Hotidentifiering i Microsoft Sentinel
När du har konfigurerat Microsoft Sentinel för att samla in data från hela organisationen måste du hela tiden gå igenom alla dessa data för att identifiera säkerhetshot mot din miljö. För att utföra den här uppgiften tillhandahåller Microsoft Sentinel regler för hotidentifiering som körs regelbundet, frågar efter insamlade data och analyserar dem för att identifiera hot. Dessa regler finns i några olika varianter och kallas tillsammans för analysregler.
Dessa regler genererar aviseringar när de hittar det de letar efter. Aviseringar innehåller information om de händelser som identifierats, till exempel de entiteter (användare, enheter, adresser och andra objekt) som berörs. Aviseringar aggregeras och korreleras till incidenter – ärendefiler – som du kan tilldela och undersöka för att lära dig hela omfattningen av det identifierade hotet och svara därefter. Du kan också skapa fördefinierade, automatiserade svar i reglernas egen konfiguration.
Du kan skapa dessa regler från grunden med hjälp av den inbyggda analysregelguiden. Microsoft rekommenderar dock starkt att du använder den stora mängd analysregelmallar som är tillgängliga för dig via de många lösningar för Microsoft Sentinel som finns i innehållshubben. Dessa mallar är färdiga regelprototyper, utformade av team av säkerhetsexperter och analytiker baserat på deras kunskap om kända hot, vanliga attackvektorer och eskaleringskedjor för misstänkt aktivitet. Du aktiverar regler från dessa mallar för att automatiskt söka i din miljö efter aktiviteter som ser misstänkta ut. Många av mallarna kan anpassas för att söka efter specifika typer av händelser eller filtrera bort dem efter dina behov.
Den här artikeln hjälper dig att förstå hur Microsoft Sentinel identifierar hot och vad som händer härnäst.
Viktigt!
Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Typer av analysregler
Du kan visa de analysregler och mallar som du kan använda på analyssidan på konfigurationsmenyn i Microsoft Sentinel. De aktiva reglerna visas på en flik och mallar för att skapa nya regler på en annan flik. En tredje flik visar Avvikelser, en särskild regeltyp som beskrivs senare i den här artikeln.
Om du vill hitta fler regelmallar än vad som visas för närvarande går du till innehållshubben i Microsoft Sentinel för att installera relaterade produktlösningar eller fristående innehåll. Analysregelmallar är tillgängliga med nästan alla produktlösningar i innehållshubben.
Följande typer av analysregler och regelmallar är tillgängliga i Microsoft Sentinel:
Förutom de föregående regeltyperna finns det några andra specialiserade malltyper som var och en kan skapa en instans av en regel, med begränsade konfigurationsalternativ:
- Hotinformation
- Avancerad identifiering av flerstegsattacker ("Fusion")
- Beteendeanalys för maskininlärning (ML)
Schemalagda regler
Den överlägset vanligaste typen av analysregel är schemalagda regler baserade på Kusto-frågor som är konfigurerade för att köras med jämna mellanrum och undersöka rådata från en definierad "lookback"-period. Om antalet resultat som samlas in av frågan överskrider tröskelvärdet som konfigurerats i regeln skapar regeln en avisering.
Frågorna i schemalagda regelmallar skrevs av säkerhets- och datavetenskapsexperter , antingen från Microsoft eller från leverantören av lösningen som tillhandahåller mallen. Frågor kan utföra komplexa statistiska åtgärder på sina måldata, vilket avslöjar baslinjer och extremvärden i grupper av händelser.
Frågelogik visas i regelkonfigurationen. Du kan använda frågelogik och schemaläggnings- och återblicksinställningar enligt definitionen i mallen, eller anpassa dem för att skapa nya regler. Du kan också skapa helt nya regler från grunden.
Läs mer om schemalagda analysregler i Microsoft Sentinel.
Regler för nära realtid (NRT)
NRT-regler är en begränsad delmängd av schemalagda regler. De är utformade för att köras en gång i minuten för att ge dig information så upp till minuten som möjligt.
De fungerar mest som schemalagda regler och konfigureras på liknande sätt, med vissa begränsningar.
Läs mer om snabb hotidentifiering med analysregler nära realtid (NRT) i Microsoft Sentinel.
Avvikelseregler
Avvikelseregler använder maskininlärning för att observera specifika typer av beteenden under en viss tidsperiod för att fastställa en baslinje. Varje regel har sina egna unika parametrar och tröskelvärden, som är lämpliga för det beteende som analyseras. När observationsperioden har slutförts anges baslinjen. När regeln observerar beteenden som överskrider de gränser som anges i baslinjen flaggas dessa förekomster som avvikande.
Även om konfigurationerna av färdiga regler inte kan ändras eller finjusteras kan du duplicera en regel och sedan ändra och finjustera dubbletten. I sådana fall kör dubblet i flighting-läge och originalet samtidigt i produktionsläge . Jämför sedan resultaten och växla dubbletten till Produktion om och när dess finjustering passar dig.
Avvikelser indikerar inte nödvändigtvis skadligt eller ens misstänkt beteende på sig själva. Därför genererar inte avvikelseregler sina egna aviseringar. I stället registrerar de resultatet av analysen – de identifierade avvikelserna – i tabellen Avvikelser . Du kan köra frågor mot den här tabellen för att tillhandahålla kontext som förbättrar identifieringar, undersökningar och hotjakt.
Mer information finns i Använda anpassningsbara avvikelser för att identifiera hot i Microsoft Sentinel och Arbeta med analysregler för avvikelseidentifiering i Microsoft Sentinel.
Microsofts säkerhetsregler
Även om schemalagda regler och NRT-regler automatiskt skapar incidenter för de aviseringar de genererar, skapar aviseringar som genereras i externa tjänster och matas in till Microsoft Sentinel inte sina egna incidenter. Microsofts säkerhetsregler skapar automatiskt Microsoft Sentinel-incidenter från aviseringarna som genereras i andra Microsoft-säkerhetslösningar i realtid. Du kan använda Microsofts säkerhetsmallar för att skapa nya regler med liknande logik.
Viktigt!
Microsofts säkerhetsregler är inte tillgängliga om du har:
- Aktiverad Microsoft Defender XDR-incidentintegrering, eller
- Registrerade Microsoft Sentinel på Defender-portalen.
I dessa scenarier skapar Microsoft Defender XDR incidenterna i stället.
Alla sådana regler som du har definierat i förväg inaktiveras automatiskt.
Mer information om hur du skapar microsofts regler för säkerhetsincidenter finns i Skapa incidenter automatiskt från Microsofts säkerhetsaviseringar.
Hotinformation
Dra nytta av hotinformation som produceras av Microsoft för att generera aviseringar och incidenter med hög återgivning med Microsoft Threat Intelligence Analytics-regeln . Den här unika regeln är inte anpassningsbar, men när den är aktiverad matchar den automatiskt CEF-loggar (Common Event Format), Syslog-data eller Windows DNS-händelser med hotindikatorer för domän, IP och URL från Microsoft Threat Intelligence. Vissa indikatorer innehåller mer sammanhangsinformation via MDTI (Microsoft Defender Hotinformation).
Mer information om hur du aktiverar den här regeln finns i Använda matchande analys för att identifiera hot.
Mer information om MDTI finns i Vad är Microsoft Defender Hotinformation.
Avancerad identifiering av flerstegsattacker (Fusion)
Microsoft Sentinel använder fusionskorrelationsmotorn, med sina skalbara maskininlärningsalgoritmer, för att identifiera avancerade flerstegsattacker genom att korrelera många aviseringar och händelser med låg återgivning i flera produkter i incidenter med hög återgivning och åtgärd. Regeln för avancerad identifiering av flerstegsattacker är aktiverad som standard. Eftersom logiken är dold och därför inte anpassningsbar kan det bara finnas en regel med den här mallen.
Fusionsmotorn kan också korrelera aviseringar som genereras av schemalagda analysregler med aviseringar från andra system, vilket leder till hög återgivningsincidenter.
Viktigt!
Regeln advanced multistage attack detection type is not available if you have:
- Aktiverad Microsoft Defender XDR-incidentintegrering, eller
- Registrerade Microsoft Sentinel på Defender-portalen.
I dessa scenarier skapar Microsoft Defender XDR incidenterna i stället.
Vissa av mallarna för fusionsidentifiering finns för närvarande i FÖRHANDSVERSION (se Avancerad identifiering av flerstegsattacker i Microsoft Sentinel för att se vilka). Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Beteendeanalys för maskininlärning (ML)
Dra nytta av Microsofts egenutvecklade maskininlärningsalgoritmer för att generera aviseringar och incidenter med hög återgivning med ML Behavior Analytics-reglerna . Dessa unika regler (för närvarande i förhandsversion) är inte anpassningsbara, men när de är aktiverade kan du identifiera specifika avvikande SSH- och RDP-inloggningsbeteenden baserat på IP- och geoplats- och användarhistorikinformation.
Åtkomstbehörigheter för analysregler
När du skapar en analysregel tillämpas en åtkomstbehörighetstoken på regeln och sparas tillsammans med den. Den här token säkerställer att regeln kan komma åt arbetsytan som innehåller de data som efterfrågas av regeln och att den här åtkomsten upprätthålls även om regelns skapare förlorar åtkomsten till den arbetsytan.
Det finns dock ett undantag för den här åtkomsten: När en regel skapas för åtkomst till arbetsytor i andra prenumerationer eller klientorganisationer, till exempel vad som händer i fallet med en MSSP, vidtar Microsoft Sentinel extra säkerhetsåtgärder för att förhindra obehörig åtkomst till kunddata. För den här typen av regler tillämpas autentiseringsuppgifterna för den användare som skapade regeln på regeln i stället för en oberoende åtkomsttoken, så att regeln slutar fungera när användaren inte längre har åtkomst till den andra prenumerationen eller klientorganisationen.
Om du använder Microsoft Sentinel i ett scenario mellan prenumerationer eller flera innehavare slutar alla regler som skapats av användaren att fungera när någon av dina analytiker eller tekniker förlorar åtkomst till en viss arbetsyta. I den här situationen får du ett hälsoövervakningsmeddelande om "otillräcklig åtkomst till resursen", och regeln inaktiveras automatiskt efter att ha misslyckats ett visst antal gånger.
Exportera regler till en ARM-mall
Du kan enkelt exportera regeln till en ARM-mall (Azure Resource Manager) om du vill hantera och distribuera dina regler som kod. Du kan också importera regler från mallfiler för att visa och redigera dem i användargränssnittet.
Nästa steg
Läs mer om schemalagda analysregler i Microsoft Sentinel och Snabb hotidentifiering med analysregler i nära realtid (NRT) i Microsoft Sentinel.
Mer information om hur du hittar fler regelmallar finns i Identifiera och hantera innehåll i Microsoft Sentinel.