Passaggio 3. Inserire origini dati e configurare il rilevamento degli eventi imprevisti in Microsoft Sentinel

Dopo aver completato la progettazione e l'implementazione delle aree di lavoro di Microsoft Sentinel, passare all'inserimento di origini dati e configurare il rilevamento degli eventi imprevisti.

Le soluzioni in Microsoft Sentinel offrono un modo consolidato per acquisire contenuto di Microsoft Sentinel, ad esempio connettori dati, cartelle di lavoro, analisi e automazione, nell'area di lavoro con un unico passaggio di distribuzione.

I connettori dati sono configurati per abilitare l'inserimento dati nell'area di lavoro. Dopo aver abilitato i punti dati chiave da inserire in Microsoft Sentinel, è necessario abilitare l'analisi del comportamento degli utenti e delle entità (UEBA) e le regole analitiche per acquisire attività anomale e dannose. Le regole analitiche determinano il modo in cui vengono generati avvisi e eventi imprevisti nell'istanza di Microsoft Sentinel. Personalizzare le regole analitiche in base alle esigenze dell'ambiente e dell'organizzazione tramite il mapping delle entità consente di produrre eventi imprevisti ad alta fedeltà e ridurre l'affaticamento degli avvisi.

Se è stata eseguita l'onboarding dell'area di lavoro nella piattaforma unificata per le operazioni di sicurezza, le procedure descritte in questo passaggio sono disponibili sia nei portali di Azure che in Defender.

Operazioni preliminari

Verificare il metodo di installazione, i ruoli necessari e le licenze necessarie per attivare i connettori dati. Per altre informazioni, vedere Trovare il connettore dati di Microsoft Sentinel.

La tabella seguente è un riepilogo dei prerequisiti necessari per inserire i connettori dati chiave di Microsoft Sentinel per Azure e servizi Microsoft:

Tipo di risorsa Modalità di installazione Ruolo/Autorizzazioni/Licenze necessarie
Microsoft Entra ID Connettore di dati nativi Amministratore della sicurezza

I log di accesso richiedono la licenza P1 o P2 di Microsoft Entra ID
Altri log non richiedono P1 o P2
Microsoft Entra ID Protection Connettore dati nativo Amministratore della sicurezza

Licenza: Microsoft Entra ID P2
Attività di Azure Criteri di Azure Ruolo proprietario obbligatorio per le sottoscrizioni
Microsoft Defender XDR Connettore dati nativo Amministratore della sicurezza

Licenza: Microsoft 365 E5, Microsoft 365 A5 o qualsiasi altra licenza idonea di Microsoft Defender XDR
Microsoft Defender per il cloud Connettore dati nativo Ruolo con autorizzazioni di lettura per la sicurezza

Per abilitare la sincronizzazione bidirezionale, è necessario il ruolo Collaboratore/Amministratore della sicurezza nella sottoscrizione.
Microsoft Defender per identità Connettore dati nativo Amministratore della sicurezza

Licenza: Microsoft Defender per identità
Microsoft Defender per Office 365 Connettore dati nativo Amministratore della sicurezza

Licenza: Microsoft Defender per Office 365 piano 2
Microsoft 365 Connettore dati nativo Amministratore della sicurezza
Microsoft Defender per IoT Collaboratore alla sottoscrizione con hub IoT
Microsoft Defender for Cloud Apps Connettore dati nativo Amministratore della sicurezza

Licenza: app Microsoft Defender per il cloud
Microsoft Defender per endpoint Connettore dati nativo Amministratore della sicurezza

Licenza: Microsoft Defender per endpoint
eventi Sicurezza di Windows

tramite l'agente di Monitoraggio di Azure
Connettore dati nativo con agente Lettura/scrittura nell'area di lavoro Log Analytics
Syslog Connettore dati nativo con agente Area di lavoro Log Analytics di lettura/scrittura

Passaggio 1: Installare soluzioni e attivare i connettori dati

Usare i consigli seguenti per iniziare a installare soluzioni e configurare i connettori dati. Per altre informazioni, vedi:

Configurare origini dati gratuite

Per iniziare, concentrarsi sulla configurazione di origini dati gratuite da inserire, tra cui:

  • Log attività di Azure: l'inserimento dei log attività di Azure è fondamentale per consentire a Microsoft Sentinel di offrire una visualizzazione a riquadro singolo nell'ambiente.

