Creare una regola di analisi dai modelli
La sezione Analytics in Microsoft Sentinel contiene modelli di regola precaricati dal repository GitHub di Microsoft Sentinel. È possibile usare questi modelli per creare una regola per rilevare le minacce per la sicurezza.
Esplorazione dei modelli di regola esistenti
È possibile usare alcuni dei modelli di regola esistenti per creare una singola regola e altri per creare più regole con opzioni di personalizzazione diverse. I modelli in uso visualizzano l'etichetta IN USO nella pagina del modello, come mostrato nello screenshot seguente.
Se si seleziona una delle regole nella scheda Modelli di regola, è possibile osservare le proprietà della regola. Per ogni regola è possibile esaminare:
Livello di gravità. Indica l'importanza dell'avviso. Sono disponibili quattro livelli di gravità:
- Alto
- Medio
- Basso
- Informazioni
Nome della regola. Indica un nome significativo per la regola di avviso.
Tipo di regola. Definisce il tipo a cui appartiene la regola che può essere uno dei tipi seguenti:
- Anomalia
- Fusion
- Microsoft Security
- Analisi del comportamento basata su ML
- Pianificati
Origine dati. Specifica il connettore dell'origine dati che ha generato l'avviso.
Tattiche. Specifica le metodologie nel modello MITRE ATT&CK usato da diversi tipi di malware.
Nota
MITRE ATT&CK è una knowledge base accessibile a livello globale di tattiche e tecniche antagoniste basate su osservazioni reali. La knowledge base ATT&CK fornisce una base per lo sviluppo di specifici modelli di minaccia e metodologie nel settore privato, nel governo e nella community dei prodotti e dei servizi per la cybersecurity.
Quando si seleziona una regola dall'elenco nella scheda Regole attive o Modelli di regola, nel riquadro dei dettagli vengono fornite altre informazioni per la regola selezionata.
Creazione di una regola analitica da un modello di regola
Quando si seleziona un modello di regola predefinito, nel riquadro dei dettagli possono essere visualizzati filtri utilizzabili per definire il comportamento della regola. Per le regole di analisi del comportamento basata su Machine Learning e le regole Fusion, Microsoft non presenta informazioni modificabili. Tuttavia, per le regole pianificate e Microsoft Security, è possibile visualizzare o modificare la query, i filtri, nonché le inclusioni e le esclusioni usate nel rilevamento delle minacce. Selezionando il pulsante Crea regola è possibile definire la logica della regola di analisi usando una procedura guidata che consente di personalizzare una regola a partire dal modello selezionato.
I modelli di Fusion e di analisi del comportamento basata su Machine Learning possono essere abilitati o disabilitati solo come regole attive.
Una regola creata a partire dal modello di Microsoft Security è costituita dagli elementi seguenti:
Scheda Generale
Nella tabella seguente sono elencati gli input nella scheda Generale.
| Campo | Descrizione |
|---|---|
| Name | Viene prepopolato dal nome del modello di regola. |
| Descrizione | Consente di specificare altre informazioni sulla creazione degli avvisi. |
| Status | Indica se la regola di analisi è attivata o disattivata. |
| Servizio di sicurezza Microsoft | Indica l'origine dell'avviso da uno dei servizi di sicurezza Microsoft. |
| Filtra in base alla gravità | Consente di regolare gli avvisi da un'origine in base al livello di gravità. Se si seleziona Personalizzato, è possibile specificare Alto, Medio, Basso o Informativo. |
| Includi avvisi specifici | Consente di aggiungere una o più parole per includere i risultati degli avvisi che contengono testo specifico nel nome. |
| Escludi avvisi specifici | Consente di aggiungere una o più parole per escludere i risultati degli avvisi che contengono testo specifico nel nome. |
Risposta automatica
Nella scheda Risposta automatizzata è possibile definire le regole di automazione. Se si seleziona Aggiungi nuovo, viene visualizzato il riquadro Crea una nuova regola di automazione. Sono disponibili i campi seguenti:
| Campo | Descrizione |
|---|---|
| Nome della regola di automazione | Scegliere un nome che descriva in modo univoco questa regola di automazione |
| Trigger | Valore predefinito che non può essere modificato. |
| Condizioni | Tipico costrutto di filtro di query che può essere modificato e ordinato. |
| Azioni | Elenco di selezione delle azioni. Selezionare l'azione da eseguire se vengono soddisfatte le condizioni di filtro della query. |
| Scadenza della regola | Data e ora in cui la regola deve essere disabilitata. Il valore predefinito è indefinito. |
| Ordinamento | Se vengono create più regole, selezionare i numeri sequenziali per riordinare le regole di automazione degli eventi imprevisti nel riquadro a sinistra. |
Nota
Quando si implementano i filtri per includere o escludere avvisi specifici in base a una stringa di testo, questi avvisi non vengono visualizzati in Microsoft Sentinel.
Lo screenshot seguente illustra un esempio di creazione di un evento imprevisto da avvisi generati da Microsoft Defender for Cloud.
Per istruzioni su come creare una regola di analisi da un modello di tipo di regola pianificato, vedere Creare una regola di analisi da un modello di regola pianificato nell'unità successiva (Unità 6).
Nota
Per determinati modelli di regola il pulsante Crea regola potrebbe essere disattivato, a indicare che non è possibile creare una regola dal modello selezionato a causa di un'origine dati mancante.