Mukautettujen tunnistussääntöjen luominen ja hallinta
Koskee seuraavia:
- Microsoft Defender XDR
Mukautetut tunnistussäännöt ovat sääntöjä, joita voit suunnitella ja muokata käyttämällä kehittyneitä metsästyskyselyitä . Näiden sääntöjen avulla voit ennakoivasti seurata erilaisia tapahtumia ja järjestelmän tiloja, mukaan lukien epäillyt murtotoiminnot ja väärin määritetyt päätepisteet. Voit määrittää ne suoritettavaksi säännöllisin väliajoin, jolloin voit luoda ilmoituksia ja suorittaa vastaustoimintoja aina, kun vastaavuuksia löytyy.
Mukautetun tunnistuksen hallinnan vaaditut käyttöoikeudet
Tärkeää
Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.
Jos haluat hallita mukautettuja tunnistuksia, sinulle on määritettävä jokin seuraavista rooleista:
Suojausasetukset (hallitse) – Käyttäjät, joilla on tämä Microsoft Defender XDR käyttöoikeus, voivat hallita suojausasetuksia Microsoft Defender portaalissa.
Suojauksen järjestelmänvalvoja: käyttäjät, joilla on tämä Microsoft Entra rooli, voivat hallita suojausasetuksia Microsoft Defender portaalissa sekä muissa portaaleissa ja palveluissa.
Suojausoperaattori : Käyttäjät, joilla on tämä Microsoft Entra rooli, voivat hallita ilmoituksia ja heillä on yleinen vain luku -käyttöoikeus suojaukseen liittyviin ominaisuuksiin, mukaan lukien kaikki Microsoft Defender portaalin tiedot. Tämä rooli riittää mukautettujen tunnistusten hallintaan vain, jos roolipohjainen käytönvalvonta (RBAC) on poistettu käytöstä Microsoft Defender for Endpoint. Jos RBAC on määritetty, tarvitset myös *Hallitse suojausasetuksia -käyttöoikeuden Defender for Endpointille.
Voit hallita mukautettuja tunnistuksia, jotka koskevat tietyn Microsoft Defender XDR ratkaisujen tietoja, jos sinulla on niihin oikeat käyttöoikeudet. Jos sinulla on esimerkiksi vain Microsoft Defender for Office 365 hallintaoikeudet, voit luoda mukautettuja tunnistuksia taulukoiden avulla, mutta et Identity*
taulukoiden avullaEmail*
.
Samoin koska IdentityLogonEvents
taulukko sisältää sekä Microsoft Defender for Cloud Apps että Defender for Identityn todennustiedot, sinulla on oltava molempien palveluiden käyttöoikeuksien hallinta, jotta voit hallita mukautettuja tunnistuksia, jotka kyselevät mainittua taulukkoa.
Huomautus
Mukautettujen tunnistusten hallinta edellyttää, että suojausoperaattoreilla on oltava suojausasetusten hallintaoikeus Microsoft Defender for Endpoint jos RBAC on käytössä.
Yleinen järjestelmänvalvoja voi hallita vaadittuja käyttöoikeuksia:
Määritä suojauksen järjestelmänvalvojan tai suojausoperaattorin rooli Microsoft 365 -hallintakeskuskohdassa Roolien suojauksen>järjestelmänvalvoja.
Tarkista Microsoft Defender for Endpoint RBAC-asetukset Microsoft Defender XDRkohdassa Asetukset>Käyttöoikeusroolit>. Määritä suojausasetusten hallinnan käyttöoikeus valitsemalla vastaava rooli.
Huomautus
Käyttäjällä on myös oltava tarvittavat käyttöoikeudet laitteisiin, jotka ovat heidän luomassaan tai muokkaamassaan mukautetun tunnistussäännön laitealueella , ennen kuin hän voi jatkaa. Käyttäjä ei voi muokata mukautettua tunnistussääntöä, joka on määritetty suoritettavaksi kaikissa laitteissa, jos samalla käyttäjällä ei ole kaikkien laitteiden käyttöoikeuksia.
Mukautetun tunnistussäännön luominen
1. Valmistele kysely
Siirry Microsoft Defender portaalissa kehittyneeseen metsästykseen ja valitse aiemmin luotu kysely tai luo uusi kysely. Kun käytät uutta kyselyä, suorita kysely virheiden tunnistamiseksi ja mahdollisten tulosten ymmärtämiseksi.
Tärkeää
Jotta palvelu ei palauttaisi liian monta ilmoitusta, kukin sääntö on rajoitettu luomaan vain 100 ilmoitusta aina, kun se suoritetaan. Ennen kuin luot säännön, muokkaa kyselyä, jotta vältät hälytykset normaalista päivittäisestä toiminnasta.
Pakolliset sarakkeet kyselyn tuloksissa
Mukautetun tunnistussäännön luomiseksi kyselyn on palautettava seuraavat sarakkeet:
-
Timestamp
- Käytetään luotujen ilmoitusten aikaleiman määrittämiseen -
ReportId
- Ottaa käyttöön alkuperäisten tietueiden haut - Yksi seuraavista sarakkeista, jotka tunnistavat tietyt laitteet, käyttäjät tai postilaatikot:
DeviceId
DeviceName
RemoteDeviceName
RecipientEmailAddress
-
SenderFromAddress
(kirjekuoren lähettäjän tai Return-Path osoite) -
SenderMailFromAddress
(lähettäjän osoite, jonka sähköpostiasiakas näyttää) RecipientObjectId
AccountObjectId
AccountSid
AccountUpn
InitiatingProcessAccountSid
InitiatingProcessAccountUpn
InitiatingProcessAccountObjectId
Huomautus
Lisäentiteettien tuki lisätään, kun uusia taulukoita lisätään kehittyneeseen metsästysrakenteeseen.
Yksinkertaiset kyselyt, kuten kyselyt, jotka eivät käytä project
tai summarize
-operaattoria tulosten mukauttamiseen tai koostamiseen, palauttavat yleensä nämä yleiset sarakkeet.
On monia tapoja varmistaa, että monimutkaisemmat kyselyt palauttavat nämä sarakkeet. Jos haluat esimerkiksi koostaa ja laskea entiteetin mukaan sarakkeessa, kuten DeviceId
, voit silti palata Timestamp
ja ReportId
saada sen viimeisimmästä tapahtumasta, johon kukin yksilöllinen DeviceId
liittyy .
Tärkeää
Vältä mukautettujen tunnistusten suodatusta sarakkeen Timestamp
avulla. Mukautettujen tunnistusten käyttämät tiedot on esisuodatettu tunnistustiheyden mukaan.
Alla oleva esimerkkikysely laskee niiden yksilöllisten laitteiden määrän (DeviceId
), joissa on virustentorjuntatunnistus, ja käyttää tätä määrää löytääkseen vain laitteet, joissa on yli viisi tunnistusta. Jos haluat palauttaa uusimman Timestamp
ja sitä vastaavan ReportId
arvon, se käyttää -operaattoria summarize
funktion arg_max
kanssa.
DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5
Vihje
Voit parantaa kyselyn suorituskykyä määrittämällä aikasuodattimen, joka vastaa säännön suoritustiheyttä. Koska vähiten usein suoritetaan 24 tunnin välein, viimeisen päivän suodatus kattaa kaikki uudet tiedot.
2. Luo uusi sääntö ja anna ilmoituksen tiedot
Kun kysely on kyselyeditorissa, valitse Luo tunnistussääntö ja määritä seuraavat ilmoituksen tiedot:
- Tunnistamisnimi – Tunnistussäännön nimi. tulee olla yksilöllinen
- Frequency – Kyselyn suorittamisen ja toiminnon suorittamisen aikaväli. Katso lisätietoja sääntöjen tiheysosiosta
- Ilmoituksen otsikko – Otsikko, jossa on säännön käynnistämät ilmoitukset. tulee olla yksilöllinen.
- Vakavuus – Säännön tunnistaman osan tai toiminnan mahdollinen riski.
- Category – Säännön tunnistama uhkaosa tai toiminta.