  • Log di controllo di Office 365, incluse tutte le attività di SharePoint, l'attività di amministrazione di Exchange e Teams.

  • Avvisi di sicurezza, inclusi gli avvisi provenienti da Microsoft Defender per il cloud, Microsoft Defender XDR, Microsoft Defender per Office 365, Microsoft Defender per identità e Microsoft Defender per endpoint.

    Se non è stato eseguito l'onboarding dell'area di lavoro nella piattaforma unificata per le operazioni di sicurezza e si sta lavorando nel portale di Azure, l'inserimento di avvisi di sicurezza in Microsoft Sentinel consente al portale di Azure di essere il riquadro centrale della gestione degli eventi imprevisti nell'ambiente. In questi casi, l'indagine sugli eventi imprevisti viene avviata in Microsoft Sentinel e deve continuare nel portale di Microsoft Defender o Defender per il cloud, se è necessaria un'analisi più approfondita.

    Per altre informazioni, vedere Eventi imprevisti XDR di Microsoft Defender e regole di creazione di eventi imprevisti Microsoft.

  • Microsoft Defender per il cloud avvisi delle app.

Per altre informazioni, vedere Prezzi di Microsoft Sentinel e Origini dati gratuite.

Configurare le origini dati a pagamento

Per fornire una copertura più ampia di monitoraggio e avvisi, concentrarsi sull'aggiunta di Microsoft Entra ID e connettori dati XDR di Microsoft Defender. È previsto un addebito per l'inserimento di dati da queste origini.

Assicurarsi di inviare i log XDR di Microsoft Defender a Microsoft Sentinel se sono necessari gli elementi seguenti:

  • Onboarding nella piattaforma unificata per le operazioni di sicurezza, che offre un unico portale per la gestione degli eventi imprevisti in Microsoft Defender.
  • Avvisi fusion di Microsoft Sentinel, che correlano origini dati da più prodotti per rilevare attacchi a più fasi nell'ambiente.
  • Conservazione più lunga rispetto a quella offerta in Microsoft Defender XDR.
  • Automazione non coperta dalle correzioni predefinite offerte da Microsoft Defender per endpoint.

Per altre informazioni, vedi:

Configurare le origini dati in base all'ambiente

Questa sezione descrive le origini dati che è possibile usare, a seconda dei servizi e dei metodi di distribuzione usati nell'ambiente.

Scenario Origini dati
Servizi di Azure Se uno dei servizi seguenti viene distribuito in Azure, usare i connettori seguenti per inviare i log di diagnostica di queste risorse a Microsoft Sentinel:

- Firewall di Azure
- Gateway applicazione di Azure
- Insieme di credenziali delle chiavi
- Servizio Azure Kubernetes
- Azure SQL
- Gruppi di sicurezza di rete
- Server Azure-Arc

È consigliabile configurare Criteri di Azure per richiedere che i log vengano inoltrati all'area di lavoro Log Analytics sottostante. Per altre informazioni, vedere Creare impostazioni di diagnostica su larga scala usando Criteri di Azure.
Macchine virtuali Per le macchine virtuali ospitate in locale o in altri cloud che richiedono la raccolta dei log, usare i connettori dati seguenti:

- eventi Sicurezza di Windows con AMA
- Eventi tramite Defender per endpoint (per server)
- Syslog
Appliance virtuali di rete/origini locali Per le appliance virtuali di rete o altre origini locali che generano log CEF (Common Event Format) o SYSLOG, usare i connettori dati seguenti:

- Syslog tramite AMA
- Common Event Format (CEF) tramite AMA

Per altre informazioni, vedere Inserire messaggi Syslog e CEF in Microsoft Sentinel con l'agente di Monitoraggio di Azure.

