Руководство по обнаружению угроз с помощью правил аналитики в Microsoft Sentinel

В качестве службы управления сведениями и событиями безопасности (SIEM) Microsoft Sentinel отвечает за обнаружение угроз безопасности для вашей организации. Это делается путем анализа больших объемов данных, созданных всеми журналами систем.

В этом руководстве вы узнаете, как настроить правило аналитики Microsoft Sentinel из шаблона для поиска эксплойтов уязвимости Apache Log4j в вашей среде. Правило будет обрамляло учетные записи пользователей и IP-адреса, найденные в журналах как отслеживаемые сущности, заметные фрагменты информации в оповещениях, созданных правилами, и оповещения пакетов в качестве инцидентов для расследования.

По завершении работы с этим руководством вы сможете:

• Создание правила аналитики из шаблона
• Настройка запроса и параметров правила
• Настройка трех типов обогащения оповещений
• выбор автоматизированных ответов на угрозы для ваших правил;

Необходимые компоненты

В рамках этого руководства вам потребуются:

• Подписка Azure. Создайте бесплатную учетную запись, если у вас еще нет учетной записи .

• Рабочая область Log Analytics с решением Microsoft Sentinel, развернутой на нем, и данные, которые принимаются в него.

• Пользователь Azure с ролью участника Microsoft Sentinel, назначенной в рабочей области Log Analytics, в которой развертывается Microsoft Sentinel.

• Следующие источники данных ссылаются в этом правиле. Чем больше из них развернуты соединители, тем эффективнее будет правило. У вас должен быть хотя бы один.

  Источник данных	Ссылки на таблицы Log Analytics
  Office 365	OfficeActivity (SharePoint) OfficeActivity (Exchange) OfficeActivity (Teams)
  DNS	DnsEvents
  Azure Monitor (VM Insights)	VMConnection
  Cisco ASA	CommonSecurityLog (Cisco)
  Palo Alto Networks (брандмауэр)	CommonSecurityLog (PaloAlto)
  События безопасности	SecurityEvents
  Microsoft Entra ID	SigninLogs AADNonInteractiveUserSignInLogs
  Azure Monitor (WireData)	Данные передачи
  Azure Monitor (IIS)	W3CIISLog
  Действия Azure	AzureActivity
  Amazon Web Services	AWSCloudTrail
  Microsoft Defender XDR	DeviceNetworkEvents
  Брандмауэр Azure	AzureDiagnostics (Брандмауэр Azure)

Войдите в портал Azure и Microsoft Sentinel

1. Войдите на портал Azure.

2. На панели поиска найдите и выберите Microsoft Sentinel.

3. Найдите и выберите рабочую область из списка доступных рабочих областей Microsoft Sentinel.

Установка решения из концентратора содержимого

1. В Microsoft Sentinel в левом меню в разделе "Управление содержимым" выберите центр контента.

2. Найдите и выберите решение Log4j Об обнаружении уязвимостей.

3. На панели инструментов в верхней части страницы выберите "Установить или обновить".

Создание правила запланированной аналитики на основе шаблона

1. В Microsoft Sentinel в левом меню в разделе "Конфигурация" выберите "Аналитика".

2. На странице "Аналитика" выберите вкладку "Шаблоны правил".

3. В поле поиска в верхней части списка шаблонов правил введите log4j.

4. В отфильтрованном списке шаблонов выберите уязвимость Log4j, используя IP-адрес IOC Log4Shell. В области сведений выберите "Создать правило".

   

   Откроется Мастер правил аналитики.

5. На вкладке "Общие " в поле "Имя" введите уязвимость Log4j с использованием IP-адреса IOC Log4Shell — Учебник-1.

6. Оставьте остальные поля на этой странице так, как они есть. Это значения по умолчанию, но мы добавим настройку в имя оповещения на более позднем этапе.

   Если вы не хотите, чтобы правило выполнялось немедленно, выберите "Отключено", а правило будет добавлено на вкладку "Активные правила " и вы можете включить его оттуда, когда это необходимо.

7. Нажмите кнопку "Далее". Задайте логику правила.

Проверка логики запроса правила и настройки параметров

• На вкладке "Задать логику правила" просмотрите запрос, как он отображается в заголовке запроса правила.

  Чтобы просмотреть больше текста запроса в один раз, выберите значок диагонали двойной стрелки в правом верхнем углу окна запроса, чтобы развернуть окно до большего размера.

  

  Дополнительные сведения о KQL см. в обзоре язык запросов Kusto (KQL).

  Другие ресурсы:

  • Краткий справочник по KQL
  • язык запросов Kusto учебные ресурсы

Обогащение оповещений с помощью сущностей и других сведений

1. В разделе "Обогащение оповещений" сохраните параметры сопоставления сущностей по мере их создания. Обратите внимание на три сопоставленные сущности.

   

2. В разделе "Пользовательские сведения" давайте добавим метку времени каждого вхождения в оповещение, чтобы ее можно было увидеть прямо в сведениях о оповещении без необходимости детализации.

   1. Введите метку времени в поле "Ключ ". Это будет имя свойства в оповещении.
   2. Выберите метку времени в раскрывающемся списке "Значение ".

