你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 中的威胁检测
设置 Microsoft Sentinel 以收集整个组织的数据后,需要持续挖掘所有这些数据来检测对环境的安全威胁。 为完成此任务,Microsoft Sentinel 提供了定期运行的威胁检测规则,会查询和分析收集的数据以发现威胁。 这些规则采用几种不同的风格,统称为分析规则。
这些规则在发现查找的内容时生成警报。 警报包含有关检测到的事件的信息,例如涉及的实体(用户、设备、地址和其他项)。 警报经过聚合并关联到事件(事例文件)中,可以分配和调查这些事件,了解检测到的威胁的完整范围并相应做出响应。 还可以将预先确定的自动响应构建到规则自己的配置中。
可以使用内置分析规则向导从头开始创建这些规则。 但是,Microsoft 强烈建议你利用可通过内容中心中提供的许多Microsoft Sentinel 解决方案获取的大量可用分析规则模板。 这些模板是预先构建的规则原型,由安全专家和分析师团队根据他们对已知威胁、常见攻击途径和可疑活动升级链的了解设计。 激活通过这些模板创建的规则可自动在环境中搜索任何看起来可疑的活动。 可以自定义许多模板以搜索特定类型的活动,或根据需要筛选它们。
本文可帮助你了解 Microsoft Sentinel 如何检测威胁,以及接下来会发生什么。
重要
Microsoft Sentinel 现已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
分析规则的类型
可以在 Microsoft Sentinel 的“配置”菜单的“分析”页上查看可用的分析规则和模板。 一个选项卡中显示了当前有效的规则,另一个选项卡中显示了用于创建新规则的模板。第三个选项卡显示异常信息,这是本文后面将介绍的特殊规则类型。
要查找除当前显示外的更多规则模板,请转到 Microsoft Sentinel 中的内容中心以安装相关产品解决方案或独立内容。 分析规则模板可用于内容中心内几乎每个产品解决方案。
Microsoft Sentinel 中提供了以下类型的分析规则和规则模板:
除了上述规则类型外,还有一些其他专用模板类型,每个类型都可以创建规则的一个实例,并提供一定的配置选项:
计划的规则
到目前为止,最常见的分析规则类型是“计划”规则,它基于 Kusto 查询,这些查询配置为定期运行,并检查定义的“回溯”周期中的原始数据。 如果查询捕获的结果数超过了规则中配置的阈值,规则将生成警报。
计划的规则模板中的查询由安全和数据科学专家编写,这些专家可能来自 Microsoft,也可能来自提供模板的解决方案供应商。 查询可以对其目标数据执行复杂的统计操作,并显示事件组中的基线和离群值。
查询逻辑显示在规则配置中。 可以使用模板中定义的查询逻辑以及计划和回溯设置,或对其进行自定义以创建新规则。 或者,也可以从头开始创建全新的规则。
详细了解 Microsoft Sentinel 中计划的分析规则。
准实时 (NRT) 规则
NRT 规则是计划的规则的有限子集。 设计为每分钟运行一次,以便尽可能为你提供最新信息。
它们的功能主要类似于计划规则并且配置类似,但有一些限制。
详细了解通过 Microsoft Sentinel 中的准实时 (NRT) 分析规则实现快速威胁检测。
异常规则
异常规则使用机器学习观察一段时间内特定类型的行为以确定基线。 每个规则都有其唯一参数和阈值,适用于正在分析的行为。 观察期完成后,将设置基线。 当规则观察到有行为超出基线中设置的边界时,它会将相关情况标记为异常。
虽然无法更改或微调现成规则的配置,但可以复制规则,然后更改并微调副本。 在这种情况下,请在“外部测试”模式下运行副本,并同时在“生产”模式下运行 。 然后,比较结果,如果微调满足你的要求,则将复制切换到“生产”。
异常不一定指示恶意行为或可疑行为。 因此,异常规则不生成自己的警报。 而是在“异常”表中记录分析结果(检测到的异常)。 可以查询此表,以提供可改进检测、调查和威胁搜寻的上下文。