Al termine, cercare nell'hub del contenuto di Microsoft Sentinel altri dispositivi e app SaaS (Software as a Service) che richiedono l'invio dei log a Microsoft Sentinel.

Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.

Passaggio 2: Abilitare l'analisi del comportamento dell'entità utente

Dopo aver configurato i connettori dati in Microsoft Sentinel, assicurarsi di abilitare l'analisi del comportamento dell'entità utente per identificare comportamenti sospetti che potrebbero causare exploit di phishing e infine attacchi come ransomware. Spesso, il rilevamento anomalie tramite UEBA è il metodo migliore per rilevare gli exploit zero-day nelle prime fasi.

L'uso di UEBA consente a Microsoft Sentinel di creare profili comportamentali delle entità dell'organizzazione nel tempo e nel gruppo di peer per identificare le attività anomale. L'aggiunta di strumenti di utilità in una spedizione di determinare se un asset è stato compromesso. Poiché identifica l'associazione di gruppi peer, questo può anche aiutare a determinare il raggio di esplosione di tale compromissione.

Per altre informazioni, vedere Identificare le minacce con l'analisi del comportamento delle entità

Passaggio 3: Abilitare le regole analitiche

I cervelli di Microsoft Sentinel provengono dalle regole analitiche. Si tratta di regole impostate per indicare a Microsoft Sentinel di inviare avvisi agli eventi con un set di condizioni che si ritiene importanti. Le decisioni predefinite prese da Microsoft Sentinel si basano sull'analisi del comportamento delle entità utente (UEBA) e sulle correlazioni dei dati tra più origini dati.

Quando si attivano le regole di analisi per Microsoft Sentinel, assegnare priorità all'abilitazione tramite origini dati connesse, rischi aziendali e tattiche MITRE.

Evitare eventi imprevisti duplicati

Se è stato abilitato il connettore Microsoft Defender XDR, viene stabilita automaticamente una sincronizzazione bidirezionale tra gli eventi imprevisti di 365 Defender e Microsoft Sentinel.

Per evitare di creare eventi imprevisti duplicati per gli stessi avvisi, è consigliabile disattivare tutte le regole di creazione degli eventi imprevisti Microsoft per i prodotti integrati in Microsoft Defender XDR, tra cui Defender per endpoint, Defender per identità, Defender per Office 365, app Defender per il cloud e Microsoft Entra ID Protection.

Per altre informazioni, vedere Eventi imprevisti XDR di Microsoft Defender e regole di creazione di eventi imprevisti Microsoft.

Usare gli avvisi fusion

Per impostazione predefinita, Microsoft Sentinel abilita la regola di analisi del rilevamento avanzato degli attacchi a più fasi Fusion per identificare automaticamente gli attacchi a più fasi.

Usando un comportamento anomalo e eventi di attività sospette osservati nella catena di attacco informatico, Microsoft Sentinel genera eventi imprevisti che consentono di visualizzare gli eventi di compromissione con due o più attività di avviso in esso con un elevato grado di attendibilità.

La tecnologia di avviso Fusion mette in correlazione grandi punti di segnali di dati con l'analisi di Machine Learning (ML) estesa per determinare minacce note, sconosciute ed emergenti. Ad esempio, il rilevamento fusion può accettare i modelli di regola anomalie e le query pianificate create per lo scenario Ransomware e associarle agli avvisi dei servizi di Microsoft Security Suite, ad esempio:

  • Microsoft Entra ID
  • Microsoft Defender for Cloud
  • Microsoft Defender per IoT
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender per identità
  • Microsoft Defender per Office 365

Usare le regole di anomalia

Le regole di anomalia di Microsoft Sentinel sono disponibili per impostazione predefinita e abilitate per impostazione predefinita. Le regole di anomalia si basano su modelli di Machine Learning e UEBA che eseguono il training sui dati nell'area di lavoro per contrassegnare il comportamento anomalo tra utenti, host e altri.

Spesso, un attacco di phishing porta a un passaggio di esecuzione, ad esempio la manipolazione o il controllo dell'account cloud o l'esecuzione di script dannosi. Le regole di anomalia si applicano esattamente a questi tipi di attività, ad esempio:

Esaminare le regole di anomalia e la soglia del punteggio anomalie per ognuno di essi. Se ad esempio si osservano falsi positivi, è consigliabile duplicare la regola e modificare la soglia seguendo i passaggi descritti in Ottimizzare le regole di anomalia.

Usare la regola di analisi di Microsoft Threat Intelligence

Dopo aver esaminato e modificato le regole di fusione e anomalie, abilitare la regola predefinita per l'analisi di Intelligence sulle minacce Microsoft. Verificare che questa regola corrisponda ai dati di log con l'intelligence sulle minacce generata da Microsoft. Microsoft dispone di un vasto repository di dati di intelligence sulle minacce e questa regola analitica usa un sottoinsieme per generare avvisi e eventi imprevisti ad alta fedeltà per i team SOC (security operations center) per valutare.

Condurre un crosswalk MITRE Att&ck

Con la fusione, l'anomalia e le regole analitiche di intelligence sulle minacce abilitate, condurre un crosswalk MITRE Att&ck per decidere quali regole analitiche rimanenti abilitare e completare l'implementazione di un processo XDR avanzato (rilevamento esteso e risposta). In questo modo è possibile rilevare e rispondere durante tutto il ciclo di vita di un attacco.

Il dipartimento di ricerca MITRE Att&ck ha creato il metodo MITRE e viene fornito come parte di Microsoft Sentinel per semplificare l'implementazione. Assicurarsi di avere regole analitiche che estendono la lunghezza e l'ampiezza dell'approccio ai vettori di attacco.

  1. Esaminare le tecniche MITRE coperte dalle regole di analisi attive esistenti.

  2. Selezionare "Modelli di regole analitiche" e "Regole anomalie" nell'elenco a discesa Simulato . Questo ti mostra dove hai la tattica antagonista e/o tecnica coperta e dove sono disponibili regole analitiche che dovresti prendere in considerazione per migliorare la copertura.

    Ad esempio, per rilevare potenziali attacchi di phishing, esaminare i modelli di regole analitiche per la tecnica di phishing e classificare in ordine di priorità l'abilitazione delle regole che eseguono query specifiche sulle origini dati di cui è stato eseguito l'onboarding in Microsoft Sentinel.

    In generale, ci sono cinque fasi per un attacco ransomware gestito dall'utente e phishing rientra in Accesso iniziale, come illustrato nelle immagini seguenti:

  3. Continuare con i passaggi rimanenti per coprire l'intera kill chain con regole analitiche appropriate:

    1. Accesso iniziale
    2. Furto di credenziali
    3. Spostamento laterale
    4. Persistenza
    5. Evasione delle difese
    6. Esfiltrazione (questo è dove viene rilevato ransomware stesso)

Il contenuto di training non copre attualmente la piattaforma unificata per le operazioni di sicurezza.

Connettere i dati a Microsoft Sentinel usando i connettori dati

Formazione Connettere i dati a Microsoft Sentinel usando i connettori dati
L'approccio principale per connettere i dati di log consiste nell'usare i connettori dati forniti da Microsoft Sentinel. Questo modulo fornisce una panoramica dei connettori dati disponibili.

Connettere i log a Microsoft Sentinel

Formazione Connettere i log a Microsoft Sentinel
Connettere i dati su scala cloud per tutti gli utenti, i dispositivi, le applicazioni e l'infrastruttura, in locale e su più cloud a Microsoft Sentinel.

Identificare le minacce con l'analisi del comportamento

Formazione Identificare le minacce con l'analisi comportamentale
L'approccio principale per connettere i dati di log consiste nell'usare i connettori dati forniti da Microsoft Sentinel. Questo modulo fornisce una panoramica dei connettori dati disponibili.

Passaggi successivi

Continuare con il passaggio 4 per rispondere a un evento imprevisto.

Immagine dei passaggi della soluzione Microsoft Sentinel e XDR con il passaggio 4 evidenziato