- MITRE ATT&CK-tekniikoita - Yksi tai useampi hyökkäystekniikka, jonka sääntö tunnistaa MITRE ATT&CK -kehyksessä kuvatulla tavalla. Tämä osio on piilotettu tietyille hälytysluokille, kuten haittaohjelmille, kiristyshaittaohjelmille, epäilyttävälle toiminnalle ja ei-toivotuille ohjelmistoille.
- Description – Lisätietoja komponentista tai toiminnosta, jonka sääntö tunnistaa.
- Suositellut toiminnot – Muut toiminnot, joita vastaajat voivat tehdä vastauksena ilmoituksiin.
Säännön tiheys
Kun tallennat uuden säännön, se suoritetaan ja se tarkistaa vastaavuudet viimeisten 30 päivän tiedoista. Sääntö suoritetaan uudelleen kiintein väliajoin, ja se ottaa käyttöön haun keston valitsemasi tiheyden mukaan:
- 24 tunnin välein – suoritetaan 24 tunnin välein, tarkistetaan viimeisten 30 päivän tiedot.
- 12 tunnin välein – suoritetaan 12 tunnin välein, tarkistetaan viimeisten 48 tunnin tiedot.
- 3 tunnin välein – suoritetaan 3 tunnin välein, tarkistetaan viimeisten 12 tunnin tiedot.
- Joka tunti – suoritetaan tunneittain, tarkistetaan viimeisten 4 tunnin tiedot.
- Jatkuva (NRT) – Suoritetaan jatkuvasti, tarkistetaan tietoja tapahtumista, kun niitä kerätään ja käsitellään lähes reaaliaikaisesti (NRT), katso Jatkuva (NRT) tiheys.
Vihje
Sovita kyselyn aikasuodattimet takaisin haun kestoon. Haun keston ulkopuolella olevat tulokset ohitetaan.
Kun muokkaat sääntöä, se suoritetaan käyttäen käyttöön otettuja muutoksia seuraavalla suoritusajalla määrittämäsi tiheyden mukaisesti. Säännön tiheys perustuu tapahtuman aikaleimaan eikä käsittelyaikaan.
Jatkuva (NRT) tiheys
Kun määrität mukautetun tunnistuksen suoritettavaksi jatkuvalla (NRT) tiheydellä, voit parantaa organisaatiosi kykyä tunnistaa uhkia nopeammin. Jatkuvalla NRT-tiheydellä on hyvin vähän tai ei lainkaan vaikutusta resurssien käyttöön, joten se tulee ottaa huomioon organisaatiosi minkä tahansa pätevän mukautetun tunnistussäännön kohdalla.
Mukautettujen tunnistussääntöjen sivulla voit siirtää mukautettujen tunnistusten säännöt, jotka sopivat jatkuvalle (NRT) tiheydelle yhdellä painikkeella , Siirrä nyt:
Kun valitset Siirrä nyt , saat luettelon kaikista yhteensopivista säännöistä niiden KQL-kyselyn mukaan. Voit siirtää kaikki tai valitut säännöt vain asetusten mukaan:
Kun valitset Tallenna, valittujen sääntöjen tiheys päivittyy jatkuvaksi (NRT) tiheydeksi.
Kyselyt, joita voit suorittaa jatkuvasti
Voit suorittaa kyselyn jatkuvasti niin kauan kuin:
- Kysely viittaa vain yhteen taulukkoon.
- Kyselyssä käytetään operaattoria tuettujen KQL-operaattoreiden luettelosta. Tuetut KQL-ominaisuudet
- Kysely ei käytä liitoksia, yhdistämisia tai operaattoria
externaldata
. - Kysely ei sisällä kommenttiriviä tai -tietoja.
Taulukot, jotka tukevat jatkuvaa (NRT) tiheys
Seuraavissa taulukoissa tuetaan lähes reaaliaikaisia tunnistuksia:
AlertEvidence
CloudAppEvents
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceInfo
DeviceProcessEvents
DeviceRegistryEvents
EmailAttachmentInfo
-
EmailEvents
(paitsiLatestDeliveryLocation
jaLatestDeliveryAction
sarakkeet) EmailPostDeliveryEvents
EmailUrlInfo
IdentityDirectoryEvents
IdentityLogonEvents
IdentityQueryEvents
UrlClickEvents
Huomautus
Vain yleisesti saatavilla olevat sarakkeet voivat tukea jatkuvaa (NRT) tiheys.
3. Valitse entiteetit, joihin vaikutus vaikuttaa
Tunnista kyselyn tuloksissa olevat sarakkeet, joista odotat löytäväsi suurimman entiteetin, johon tämä vaikuttaa tai johon se vaikuttaa. Kysely voi esimerkiksi palauttaa lähettäjän (SenderFromAddress
tai SenderMailFromAddress
) ja vastaanottajan (RecipientEmailAddress
) osoitteet. Sen selvittäminen, mikä näistä sarakkeista edustaa suurinta vaikutuksen kohteena olevaa entiteettiä, auttaa palvelua koostamaan oleellisia hälytyksiä, korreloimaan tapauksia ja kohdevastaustoimintoja.
Voit valita vain yhden sarakkeen kullekin entiteettityypille (postilaatikko, käyttäjä tai laite). Sarakkeita, joita kysely ei palauta, ei voi valita.
4. Määritä toiminnot
Mukautettu tunnistussääntösi voi suorittaa automaattisesti toimintoja laitteissa, tiedostoissa, käyttäjissä tai sähköposteissa, jotka kysely palauttaa.
Toiminnot laitteissa
Näitä toimintoja käytetään laitteissa kyselyn tulosten sarakkeessa DeviceId
:
- Eristä laite : käyttää Microsoft Defender for Endpoint koko verkon eristämiseen estäen laitetta muodostamasta yhteyttä mihinkään sovellukseen tai palveluun. Lue lisätietoja Microsoft Defender for Endpoint eristämisestä.
- Kerää tutkimuspakettia – kerää laitetietoja ZIP-tiedostoon. Lue lisätietoja Microsoft Defender for Endpoint tutkimuspaketista.
- Suorita virustentorjuntatarkistus : suorittaa täydellisen Microsoft Defender virustentorjuntatarkistuksen laitteessa.
- Aloita tutkimus – Aloittaa laitteen automatisoidun tutkimuksen .
- Rajoita sovelluksen suoritusta – Asettaa laitteelle rajoituksia, jotta vain Microsoftin myöntämällä varmenteella allekirjoitetut tiedostot voidaan suorittaa. Lue lisää sovellusrajoituksista Microsoft Defender for Endpoint.
Tiedostojen toiminnot
Kun tämä on valittuna, Tiedostossa voidaan käyttää Salli/Estä-toimintoa . Tiedostojen estäminen sallitaan vain, jos sinulla on tiedostojen korjausoikeudet ja jos kyselyn tulokset ovat tunnistaneet tiedostotunnuksen, kuten SHA1:n. Kun tiedosto on estetty, myös muut saman tiedoston esiintymät kaikissa laitteissa estetään. Voit hallita, missä laiteryhmässä estoa käytetään, mutta et tiettyjä laitteita.
Kun tämä on valittuna, karanteenitiedostotoimintoa voidaan käyttää kyselytulosten -,
InitiatingProcessSHA1
-SHA256
taiInitiatingProcessSHA256
-sarakkeen tiedostoihinSHA1
. Tämä toiminto poistaa tiedoston sen nykyisestä sijainnista ja asettaa kopion karanteeniin.
Käyttäjien toiminnot
Kun tämä valitaan, merkitse käyttäjä vaarantuneeksi toiminnoksi tehdään kyselytulosten -,
InitiatingProcessAccountObjectId
- taiRecipientObjectId
-sarakkeen käyttäjilleAccountObjectId
. Tämä toiminto määrittää käyttäjien riskitasoksi "suuren" Microsoft Entra ID ja käynnistää vastaavat käyttäjätietojen suojauskäytännöt.Jos haluat estää käyttäjää kirjautumasta sisään tilapäisesti, valitse Poista käyttäjä käytöstä.