有关详细信息,请参阅使用可自定义的异常来检测 Microsoft Sentinel 中的威胁和使用 Microsoft Sentinel 中的异常检测分析规则。
Microsoft 安全规则
计划的规则和 NRT 规则会自动为其生成的警报创建事件,但在外部服务中生成并引入到 Microsoft Sentinel 中的警报不会创建自己的事件。 Microsoft 安全规则根据其他 Microsoft 安全解决方案中生成的警报自动实时创建 Microsoft Sentinel 事件。 可以使用 Microsoft 安全模板创建具有类似逻辑的新规则。
重要
如果是以下情况,则 Microsoft 安全规则不可用:
在这些方案中,Microsoft Defender XDR 会改为创建事件。
事先定义的任何此类规则都会自动禁用。
有关 Microsoft 安全事件创建规则的详细信息,请参阅从 Microsoft 安全警报自动创建事件。
威胁情报
利用 Microsoft 生成的威胁情报,通过 Microsoft 威胁情报分析规则生成高保真警报和事件。 此唯一规则不可自定义,但启用后,会自动将通用事件格式 (CEF) 日志、Syslog 数据或 Windows DNS 事件与 Microsoft 威胁情报中的域、IP 和 URL 威胁指示器相匹配。 某些指标会通过 MDTI(Microsoft Defender 威胁情报)包含更多上下文信息。
有关如何启用此规则的详细信息,请参阅使用匹配分析来检测威胁。
有关 MDTI 的详细信息,请参阅什么是 Microsoft Defender 威胁情报。
高级多阶段攻击检测 ("Fusion")
Microsoft Sentinel 使用 Fusion 关联引擎及其可缩放的机器学习算法,通过将多个产品中的许多低保真警报和事件关联到高保真和可操作的事件中来检测高级多阶段攻击。 默认启用高级多阶段攻击检测规则。 由于逻辑是隐藏的,因此无法自定义,只能有一个使用此模板创建的规则。
Fusion 引擎也可以将由计划分析规则生成的警报与来自其他系统的警报相关联,从而生成高保真事件。
重要
如果是以下情况,则高级多阶段攻击检测规则类型不可用:
在这些方案中,Microsoft Defender XDR 会改为创建事件。
此外,部分融合检测模板当前处于预览状态(请参阅 Microsoft Sentinel 中的高级多阶段攻击检测,以查看都有哪些模板)。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
机器学习 (ML) 行为分析
利用 Microsoft 专有的机器学习算法,使用 ML 行为分析规则生成高保真警报和事件。 这些唯一规则(目前为预览版)不可自定义,但一经启用,会根据 IP 和地理位置和用户历史记录信息检测特定的异常 SSH 和 RDP 登录行为。
分析规则的访问权限
在创建分析规则时,访问权限令牌将应用于该规则并与其一起保存。 此令牌可确保规则可以访问包含规则所查询的数据的工作区,并且即使规则创建者失去对该工作区的访问权限,也会保持此访问权限。
但是,该访问有一个例外:在创建规则以访问其他订阅或租户中的工作区(例如对于 MSSP 所发生的情况)时,Microsoft Sentinel 会采取额外的安全措施来防止未经授权访问客户数据。 对于这些类型的规则,创建规则的用户凭据将应用于规则而不是独立的访问令牌,以便当用户不再有权访问其他订阅或租户时,规则将停止工作。
如果在跨订阅或跨租户方案中操作 Microsoft Sentinel,则如果其中一名分析师或工程师失去对特定工作区的访问权限,该用户创建的任何规则将会停止工作。 在这种情况下,你会收到有关“资源访问权限不足”的运行状况监视消息,并且规则会在失败一定次数后自动禁用。
将规则导出到 ARM 模板
如果要将规则作为代码进行管理和部署,可以轻松将规则导出到 Azure 资源管理器 (ARM) 模板。 还可以从模板文件导入规则,以便在用户界面中进行查看和编辑。