從精靈建立分析規則
您可以建立自訂分析規則以搜尋 Contoso 的可疑活動與威脅。
建立自訂排程分析規則
從排程的查詢規則類型建立自訂規則可為您提供最高層級的自訂。 您可以定義自己的 KQL 程式碼、設定排程以執行警示,或透過建立規則與 Microsoft Sentinel 劇本的關聯來提供自動化動作。
若要建立排程的查詢規則,請在 Azure 入口網站中的 [Microsoft Sentinel] 下,選取 [Analytics]。 在標頭列中,選取 [+建立],然後選取 [排程的查詢規則]。
注意
您也可以從 [分析] 窗格中的 [規則和範本] 清單選取排程的規則,然後在 [詳細資料] 窗格中選取 [建立規則],以建立排程的規則。
您建立的排程查詢規則由下列元素所組成:
[一般] 索引標籤
下表列出 [一般] 窗格上的輸入欄位。
| 欄位 | 描述 |
|---|---|
| Name | 提供描述性名稱以說明警示會偵測哪種類型的可疑活動。 |
| 描述 | 輸入詳細的描述,協助其他安全性分析師能夠了解規則的作用。 |
| 手段 | 從 [戰略] 下拉式清單中,選擇其中一個可用的攻擊類別,以根據 MITRE 戰略將規則分類。 |
| 嚴重性 | 選取 [嚴重性] 下拉式清單,將警示的重要性層級分類為下列四個選項之一:[高]、[中]、[低] 或 [資訊]。 |
| 狀態 | 指定規則的狀態。 根據預設,狀態為 [啟用]。您可以選取 [停用],以在規則產生大量誤判為真的情況下將其停用。 |
設定規則邏輯索引標籤
在 [設定規則邏輯] 索引標籤上,您可以透過指定針對 Microsoft Sentinel 工作區執行的 KQL 程式碼,定義偵測方法。 KQL 查詢會篩選用來觸發及建立事件的安全性資料。
當您在 [規則查詢] 欄位中輸入 KQL 查詢字串時,您可以使用 [Results simulation (preview)] \(結果模擬 (預覽)\) 區段來檢閱查詢的結果。 [結果模擬 (預覽)] 區段將能協助您判斷查詢是否傳回預期結果。
下列範例查詢會在於 Azure 活動中建立異常數量的資源時向您發出警示。
AzureActivity
| where OperationName == "MICROSOFT.COMPUTE/VIRTUALMACHINES/WRITE"
| where ActivityStatus == "Succeeded"
| make-series dcount(ResourceId) default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller
提示
如需 KQL 查詢語言的協助,請參閱 Kusto 查詢語言 (KQL) 概觀。
警示擴充 (預覽)
警示擴充可讓您進一步自訂查詢的結果。
實體對應
在 [實體對應] 區段中,您可以從查詢結果中定義最多五個實體,然後使用這些實體執行深入分析。 透過選取 [新增實體],在查詢規則中新增這些實體。 這些實體可協助您執行視覺調查,因為它們會在 [事件] 索引標籤上以群組形式顯示。某些實體會包含代表使用者、主機或 IP 位址的資訊。
自訂詳細資料
在 [自訂詳細資料] 區段中,您可以設定機碼值組。如果這些機碼值組出現在查詢結果中,就會在結果中顯示事件參數。
警示詳細資料
在 [警示詳細資料] 區段中,您可以輸入任意文字作為警示的每個執行個體中所代表的參數。這些也可以包含指派給該警示執行個體的戰略與嚴重性。
查詢排程
在 [查詢排程] 區段中,您可以設定執行查詢的頻率,以及查詢能夠在多舊的歷程記錄中搜尋資料。 請不要搜尋早於查詢執行頻率的資料,因為那可能會建立重複的警示。
警示閾值
在 [警示閾值] 區段中,您可以指定在系統產生警示之前,可針對規則傳回的正結果數目。 您可以使用下列邏輯運算子來定義適當的邏輯運算式:
- 大於
- 少於
- 等於
- 不等於
事件分組
在 [事件分組] 區段中,您可以選取下列兩個選項的其中一個:
- 將所有事件歸納成單一警示: 這是預設選項,且其會在查詢傳回的結果數目超過指定的警示閾值時建立單一警示。
- 觸發每個事件的警示: 此選項會為查詢所傳回的每個事件建立唯一警示。
歸併
在 [隱藏項目] 區段中,您可以將 [Stop running the Query after the alert is generated] \(在產生警示後停止執行查詢\) 選項設定為 [開啟] 或 [關閉]。 當您選取 [開啟] 時,如果在您想要隱藏規則的持續期間內再次觸發規則,Microsoft Sentinel 會將額外事件的建立暫停。
事件設定 (預覽)
使用 [事件設定] 索引標籤建立事件,這些事件是根據觸發程序和時間範圍為警示分組而產生的。
在 [警示分組] 區段中,您可以將多個警示組成單一事件來減少其所產生的雜訊。 當您啟用相關警示的分組時,您可以從下列選項中選擇:
- 如果所有實體均相符,則將警示分組為單一事件 (建議)
- 將此規則所觸發的所有警示分組為單一事件
- 如果選取的實體相符,則將警示分組為單一事件 (例如來源或目標 IP 位址)。
如果產生的另一個警示屬於先前關閉的事件,您也可以重新開啟已關閉的相符事件。
自動化回應索引標籤
此練習中未使用。
設定規則邏輯索引標籤 - 練習
在 [自動回應] 索引標籤上,選取現有的自動化規則或建立新的規則。 自動化規則可以根據您選擇的觸發程序和條件來執行劇本。
如需有關如何建立劇本並在建立事件時執行自動化活動的詳細資訊,請參閱「使用 Microsoft Sentinel 劇本進行威脅回應」課程模組。
檢閱及建立索引標籤
您可以使用 [檢閱及建立] 索引標籤,在建立新規則之前檢閱您在精靈中所做的設定。