Valitse Pakota salasanan vaihtaminen , jos haluat pyytää käyttäjää vaihtamaan salasanansa seuraavan kirjautumisistunnon yhteydessä.
- ja
Force password reset
-Disable user
asetukset edellyttävät käyttäjän SID-tunnusta, joka on sarakkeissaAccountSid
, ,RequestAccountSid
InitiatingProcessAccountSid
jaOnPremSid
.
Lisätietoja käyttäjän toiminnoista on artikkelissa Microsoft Defender for Identity korjaustoiminnot.
Sähköpostiviestien toiminnot
Jos mukautettu tunnistus tuottaa sähköpostiviestejä, voit valita Siirrä postilaatikkokansioon siirtääksesi sähköpostiviestin valittuun kansioon (mikä tahansa Roskaposti-, Saapuneet- tai Poistetut-kansio ). Tarkemmin sanottuna voit siirtää sähköpostituloksia karanteeniin asetetuista kohteista (esimerkiksi false-positiivisten tapauksessa) valitsemalla Saapuneet-vaihtoehdon .
Vaihtoehtoisesti voit valita Poista sähköposti ja sitten joko siirtää sähköpostiviestit poistettuihin kohteisiin (pehmeä poisto) tai poistaa valitut sähköpostiviestit pysyvästi (Kova poisto).
Sarakkeet NetworkMessageId
ja RecipientEmailAddress
on oltava mukana kyselyn tulostuloksissa, jotta toimintoja voidaan käyttää sähköpostiviesteissä.
5. Määritä säännön laajuus
Määritä vaikutusalue, joka määrittää, mitkä laitteet kuuluvat säännön piiriin. Vaikutusalue vaikuttaa sääntöihin, jotka tarkistavat laitteita, eivätkä ne vaikuta sääntöihin, jotka tarkistavat vain postilaatikot ja käyttäjätilit tai käyttäjätiedot.
Kun määrität käyttöaluetta, voit valita:
- Kaikki laitteet
- Tietyt laiteryhmät
Kysely tehdään vain alueen laitteista peräisin olevia tietoja varten. Lisäksi toimintoja suoritetaan vain kyseisissä laitteissa.
Huomautus
Käyttäjät voivat luoda tai muokata mukautettua tunnistussääntöä vain, jos heillä on vastaavat oikeudet sääntöön sisältyviin laitteisiin. Esimerkiksi järjestelmänvalvojat voivat luoda tai muokata sääntöjä, jotka on kohdistettu kaikkiin laiteryhmiin, jos heillä on kaikkien laiteryhmien käyttöoikeudet.
6. Tarkista sääntö ja ota se käyttöön
Kun olet tarkistanut säännön, tallenna se valitsemalla Luo . Mukautettu tunnistussääntö suoritetaan heti. Se suoritetaan uudelleen määritetyn tiheyden perusteella vastaavuuksien tarkistamista varten, ilmoitusten luomiseksi ja vastaustoimintojen suorittamista varten.
Tärkeää
Mukautettujen tunnistusten tehokkuus ja tehokkuus on tarkistettava säännöllisesti. Jos haluat varmistaa, että luot tunnistuksia, jotka käynnistävät todellisia ilmoituksia, tarkastele olemassa olevia mukautettuja tunnistuksiasi noudattamalla kohdan Olemassa olevien mukautettujen tunnistussääntöjen hallinta ohjeita.
Hallitset mukautettujen tunnistusten laajuutta tai spesifisyyttä, joten mukautettujen tunnistusten luomat epätosiilmoitukset saattavat merkitä tarvetta muokata sääntöjen tiettyjä parametreja.
Aiemmin luotujen mukautettujen tunnistussääntöjen hallinta
Voit tarkastella olemassa olevien mukautettujen tunnistussääntöjen luetteloa, tarkistaa niiden aiemmat suoritukset ja tarkastella käynnistettyjä ilmoituksia. Voit myös suorittaa säännön pyydettäessä ja muokata sitä.
Vihje
Mukautettujen tunnistusten antamat hälytykset ovat käytettävissä hälytysten ja tapausten ohjelmointirajapintojen kautta. Lisätietoja on kohdassa Tuetut Microsoft Defender XDR-ohjelmointirajapinnat.
Näytä aiemmin luodut säännöt
Jos haluat tarkastella kaikkia aiemmin luotuja mukautetun tunnistuksen sääntöjä, siirry kohtaanMukautettujen tunnistussääntöjen metsästys>. Sivulla on luettelo kaikista säännöistä, jotka liittyvät seuraaviin suoritustietoihin:
- Viimeisin suoritus : kun sääntö suoritettiin viimeksi kyselyvastaavuuksien tarkistamiseksi ja ilmoitusten luomiseksi
- Edellisen suorituksen tila – Onnistuiko sääntö
- Seuraava suoritus - Seuraava ajoitettu suoritus
- Status – Onko sääntö otettu käyttöön vai poistettu käytöstä
Näytä säännön tiedot, muokkaa sääntöä ja suorita sääntö
Jos haluat tarkastella mukautetun tunnistussäännön kattavia tietoja, siirry kohtaanMukautettujen tunnistussääntöjenmetsästys> ja valitse sitten säännön nimi. Voit sitten tarkastella säännön yleisiä tietoja, kuten tietoja, suoritustilaa ja käyttöaluetta. Sivulla on myös luettelo käynnistettyjen ilmoitusten ja toimintojen luettelosta.
Voit myös tehdä säännölle seuraavat toiminnot tältä sivulta:
- Suorita – Suorita sääntö heti. Tämä palauttaa myös seuraavan suorituksen aikavälin.
- Muokkaa – Muokkaa sääntöä muuttamatta kyselyä.
- Muokkaa kyselyä – Muokkaa kyselyä kehittyneessä metsästyksessä.
- Sytyttää / Poista käytöstä – Ota sääntö käyttöön tai estä sen suorittaminen.
- Poista - Poista sääntö käytöstä ja poista se.
Näytä ja hallitse käynnistettyjä ilmoituksia
Siirry säännön tiedot -näytössä (Metsästys>Mukautetut tunnistuksia>[Säännön nimi]) kohtaan Käynnistetyt hälytykset, jossa luetellaan säännön vastaavuuksien luomat hälytykset. Valitse ilmoitus, jos haluat tarkastella sen yksityiskohtaisia tietoja ja suorittaa seuraavat toimet:
- Hallitse ilmoitusta määrittämällä sen tila ja luokitus (tosi- tai epätosi-ilmoitus)
- Ilmoituksen linkittäminen tapahtumaan
- Suorita kysely, joka käynnisti hälytyksen kehittyneestä metsästyksestä
Tarkista toiminnot
Siirry säännön tiedot -näytössä (Mukautettujen tunnistusten metsästys>[Säännön nimi]) kohtaan Käynnistetut> toiminnot, jossa luetellaan tehdyt toiminnot säännön vastaavuuksien perusteella.
Vihje
Jos haluat tarkastella nopeasti taulukon kohteen tietoja ja ryhtyä toimiin, käytä taulukon vasemmalla puolella olevaa valintasaraketta [...]].
Huomautus
Jotkin tämän artikkelin sarakkeet eivät ehkä ole käytettävissä Microsoft Defender for Endpoint. Ota Microsoft Defender XDR käyttöön uhkien etsimiseksi käyttämällä enemmän tietolähteitä. Voit siirtää kehittyneet metsästystyönkulut Microsoft Defender for Endpoint Microsoft Defender XDR noudattamalla kohdassa Kehittyneiden metsästyskyselyjen siirtäminen Microsoft Defender for Endpoint ohjeita.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Mukautettujen havaintojen yleiskatsaus
- Tarkennetun etsinnän yleiskatsaus
- Opi kehittynyt metsästyskyselykieli
- Kehittyneiden metsästyskyselyiden siirtäminen Microsoft Defender for Endpoint
- Microsoft Graph -suojauksen ohjelmointirajapinta mukautetuille tunnistuksille
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.