从向导创建分析规则
可以创建自定义分析规则,以便在 Contoso 中搜索可疑活动和威胁。
创建自定义计划分析规则
从计划的查询规则类型创建自定义规则可提供最高级别的自定义。 可以定义自己的 KQL 代码,设置计划以运行警报,或通过关联规则与 Microsoft Sentinel Playbook 来提供自动化操作。
若要创建计划的查询规则,请在 Azure 门户中的“Microsoft Sentinel”下,选择“分析”。 在标题栏中,选择“+创建”,然后选择“计划的查询规则”。
备注
还可通过从“分析”窗格中的“规则和模板”列表中选择计划的规则,然后在详细信息窗格中选择“创建规则”来创建计划的规则。
创建的计划的查询规则包含下列元素:
“常规”选项卡
下表列出了“常规”窗格上的输入字段。
| 字段 | 描述 |
|---|---|
| 名称 | 提供描述性名称来说明警报检测到的可疑活动类型。 |
| 说明 | 输入详细说明,以帮助其他安全分析人员了解规则的作用。 |
| 策略 | 从“策略”下拉列表中,从可用的攻击类别中选择一个类别,以根据 MITRE 策略对规则进行分类。 |
| 严重性 | 选择“严重性”下拉列表,将警报的重要性级别分类为以下四种选项之一:高、中等、低或信息性。 |
| 状态 | 指定规则的状态。 默认情况下,状态为“启用”。如果要在规则生成大量误报时禁用规则,则可以选择“禁用”来禁用规则。 |
设置规则逻辑选项卡
在“设置规则逻辑”选项卡上,可以通过指定针对 Microsoft Sentinel 工作区运行的 KQL 代码来定义检测方法。 KQL 查询筛选用于触发和创建事件的安全数据。
在“规则查询”字段中输入 KQL 查询字符串时,可以使用“结果模拟(预览)”部分来查看查询结果。 “结果模拟(预览)”部分有助于确定查询是否返回了预期结果。
下面的示例查询在 Azure 活动中创建异常数量的资源时发出警报。
AzureActivity
| where OperationName == "MICROSOFT.COMPUTE/VIRTUALMACHINES/WRITE"
| where ActivityStatus == "Succeeded"
| make-series dcount(ResourceId) default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller
提示
有关 KQL 查询语言的帮助,请参阅 Kusto 查询语言 (KQL) 概述。
警报扩充(预览版)
通过警报扩充,可以进一步自定义查询结果。
实体映射
在“实体映射”部分中,可以从查询结果中定义最多五个实体,然后使用这些实体执行深入分析。 通过选择“添加新实体”,在查询规则中添加这些实体。 这些实体可以帮助你执行直观调查,因为它们会在“事件”选项卡上以组的形式出现。某些实体包含表示用户、主机或 IP 地址的信息。
自定义详细信息
在“自定义详细信息”部分,可以设置键值对,如果键值对出现在查询结果中,则会在结果中显示事件参数。
警报详细信息
在“警报详细信息”部分中,可以输入自由文本作为可在警报的每个实例中表示的参数;这些还可以包含分配给警报实例的策略和严重性。
查询计划
在“查询计划”部分,你可以配置查询应运行的频率以及查询应搜索的历史数据的时间。 不要搜索早于查询运行频率的数据,因为这样会创建重复警报。
警报阈值
在“警报阈值”部分,你可以指定在生成警报之前可以为规则返回的肯定结果的数量。 可以使用以下逻辑运算符定义适当的逻辑表达式:
- 大于
- 小于
- 等于
- 不等于
事件分组
在“事件分组”部分,可以选择以下两个选项之一:
- 将所有事件分组到一个警报中。 这是默认选项,如果查询返回的结果多于指定的警报阈值,则会创建一个警报。
- 为每个事件触发警报。 此选项为查询返回的每个事件创建唯一警报。
禁止
在“抑制”部分,可以将“在生成警报后停止运行查询”选项设置为“打开”或“关闭”。 选择“打开”时,如果在要抑制规则的持续时间内再次触发规则,则 Microsoft Sentinel 会暂停创建其他事件。
事件设置(预览版)
使用“事件设置”选项卡创建事件,这些事件是通过基于触发器和时间范围对警报进行分组而生成的。
在“警报分组”部分,可以通过将多个警报分组到一个事件来减少它们的干扰。 启用相关警报的分组后,可以从以下选项中选择:
- 如果所有实体都匹配,则将警报分组到单个事件中(建议)
- 将此规则触发的所有警报分组到单个事件中
- 如果所选实体匹配,则将警报分组到单个事件中(例如源或目标 IP 地址)。
如果生成了属于之前关闭的事件的另一个警报,还可以重新打开已关闭的匹配事件。
自动响应选项卡
尚未在本练习中使用。
设置规则逻辑选项卡 - 练习
在“自动响应”选项卡上,选择现有自动化规则或创建新规则。 自动化规则可以根据所选的触发器和条件运行 playbook。
若要详细了解如何创建 playbook 并在创建事件时运行自动完成的活动,请参阅“Microsoft Sentinel Playbook 的威胁响应”模块。
“审核并创建”选项卡
在“查看和创建”选项卡上,查看在创建新规则之前已在向导中配置的设置。