通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用匹配分析检测威胁

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

利用 Microsoft 生成的威胁情报,通过“Microsoft Defender 威胁情报分析”规则生成高保真警报和事件。 Microsoft Sentinel 中的此内置规则将指标与通用事件格式 (CEF) 日志、具有域和 IPv4 威胁指示器的 Windows DNS 事件、syslog 数据等进行匹配。

重要

匹配分析目前处于预览阶段。 有关 beta 版本、预览版或其他尚未正式发布的版本的 Azure 功能所适用的更多法律条款,请参阅 Microsoft Azure 预览版的补充使用条款

先决条件

必须安装一个或多个受支持的数据连接器才能生成高保真警报和事件。 不需要高级 Microsoft Defender 威胁情报许可证。 若要连接这些数据源,请前往内容中心安装相应的解决方案:

  • 通用事件格式
  • DNS(预览)
  • Syslog
  • Office 活动日志
  • Azure 活动日志
  • ASIM DNS 日志
  • ASIM 网络会话

显示“Microsoft Defender 威胁情报分析”规则数据源连接的屏幕截图。

例如,可以按照自己使用的数据源使用以下解决方案和数据连接器:

解决方案 数据连接器
适用于 Sentinel 的通用事件格式解决方案 适用于 Microsoft Sentinel 的通用事件格式连接器
Windows Server DNS 适用于 Microsoft Sentinel 的 DNS 连接器
适用于 Sentinel 的 Syslog 解决方案 适用于 Microsoft Sentinel 的 Syslog 连接器
适用于 Sentinel 的 Microsoft 365 解决方案 适用于 Microsoft Sentinel 的 Office 365 连接器
适用于 Sentinel 的 Azure 活动解决方案 适用于 Microsoft Sentinel 的 Azure 活动连接器

配置匹配分析规则

启用“Microsoft Defender 威胁情报分析”规则时会配置匹配分析。

  1. 在“配置”部分下,选择“分析”菜单。

  2. 选择“规则模板”选项卡

  3. 在搜索窗口中输入“threat intelligence”

  4. 选择“Microsoft Defender 威胁情报分析”规则模板。

  5. 选择“创建规则”。 规则详细信息是只读的,并且已启用规则的默认状态。

  6. 选择“查看”>“创建”

显示“活动规则”选项卡中已启用的“Microsoft Defender 威胁情报分析”规则的屏幕截图。

数据源和指标

Microsoft Defender 威胁情报分析通过以下方式将日志与域、IP 和 URL 指示器进行匹配:

  • 引入到 Log Analytics CommonSecurityLog 表中的 CEF 日志,如果填充了 RequestURL 字段,将匹配 URL 和域名指示器,如果填充了 DestinationIP 字段,将匹配 IPv4 指示器。
  • Windows DNS 日志,已将其中的 SubType == "LookupQuery" 引入 DnsEvents 表,如果填充了 Name 字段,将匹配域名指示器,如果填充了 IPAddresses 字段,将匹配 IPv4 指示器。
  • Syslog 事件,已将其中的 Facility == "cron" 引入 Syslog 表,直接与 SyslogMessage 字段中的域名和 IPv4 指示器匹配。
  • Office 活动日志,已引入 OfficeActivity 表,直接与 ClientIP 字段中的 IPv4 指示器匹配。
  • Azure 活动日志,已引入 AzureActivity 表,直接与 CallerIpAddress 字段中的 IPv4 指示器匹配。
  • ASIM DNS 日志 会引入到 ASimDnsActivityLogs 表中的域指示器(如果填充在 DnsQuery 字段中),并与 DnsResponseName 字段中的 IPv4 指示器匹配。
  • 引入到 ASimNetworkSessionLogs 表中的 ASIM 网络会话 会匹配 IPv4 指示器如果在以下一个或多个字段中进行了填充:DstIpAddrDstNatIpAddrSrcNatIpAddrSrcIpAddrDvcIpAddr

对通过匹配分析生成的事件进行会审

如果 Microsoft 的分析发现了匹配,产生的任何警报都会被归类为事件。

使用以下步骤会审 Microsoft Defender 威胁情报分析规则生成的事件:

  1. 在 Microsoft Sentinel 工作区(启用了“Microsoft Defender 威胁情报分析”规则)中,选择“事件”并搜索“Microsoft Defender 威胁情报分析”

    发现的任何事件都会显示在网格中。

  2. 选择“查看完整详细信息”以查看实体和有关事件的其他详细信息,例如特定警报。

    下面是一个示例。

    通过将分析与详细信息窗格匹配生成的事件的屏幕截图。

  3. 观察分配给警报和事件的严重性。 根据指示器的匹配方式,将相应的严重性(从 InformationalHigh)分配给警报。 例如,如果指示器与允许流量的防火墙日志匹配,则会生成高危警报。 如果同一指示器与阻止流量的防火墙日志匹配,则所生成警报的严重性将为较低或中等。

    然后,根据指示器的可观测性对警报进行分组。 例如,在 24 小时时间段内生成的所有警报(与 contoso.com 域匹配)都将分组为按照最高警报严重性来分配严重性的单个事件。

  4. 观察指示器信息。 找到匹配项后,系统会将指示器发布到 Log Analytics ThreatIntelligenceIndicators 表,并显示在“威胁情报”页面上。 对于此规则发布的任何指标,将源定义为“Microsoft Defender 威胁情报分析”。

下面是 ThreatIntelligenceIndicators 表格的示例。

屏幕截图显示了 ThreatIntelligenceIndicator 表,其中显示了 Microsoft 威胁情报分析的 SourceSystem 指示器。

下面是“威胁情报”页的示例。

显示威胁情报概述的屏幕截图,其中选择了一个指示器,显示来源为 Microsoft 威胁情报分析。

从 Microsoft Defender 威胁情报获取更多上下文

除了高保真警报和事件外,一些 Microsoft Defender 威胁情报指示器还包含指向 Microsoft Defender 威胁情报社区门户中的参考文章的链接。

显示事件的屏幕截图,其中包含指向 Microsoft Defender 威胁情报参考文章的链接。

有关详细信息,请参阅什么是 Microsoft Defender 威胁情报?

相关内容

本文介绍了如何连接 Microsoft 生成的威胁情报以生成警报和事件。 有关 Microsoft Sentinel 中威胁情报的详细信息,请参阅以下文章: