Поделиться через

Использование аналитики сопоставления для обнаружения угроз

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Воспользуйтесь преимуществами аналитики угроз, созданной корпорацией Майкрософт, для создания оповещений с высоким уровнем точности и инцидентов с помощью правила аналитики Аналитика угроз Microsoft Defender. Это встроенное правило в Microsoft Sentinel соответствует индикаторам с журналами common Event Format (CEF), событиями DNS Windows с индикаторами угроз домена и IPv4, данными системного журнала и т. д.

Необходимые компоненты

Для создания оповещений и инцидентов необходимо установить один или несколько поддерживаемых соединителей данных. Лицензия на премиум-Аналитика угроз Microsoft Defender не требуется. Установите соответствующие решения из концентратора контента для подключения этих источников данных:

  • Общий формат событий (CEF) через устаревший агент
  • Windows DNS с помощью устаревшего агента (предварительная версия)
  • Системный журнал с помощью устаревшего агента
  • Microsoft 365 (ранее — Office 365)
  • Журнал действий Azure
  • Windows DNS через AMA
  • Сетевые сеансы ASIM

Снимок экрана, на котором показаны подключения к источнику данных Аналитика угроз Microsoft Defender аналитики.

Например, в зависимости от источника данных можно использовать следующие решения и соединители данных:

Решение Соединитель данных
Решение общего формата событий для Sentinel Соединитель общего формата событий для Microsoft Sentinel
Windows Server DNS Соединитель DNS для Microsoft Sentinel
Решение syslog для Sentinel Соединитель Syslog для Microsoft Sentinel
Решение Microsoft 365 для Sentinel Соединитель Office 365 для Microsoft Sentinel
Решение действий Azure для Sentinel Соединитель действий Azure для Microsoft Sentinel
Брандмауэр Windows События брандмауэра Windows через соединитель AMA

Настройка правила аналитики сопоставления

Сопоставление аналитики настраивается при включении правила Аналитика угроз Microsoft Defender Analytics.

  1. В разделе "Конфигурация" выберите меню "Аналитика".

  2. Перейдите на вкладку "Шаблоны правил".

  3. В окне поиска введите аналитику угроз.

  4. Выберите шаблон правила Аналитика угроз Microsoft Defender Analytics.

  5. Выберите Создать правило. Сведения о правиле доступны только для чтения, а состояние правила по умолчанию включено.

  6. Выберите "Проверить>создание".

Снимок экрана: правило аналитики Аналитика угроз Microsoft Defender включено на вкладке

Источники данных и индикаторы

Аналитика угроз Microsoft Defender Аналитика соответствует журналам с индикаторами домена, IP-адреса и URL-адреса следующими способами:

  • Журналы CEF, входящие в таблицу Log AnalyticsCommonSecurityLog, соответствуют URL-адресу и индикаторам домена, если они заполнены в RequestURL поле, и индикаторами IPv4 в DestinationIP поле.
  • Журналы DNS Windows, где SubType == "LookupQuery" прием в таблицу DnsEvents соответствует индикаторам домена, заполненным в Name поле, и индикаторами IPv4 в IPAddresses поле.
  • События системного журнала, где Facility == "cron" прием в таблицу Syslog соответствует индикаторам домена и IPv4 непосредственно из SyslogMessage поля.
  • Журналы действий Office, полученные в таблицуOfficeActivity, соответствуют индикаторам IPv4 непосредственно из ClientIP поля.
  • Журналы действий Azure, полученные в таблицу AzureActivity , соответствуют индикаторам IPv4 непосредственно из CallerIpAddress поля.
  • Журналы DNS ASIM, принимающиеся в ASimDnsActivityLogs индикаторы домена таблицы, если они заполнены в DnsQuery поле, и индикаторы IPv4 в DnsResponseName поле.
  • Сетевые сеансы ASIM, принимающиеся в ASimNetworkSessionLogs таблицу, соответствуют индикаторам IPv4, если заполнены в одном или нескольких из следующих полей: DstIpAddr, DstNatIpAddr, SrcNatIpAddr, SrcIpAddr. DvcIpAddr

Обработка инцидента, созданного при сопоставлении аналитики

Если аналитика Майкрософт находит совпадение, все созданные оповещения группируются в инциденты.

Выполните следующие действия, чтобы просмотреть инциденты, созданные правилом Аналитика угроз Microsoft Defender Analytics:

  1. В рабочей области Microsoft Sentinel, в которой включено правило аналитики Аналитика угроз Microsoft Defender, выберите "Инциденты" и найдите Аналитика угроз Microsoft Defender Analytics.

    Все инциденты, обнаруженные в сетке.

  2. Выберите Просмотреть полные сведения, чтобы просмотреть сущности и другие сведения об инциденте, например связанные оповещения.

    Рассмотрим пример.

    Снимок экрана: инцидент, созданный при сопоставлении аналитики с областью сведений.

  3. Обратите внимание на серьезность, назначенную оповещениям и инциденту. В зависимости от того, как соответствует индикатор, соответствующая серьезность назначается оповещению отInformational.High Например, если индикатор соответствует журналам брандмауэра, разрешающим трафик, создается оповещение с высоким уровнем серьезности. Если тот же индикатор был сопоставлен с журналами брандмауэра, блокировав трафик, созданное оповещение будет низким или средним.

    Затем оповещения группируются по каждому наблюдаемому признаку индикатора. Например, все оповещения, созданные в 24-часовом периоде, который соответствует contoso.com домену, группируются в один инцидент с серьезностью, назначенной на основе наибольшей серьезности оповещений.

  4. Просмотрите сведения о индикаторе. При обнаружении совпадения индикатор публикуется в таблице Log Analytics ThreatIntelligenceIndicators и отображается на странице аналитики угроз. Для всех индикаторов, опубликованных из этого правила, источник определяется как Microsoft Threat Intelligence Analytics.

Ниже приведен пример ThreatIntelligenceIndicators таблицы.

Снимок экрана: таблица ThreatIntelligenceIndicator с индикатором с помощью SourceSystem microsoft Threat Intelligence Analytics.

Ниже приведен пример поиска индикаторов в интерфейсе управления.

Снимок экрана: обзор аналитики угроз с выбранным индикатором, показывающим источник как Microsoft Threat Intelligence Analytics.

Получение дополнительных контекстов из Аналитика угроз Microsoft Defender

Наряду с оповещениями с высокой точностью и инцидентами некоторые индикаторы Аналитика угроз Microsoft Defender включают ссылку на справочную статью в Intel Explorer.

Снимок экрана: инцидент со ссылкой на Аналитика угроз Microsoft Defender справочную статью.

Дополнительные сведения см. в статье "Поиск и сводка с помощью Intel Explorer".

Связанный контент

В этой статье вы узнали, как подключить аналитику угроз, созданную корпорацией Майкрософт, для создания оповещений и инцидентов. Дополнительные сведения об аналитике угроз в Microsoft Sentinel см. в следующих статьях: