Udostępnij za pośrednictwem

Wykrywanie zagrożeń przy użyciu pasującej analizy

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Skorzystaj z analizy zagrożeń opracowanej przez firmę Microsoft, aby wygenerować alerty i zdarzenia o wysokiej wierności za pomocą reguły analizy zagrożeń w usłudze Microsoft Defender. Ta wbudowana reguła w usłudze Microsoft Sentinel jest zgodna ze wskaźnikami z dziennikami common event format (CEF), zdarzeniami DNS systemu Windows ze wskaźnikami zagrożeń domeny i IPv4, danymi dziennika systemowego i nie tylko.

Ważne

Analiza dopasowywania jest obecnie dostępna w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać więcej warunków prawnych, które dotyczą funkcji platformy Azure w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Wymagania wstępne

Aby tworzyć alerty i zdarzenia o wysokiej wierności, należy zainstalować co najmniej jeden z obsługiwanych łączników danych. Licencja usługi Microsoft Defender Threat Intelligence w warstwie Premium nie jest wymagana. Zainstaluj odpowiednie rozwiązania z centrum zawartości, aby połączyć te źródła danych:

  • Common Event Format (CEF)
  • DNS (wersja zapoznawcza)
  • Dziennik systemu
  • Dzienniki aktywności pakietu Office
  • Dzienniki aktywności platformy Azure
  • Dzienniki DNS karty ASIM
  • Sesje sieciowe usługi ASIM

Zrzut ekranu przedstawiający połączenia źródła danych reguł usługi Microsoft Defender Threat Intelligence Analytics.

Na przykład w zależności od źródła danych można użyć następujących rozwiązań i łączników danych:

Rozwiązanie Łącznik danych
Common Event Format solution for Sentinel Łącznik Common Event Format dla usługi Microsoft Sentinel
Windows Server DNS Łącznik DNS dla usługi Microsoft Sentinel
Rozwiązanie syslog dla usługi Sentinel Łącznik syslog dla usługi Microsoft Sentinel
Rozwiązanie platformy Microsoft 365 dla usługi Sentinel Łącznik usługi Office 365 dla usługi Microsoft Sentinel
Rozwiązanie działania platformy Azure dla usługi Sentinel Łącznik aktywności platformy Azure dla usługi Microsoft Sentinel

Konfigurowanie zgodnej reguły analizy

Dopasowywanie analizy jest konfigurowane podczas włączania reguły analizy zagrożeń w usłudze Microsoft Defender.

  1. W sekcji Konfiguracja wybierz menu Analiza.

  2. Wybierz kartę Szablony reguł.

  3. W oknie wyszukiwania wprowadź analizę zagrożeń.

  4. Wybierz szablon reguły usługi Microsoft Defender Threat Intelligence Analytics.

  5. Wybierz Utwórz regułę. Szczegóły reguły są tylko do odczytu, a domyślny stan reguły jest włączony.

  6. Wybierz pozycję Przejrzyj>pozycję Utwórz.

Zrzut ekranu przedstawiający regułę analizy zagrożeń w usłudze Microsoft Defender włączoną na karcie Aktywne reguły.

Źródła danych i wskaźniki

Usługa Microsoft Defender Threat Intelligence Analytics dopasowuje dzienniki do wskaźników domeny, adresu IP i adresu URL w następujący sposób:

  • Dzienniki CEF pozyskane w tabeli usługi Log Analytics CommonSecurityLog są zgodne ze wskaźnikami adresu URL i domeny, jeśli zostały wypełnione w RequestURL polu, oraz wskaźniki IPv4 w DestinationIP polu.
  • Dzienniki DNS systemu Windows, w których SubType == "LookupQuery" pozyskane do DnsEvents tabeli są zgodne wskaźniki domeny wypełnione w Name polu, a wskaźniki IPv4 w IPAddresses polu.
  • Zdarzenia dziennika systemowego, w których Facility == "cron" pozyskane do Syslog tabeli są zgodne z domeną i wskaźnikami IPv4 bezpośrednio z SyslogMessage pola.
  • Dzienniki aktywności pakietu Office pozyskane do OfficeActivity tabeli są zgodne ze wskaźnikami IPv4 bezpośrednio z ClientIP pola.
  • Dzienniki aktywności platformy Azure pozyskane do AzureActivity tabeli są zgodne ze wskaźnikami IPv4 bezpośrednio z CallerIpAddress pola.
  • Dzienniki DNS karty ASIM pozyskane do tabeli pasują do ASimDnsActivityLogs wskaźników domeny, jeśli zostały wypełnione w DnsQuery polu, a wskaźniki IPv4 w DnsResponseName polu.
  • Sesje sieciowe ASIM pozyskane w ASimNetworkSessionLogs tabeli są zgodne ze wskaźnikami IPv4, jeśli zostały wypełnione w co najmniej jednym z następujących pól: DstIpAddr, , DstNatIpAddrSrcNatIpAddr, SrcIpAddr, DvcIpAddr.

