Создание правила аналитики на основе шаблонов
Раздел Аналитики в Microsoft Sentinel содержит все шаблоны правил, предварительно загруженные из репозитория Microsoft Sentinel на GitHub. С помощью этих шаблонов можно создать правило для обнаружения угроз безопасности.
Изучение существующих шаблонов правил
Некоторые существующие шаблоны правил можно использовать для создания одного правила, а другие — для создания нескольких правил с разными вариантами конфигурации. Шаблоны, использующие метку IN USE , отображаются на странице шаблона, как показано на следующем снимке экрана.
Выбрав одно из правил на вкладке Шаблоны правил, вы можете просмотреть свойства правила. Доступны следующие сведения о каждом правиле:
Уровень серьезности. Указывает на важность оповещения. Существует четыре уровня серьезности:
- Высокий
- Средний
- Низкий
- Информационный
Имя правила. Предоставляет понятное имя для правила генерации оповещений.
Тип правила. Определяет тип правила (один из следующих типов):
- Аномалия
- Fusion
- Microsoft Security
- аналитика поведения машинного обучения;
- Запланированные
Источник данных. Указывает соединитель источника данных, создавший оповещение.
Тактика. Это указывает методологии в модели MITRE ATT&CK, используемой различными видами вредоносных программ.
Примечание.
MITRE ATT&CK — это создаваемая на основе реальных наблюдений и доступная во всем мире база знаний с описанием тактик и приемов, используемых злоумышленниками. ATT&CK база знаний предоставляет основу для разработки конкретных моделей угроз и методологий в частном секторе, в правительстве, а также в продукте и сообществе служб кибербезопасности.
Когда вы выбираете правило из списка на вкладке "Активные правила" или на вкладке "Шаблоны правил", на панели сведений отображается дополнительная информация о выбранном правиле.
Создание правила аналитики на основе шаблона правила
Когда вы выбираете предопределенный шаблон правила, на панели сведений могут отображаться фильтры, которые можно использовать для определения поведения этого правила. Для правил аналитики поведения Fusion и машинного обучения Майкрософт не предоставляет никакой редактируемой информации. Однако для запланированных правил и Microsoft Security вы можете просматривать или редактировать запрос, фильтры, а также включать и исключать, используемые при обнаружении угроз. Нажав кнопку Создать правило, вы можете определить логику правила аналитики с помощью мастера, который поможет вам настроить правило на основе выбранного шаблона.
Для шаблонов аналитики поведения Fusion и ML вы можете включать или отключать их только как активные правила.
Правило, которое вы создаете из шаблона безопасности Майкрософт, состоит из следующих элементов:
Вкладка «Общее»
В нижеприведенной таблице перечислены входные данные на вкладке Общие.
| Поле | Описание: |
|---|---|
| Имя. | Предварительно указанное имя шаблона правила. |
| Description | Предоставьте более подробную информацию о создании предупреждений. |
| Состояние | Сведения о включении или отключении правила аналитики. |
| Служба безопасности Майкрософт | Источник оповещения от одной из служб безопасности Майкрософт. |
| Фильтрация по степени серьезности | Используется для настройки предупреждений от источника в зависимости от уровня серьезности; если вы выберете индивидуальный, вы можете указать "Высокий", "Средний", "Низкий" или "Информационный". |
| Включение определенных оповещений | Добавьте одно или несколько слов, чтобы включить результаты предупреждений, которые содержат определенный текст в своем имени. |
| Исключение определенных оповещений | Добавьте одно или несколько слов, чтобы исключить результаты предупреждений, которые содержат определенный текст в своем имени. |
Автоматический ответ
На вкладке Автоматический ответ вы можете определить правила автоматизации. При выборе Добавить новое, откроется панель Создать новое правило автоматизации. Следующие поля являются входными данными:
| Поле | Description |
|---|---|
| Название правила автоматизации | Выберите имя, которое однозначно описывает это правило автоматизации |
| Триггер | Предопределенное значение, которое нельзя изменить. |
| Условия | Типичная конструкция фильтра запроса, которую можно редактировать и сортировать. |
| Действия | Список выбора действий; выберите действие, которое вы хотите выполнить, если выполняются условия фильтра запроса. |
| Срок действия правила | Дата и время отключения правила. По умолчанию не ограничено. |
| Порядок | Если создано несколько правил, выберите последовательные номера, чтобы изменить порядок правил автоматизации инцидентов на левой панели. |
Примечание.
При реализации фильтров для включения или исключения определенных предупреждений на основе текстовой строки эти предупреждения не будут отображаться в Microsoft Sentinel.
На следующем снимке экрана показан пример создания инцидента на основе предупреждений, генерируемых в Microsoft Defender для облака.
Инструкции по созданию правила аналитики из запланированного шаблона типа правила см. в разделе Создание правила аналитики из запланированного шаблона правила в следующем блоке (Блок 6).
Примечание.
Для определенных шаблонов правил кнопка Создать правило может быть отключена. Это означает, что создать правило на основе выбранного шаблона нельзя из-за отсутствия источника данных.