Použití odpovídající analýzy k detekci hrozeb

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Využijte výhod analýzy hrozeb vytvořené Microsoftem k vygenerování vysoce věrných výstrah a incidentů pomocí pravidla Analýza hrozeb v programu Microsoft Defender Analytics. Toto integrované pravidlo v Microsoft Sentinelu odpovídá indikátorům s protokoly CEF (Common Event Format), událostmi DNS systému Windows s indikátory hrozeb domén a protokolu IPv4, daty syslogu a dalšími.

Požadavky

Abyste mohli vytvářet vysoce věrná upozornění a incidenty, musíte nainstalovat jeden nebo více podporovaných datových konektorů. Licence premium Analýza hrozeb v programu Microsoft Defender se nevyžaduje. Nainstalujte příslušná řešení z centra obsahu pro připojení těchto zdrojů dat:

• Common Event Format (CEF) prostřednictvím starší verze agenta
• Syslog prostřednictvím starší verze agenta
• Microsoft 365 (dříve Office 365)
• Protokoly aktivit Azure
• Windows DNS přes AMA
• Relace sítě ASIM

V závislosti na zdroji dat můžete například použít následující řešení a datové konektory:

Řešení	Datový konektor
Běžné řešení formátu událostí pro Sentinel	Konektor Common Event Format pro Microsoft Sentinel
Windows Server DNS	Konektor DNS pro Microsoft Sentinel
Řešení Syslog pro Sentinel	Konektor Syslog pro Microsoft Sentinel
Řešení Microsoft 365 pro Sentinel	Konektor Office 365 pro Microsoft Sentinel
Řešení aktivit Azure pro Sentinel	Konektor aktivit Azure pro Microsoft Sentinel

Konfigurace odpovídajícího analytického pravidla

Při povolení pravidla Analýza hrozeb v programu Microsoft Defender Analytics se konfiguruje odpovídající analýza.

1. V části Konfigurace vyberte nabídku Analýza.

2. Vyberte kartu Šablony pravidel.

3. Do vyhledávacího okna zadejte analýzu hrozeb.

4. Vyberte šablonu pravidla Analýza hrozeb v programu Microsoft Defender Analytics.

5. Vyberte Vytvořit pravidlo. Podrobnosti pravidla jsou jen pro čtení a výchozí stav pravidla je povolený.

6. Vyberte Zkontrolovat>vytvoření.

Zdroje dat a indikátory

Analýza hrozeb v programu Microsoft Defender Analytics odpovídá vašim protokolům s indikátory domény, IP adresy a adresy URL následujícími způsoby:

• Protokoly CEF ingestované do tabulky Log Analytics CommonSecurityLog se shodují s adresou URL a indikátory domény, pokud jsou v RequestURL poli vyplněné, a indikátory protokolu IPv4 v DestinationIP poli.
• Události Syslogu, ve kterých Facility == "cron" se ingestované do Syslog tabulky shoduje s indikátory domény a IPv4 přímo z SyslogMessage pole.
• Protokoly aktivit Office ingestované do OfficeActivity tabulky odpovídají indikátory IPv4 přímo z ClientIP pole.
• Protokoly aktivit Azure ingestované do AzureActivity tabulky odpovídají indikátory IPv4 přímo z CallerIpAddress pole.
• Protokoly DNS ASIM ingestované do ASimDnsActivityLogs tabulky odpovídají indikátory domény, pokud jsou v poli vyplněné DnsQuery , a indikátory IPv4 v DnsResponseName poli.
• Relace sítě ASIM přijaté do ASimNetworkSessionLogs tabulky odpovídají indikátory protokolu IPv4, pokud jsou vyplněny v jednom nebo několika následujících polích: DstIpAddr, , DstNatIpAddrSrcNatIpAddr, SrcIpAddr, DvcIpAddr.

Určení priorit incidentu vygenerovaného odpovídajícími analýzami

Pokud analýza Microsoftu najde shodu, všechny vygenerované výstrahy se seskupí do incidentů.

Ke třídění incidentů generovaných pravidlem analýzy Analýza hrozeb v programu Microsoft Defender použijte následující postup:

1. V pracovním prostoru Služby Microsoft Sentinel, ve kterém jste povolili pravidlo analýzy Analýza hrozeb v programu Microsoft Defender, vyberte Incidenty a vyhledejte Analýzu analýzy hrozeb Microsoftu.

   Všechny nalezené incidenty se zobrazí v mřížce.

2. Pokud chcete zobrazit entity a další podrobnosti o incidentu, například konkrétní výstrahy, vyberte Zobrazit úplné podrobnosti .

   Následuje příklad.

   

3. Sledujte závažnost přiřazenou výstrahě a incidentu. V závislosti na tom, jak se ukazatel shoduje, je k upozornění přiřazena příslušná závažnost.InformationalHigh Pokud se například indikátor shoduje s protokoly brány firewall, které provoz povolily, vygeneruje se výstraha s vysokou závažností. Pokud se stejný indikátor shodoval s protokoly brány firewall, které blokovaly provoz, je vygenerovaná výstraha nízká nebo střední.

   Výstrahy se pak seskupí podle pozorovatelného ukazatele. Například všechny výstrahy vygenerované v 24hodinovém časovém období, které odpovídají contoso.com doméně, jsou seskupené do jednoho incidentu se závažností přiřazenou na základě nejvyšší závažnosti výstrahy.

4. Sledujte informace o indikátoru. Když se najde shoda, indikátor se publikuje do tabulky Log Analytics ThreatIntelligenceIndicators a zobrazí se na stránce Analýza hrozeb. Pro všechny indikátory publikované z tohoto pravidla je zdroj definovaný jako Microsoft Threat Intelligence Analytics.

Tady je příklad ThreatIntelligenceIndicators tabulky.

Tady je příklad stránky Analýza hrozeb.

Získání dalšího kontextu z Analýza hrozeb v programu Microsoft Defender

Některé indikátory Analýza hrozeb v programu Microsoft Defender obsahují odkaz na referenční článek na portálu komunity Analýza hrozeb v programu Microsoft Defender spolu s vysoce věrnými výstrahami a incidenty.

Další informace najdete v tématu Co je Analýza hrozeb v programu Microsoft Defender?.

Související obsah

V tomto článku jste zjistili, jak propojit analýzu hrozeb vytvořenou Microsoftem za účelem generování výstrah a incidentů. Další informace o analýze hrozeb v Microsoft Sentinelu najdete v následujících článcích:

• Práce s indikátory hrozeb v Microsoft Sentinelu
• Připojte Microsoft Sentinel k informačním kanálům ANALÝZY hrozeb STIX/TAXII.
• Připojte platformy analýzy hrozeb k Microsoft Sentinelu.
• Podívejte se, které platformy TIP, informační kanály TAXII a rozšiřování je možné snadno integrovat s Microsoft Sentinelem.