Klasyfikowanie zdarzenia wygenerowanego przez zgodną analizę

Jeśli analiza firmy Microsoft znajdzie dopasowanie, wszystkie wygenerowane alerty są pogrupowane w zdarzenia.

Wykonaj następujące kroki, aby sklasyfikować zdarzenia wygenerowane przez regułę analizy zagrożeń w usłudze Microsoft Defender:

  1. W obszarze roboczym usługi Microsoft Sentinel, w którym włączono regułę Analizy zagrożeń w usłudze Microsoft Defender, wybierz pozycję Incydenty i wyszukaj usługę Microsoft Defender Threat Intelligence Analytics.

    Wszystkie znalezione zdarzenia są wyświetlane w siatce.

  2. Wybierz pozycję Wyświetl pełne szczegóły , aby wyświetlić jednostki i inne szczegóły dotyczące zdarzenia, takie jak określone alerty.

    Oto przykład.

    Zrzut ekranu przedstawiający zdarzenie wygenerowane przez dopasowanie analizy z okienkiem szczegółów.

  3. Obserwuj ważność przypisaną do alertów i zdarzenia. W zależności od dopasowania wskaźnika odpowiednia ważność jest przypisywana do alertu z Informational do .High Jeśli na przykład wskaźnik jest zgodny z dziennikami zapory, które zezwalają na ruch, zostanie wygenerowany alert o wysokiej ważności. Jeśli ten sam wskaźnik został dopasowany do dzienników zapory, które zablokowały ruch, wygenerowany alert jest niski lub średni.

    Alerty są następnie grupowane na podstawie wskaźnika. Na przykład wszystkie alerty generowane w 24-godzinnym okresie, który pasuje contoso.com do domeny, są pogrupowane w pojedyncze zdarzenie z przypisaną ważnością na podstawie najwyższej ważności alertu.

  4. Obserwuj informacje o wskaźniku. Po znalezieniu dopasowania wskaźnik jest publikowany w tabeli usługi Log Analytics ThreatIntelligenceIndicators i pojawia się na stronie Analiza zagrożeń. W przypadku wszystkich wskaźników opublikowanych z tej reguły źródło jest definiowane jako analiza analizy zagrożeń w usłudze Microsoft Defender.

Oto przykład ThreatIntelligenceIndicators tabeli.

Zrzut ekranu przedstawiający tabelę ThreatIntelligenceIndicator z wskaźnikiem SourceSystem usługi Microsoft Threat Intelligence Analytics.

Oto przykład strony Analiza zagrożeń.

Zrzut ekranu przedstawiający przegląd analizy zagrożeń z wybranym wskaźnikiem pokazującym źródło jako usługę Microsoft Threat Intelligence Analytics.

Uzyskiwanie większego kontekstu z usługi Microsoft Defender Threat Intelligence

Oprócz alertów i zdarzeń o wysokiej wierności niektóre wskaźniki analizy zagrożeń w usłudze Microsoft Defender zawierają link do artykułu referencyjnego w portalu społeczności usługi Microsoft Defender Threat Intelligence.

Zrzut ekranu przedstawiający zdarzenie z linkiem do artykułu referencyjnego analizy zagrożeń w usłudze Microsoft Defender.

Aby uzyskać więcej informacji, zobacz Co to jest usługa Microsoft Defender Threat Intelligence?.

Powiązana zawartość

W tym artykule przedstawiono sposób łączenia analizy zagrożeń opracowanych przez firmę Microsoft w celu generowania alertów i zdarzeń. Aby uzyskać więcej informacji na temat analizy zagrożeń w usłudze Microsoft Sentinel, zobacz następujące artykuły: