků s více fázemi není k dispozici , pokud máte:
- Povolení integrace incidentů XDR v programu Microsoft Defender nebo
- Onboarded Microsoft Sentinel to the unified security operations platform.
V těchto scénářích místo toho XDR v programu Microsoft Defender vytvoří incidenty.
Některé šablony fúzní detekce jsou v současné době ve verzi PREVIEW (viz Rozšířené zjišťování útoků s více fázemi v Microsoft Sentinelu , abyste zjistili, které šablony). Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.
Machine learning (ML) behavior analytics (Analýza chování s využitím strojového učení)
Využijte výhod proprietárních algoritmů strojového učení Od Microsoftu k vygenerování vysoce věrných výstrah a incidentů pomocí pravidel analýzy chování ML. Tato jedinečná pravidla (aktuálně ve verzi Preview) se nedají přizpůsobit, ale pokud je tato možnost povolená, zjistí konkrétní neobvyklé chování přihlášení SSH a RDP na základě informací o IP adrese a geografické poloze a historii uživatelů.
Přístupová oprávnění pro analytická pravidla
Při vytváření analytického pravidla se na pravidlo použije token přístupových oprávnění a uloží se spolu s ním. Tento token zajistí, že pravidlo bude mít přístup k pracovnímu prostoru, který obsahuje data dotazovaná pravidlem, a že tento přístup se zachová i v případě, že autor pravidla ztratí přístup k tomuto pracovnímu prostoru.
Existuje však jedna výjimka pro tento přístup: Když se vytvoří pravidlo pro přístup k pracovním prostorům v jiných předplatných nebo tenantech, jako je například to, co se stane v případě poskytovatele msSP, Microsoft Sentinel přijímá další bezpečnostní opatření, která brání neoprávněnému přístupu k zákaznickým datům. U těchto typů pravidel se přihlašovací údaje uživatele, který pravidlo vytvořil, použijí na pravidlo místo nezávislého přístupového tokenu, takže když už uživatel nemá přístup k jinému předplatnému nebo tenantovi, přestane pravidlo fungovat.
Pokud provozujete Microsoft Sentinel ve scénáři mezi předplatnými nebo mezi tenanty, když některý z analytiků nebo technik ztratí přístup ke konkrétnímu pracovnímu prostoru, přestanou fungovat všechna pravidla vytvořená tímto uživatelem. V této situaci se zobrazí zpráva o monitorování stavu týkající se nedostatečného přístupu k prostředku a pravidlo se po určitém počtu selhání automaticky zakáže .
Export pravidel do šablony ARM
Pravidlo můžete snadno exportovat do šablony Azure Resource Manageru (ARM), pokud chcete spravovat a nasazovat pravidla jako kód. Můžete také importovat pravidla ze souborů šablon, abyste je mohli zobrazit a upravit v uživatelském rozhraní.
Další kroky
Přečtěte si další informace o pravidlech plánované analýzy v Microsoft Sentinelu a rychlé detekci hrozeb pomocí analytických pravidel téměř v reálném čase (NRT) v Microsoft Sentinelu.
Další šablony pravidel najdete v tématu Zjišťování a správa obsahu od verze Microsoft Sentinelu.