3. В разделе "Сведения об оповещении" давайте настроим имя оповещения таким образом, чтобы метка времени каждого вхождения отображалась в заголовке оповещения.

   В поле "Формат имени оповещения" введите уязвимость Log4j, используя IP-адрес IOC Log4Shell в {{timestamp}}.

   

Просмотр оставшихся параметров

1. Просмотрите оставшиеся параметры на вкладке логики задания правила. Нет необходимости изменять ничего, хотя вы можете, если вы хотите изменить интервал, например. Просто убедитесь, что период обратного просмотра соответствует интервалу для поддержания непрерывного покрытия.

   • Планирование запросов:

     • Выполнение запроса каждые 1 час.
     • Данные подстановки за последние 1 час.

   • Пороговое значение генерации оповещени

     • Создайте оповещение, если число результатов запроса больше 0.

   • Группирование событий:

     • Настройка группирования результатов запроса правил в оповещения: группирование всех событий в одно оповещение.

   • Подавление:

     • Остановите выполнение запроса после создания оповещения: выкл.

   

2. Нажмите кнопку "Далее" — параметры инцидента.

Просмотр параметров создания инцидента

1. Просмотрите параметры на вкладке "Параметры инцидента". Если, например, у вас нет другой системы для создания инцидентов и управления ими, в этом случае вы хотите отключить создание инцидентов.

   • Параметры инцидента:

     • Создайте инциденты из оповещений, активированных этим правилом аналитики: включено.

   • Группирование оповещений:

     • Группируйте связанные оповещения, активированные этим правилом аналитики, в инциденты: отключены.

   

2. Нажмите кнопку Далее: автоматический ответ.

Установка автоматических ответов и создание правила

На вкладке "Автоматический ответ" :

1. Нажмите кнопку +Добавить новую , чтобы создать новое правило автоматизации для этого правила аналитики. Откроется мастер создания правила автоматизации.

   

2. В поле имени правила автоматизации введите обнаружение эксплойтов уязвимостей Log4J — Tutorial-1.

3. Оставьте разделы триггера и условий по мере их использования.

4. В разделе "Действия" выберите " Добавить теги " из раскрывающегося списка.

   1. Выберите + Добавить тег.
   2. Введите в текстовое поле эксплойт Log4J и нажмите кнопку "ОК".

5. Оставьте раздели "Срок действия правила" и "Порядок" по мере их создания.

6. Выберите Применить. Вскоре вы увидите новое правило автоматизации в списке на вкладке "Автоматический ответ ".

7. Нажмите кнопку Далее: просмотрите все параметры нового правила аналитики. Когда появится сообщение "Проверка пройдена", нажмите кнопку "Создать". Если правило не отключено на вкладке "Общие " выше, правило будет выполняться немедленно.

   Выберите изображение ниже для отображения полной проверки (большая часть текста запроса была обрезана для просмотра).

   

Проверка успешности правила

1. Чтобы просмотреть результаты создаваемых правил генерации оповещений, перейдите на страницу "Инциденты ".

2. Чтобы отфильтровать список инцидентов, созданных правилом аналитики, введите имя (или часть имени) правила аналитики, созданного на панели поиска .

3. Откройте инцидент, заголовок которого соответствует имени правила аналитики. Ознакомьтесь с тем, что к инциденту применен флаг, определенный в правиле автоматизации.

Очистка ресурсов

Если вы не собираетесь продолжать использовать это правило аналитики, удалите (или по крайней мере отключите) правила аналитики и автоматизации, созданные с помощью следующих шагов:

1. На странице "Аналитика" выберите вкладку "Активные правила".

2. Введите имя (или часть имени) правила аналитики, созданного в строке поиска .
   (Если он не отображается, убедитесь, что для фильтров задано значение />.Выберите все.)

3. Пометьте флажок рядом с правилом в списке и выберите "Удалить " из верхнего баннера.
   (Если вы не хотите удалить его, можно выбрать Отключите вместо этого.)

4. На странице автоматизации перейдите на вкладку "Правила автоматизации".

5. Введите имя (или часть имени) правила автоматизации, созданного в строке поиска .
   (Если он не отображается, убедитесь, что для фильтров задано значение />.Выберите все.)

6. Установите флажок рядом с правилом автоматизации в списке и выберите "Удалить " из верхнего баннера.
   (Если вы не хотите удалить его, можно выбрать Отключите вместо этого.)

Следующие шаги

Теперь, когда вы узнали, как искать эксплойты общей уязвимости с помощью правил аналитики, узнайте больше о том, что можно сделать с помощью аналитики в Microsoft Sentinel:

• Узнайте о полном диапазоне параметров и конфигураций в правилах запланированной аналитики.

• В частности, узнайте больше о различных типах обогащения оповещений, которые вы видели здесь:

  • Сопоставление сущностей
  • Пользовательские сведения
  • Свойства оповещения

• Узнайте о других типах правил аналитики в Microsoft Sentinel и их функции.

• Дополнительные сведения о написании запросов в язык запросов Kusto (KQL). Дополнительные сведения о KQL см. в этом обзоре, ознакомьтесь с некоторыми рекомендациями и ознакомьтесь с этим кратким руководством.