Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Внимание
Пользовательское обнаружение теперь является лучшим способом создания новых правил в microsoft Sentinel SIEM Microsoft Defender XDR. Благодаря пользовательским обнаружениям можно сократить затраты на прием данных, получить неограниченное количество обнаружения в режиме реального времени и воспользоваться преимуществами простой интеграции с Defender XDR данными, функциями и действиями по исправлению с помощью автоматического сопоставления сущностей. Дополнительные сведения см. в этом блоге.
После настройки Microsoft Sentinel для сбора данных со всей организации необходимо постоянно копать все эти данные для обнаружения угроз безопасности в вашей среде. Для выполнения этой задачи Microsoft Sentinel предоставляет правила обнаружения угроз, которые выполняются регулярно, запрашивая собранные данные и анализируя их для обнаружения угроз. Эти правила имеют несколько различных вариаций и называются в совокупности правилами аналитики.
Эти правила создают оповещения , когда они находят то, что они ищут. Оповещения содержат сведения об обнаруженных событиях, таких как сущности (пользователи, устройства, адреса и другие элементы). Оповещения агрегируются и коррелируются с инцидентами — файлами случаев, которые можно назначать и исследовать , чтобы узнать полную степень обнаруженной угрозы и реагировать соответствующим образом. Вы также можете создавать предопределенные автоматические ответы в собственной конфигурации правил.
Эти правила можно создать с нуля с помощью встроенного мастера правил аналитики. Однако корпорация Майкрософт настоятельно рекомендует использовать широкий массив шаблонов правил аналитики , доступных вам через множество решений Microsoft Sentinel , предоставляемых в центре содержимого. Эти шаблоны являются предварительно созданными прототипами правил, разработанными командами экспертов по безопасности и аналитиков на основе их знаний о известных угрозах, распространенных векторах атак и цепочках эскалации подозрительных действий. Вы активируете правила из этих шаблонов для автоматического поиска в среде для любых действий, которые выглядят подозрительными. Многие шаблоны можно настроить для поиска определенных типов событий или отфильтровать их в соответствии с вашими потребностями.
В этой статье показано, как Microsoft Sentinel обнаруживает угрозы и что происходит дальше.
Внимание
Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.
Начиная с июля 2026 года все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 года многие новые клиенты автоматически подключены и перенаправляются на портал Defender.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье " Время перемещения: выход из эксплуатации портала Azure Microsoft Sentinel" для повышения безопасности.
Типы правил аналитики
Вы можете просмотреть правила и шаблоны аналитики, доступные для использования на странице "Аналитика " меню "Конфигурация " в Microsoft Sentinel. В настоящее время активные правила отображаются на одной вкладке и шаблоны для создания новых правил на другой вкладке. На третьей вкладке отображаются аномалии, специальный тип правила, описанный далее в этой статье.
Чтобы найти больше шаблонов правил, чем отображается в данный момент, перейдите в центр содержимого в Microsoft Sentinel, чтобы установить связанные решения для продуктов или автономное содержимое. Шаблоны правил аналитики доступны практически с каждым решением продукта в центре содержимого.
В Microsoft Sentinel доступны следующие типы правил аналитики и шаблоны правил.
- Запланированные правила
- Правила близкие к реальному времени (NRT)
- Правила аномалий
- Правила безопасности Майкрософт
Помимо предыдущих типов правил существуют некоторые другие специализированные типы шаблонов, которые могут создавать один экземпляр правила с ограниченными параметрами конфигурации:
- Аналитика угроз
- Расширенное обнаружение многоэтапных атак ("Fusion")
- Аналитика поведения машинного обучения
Запланированные правила
Безусловно, самый распространенный тип правила аналитики, запланированные правила, основаны на запросах Kusto, настроенных для выполнения с регулярными интервалами и проверки необработанных данных из определенного периода ретроспективного анализа. Если число результатов, захваченных запросом, передает пороговое значение, настроенное в правиле, правило создает оповещение.
Запросы в запланированных шаблонах правил были написаны экспертами по безопасности и обработке и анализу данных, либо от корпорации Майкрософт, либо от поставщика решения, предоставляющего шаблон. Запросы могут выполнять сложные статистические операции с целевыми данными, показывая базовые показатели и выбросы в группах событий.
Логика запроса отображается в конфигурации правила. Вы можете использовать логику запроса и параметры планирования и обратного просмотра, как определено в шаблоне, или настроить их для создания новых правил. Кроме того, можно создать совершенно новые правила с нуля.
Узнайте больше о правилах запланированной аналитики в Microsoft Sentinel.
Правила почти в режиме реального времени (NRT)
Правила NRT — это ограниченное подмножество запланированных правил. Они предназначены для выполнения каждые минуты, чтобы предоставить вам информацию как можно до минуты.
Они работают и настраиваются почти как обычные запланированные правила, но с некоторыми дополнительными ограничениями.
Дополнительные сведения о быстром обнаружении угроз с помощью правил аналитики, приближенной к реальному времени (NRT), в Microsoft Sentinel.
Правила аномалий
Правила аномалий используют машинное обучение для наблюдения за определенными типами поведения за определенный период времени, чтобы определить базовый план. Каждое правило имеет собственные уникальные параметры и пороговые значения, соответствующие анализируемому поведению. После завершения периода наблюдения базовый план устанавливается. Когда правило наблюдает поведение, превышающее границы, заданные в базовом плане, оно помечает эти вхождения как аномальные.
Хотя конфигурации устаревших правил нельзя изменить или точно настроить, можно дублировать правило, а затем изменить и точно настроить дубликат. В таких случаях выполните дубликат в режиме Flighting и оригинал одновременно в рабочем режиме. Затем сравните результаты, и если его тонкая настройка вас устраивает, переключите дубликат на Production.
Аномалии не обязательно указывают на вредоносное или даже подозрительное поведение сами по себе. Поэтому правила аномалий не создают собственные оповещения. Скорее, они записывают результаты их анализа ( обнаруженные аномалии) в таблице аномалий . Вы можете запросить эту таблицу, чтобы предоставить контекст, который улучшает обнаружение, расследование и поиск угроз.
Дополнительные сведения см. в статье Об использовании настраиваемых аномалий для обнаружения угроз в Microsoft Sentinel и работе с правилами аналитики обнаружения аномалий в Microsoft Sentinel.
Правила безопасности Майкрософт
Хотя правила NRT и запланированные правила автоматически создают инциденты для создаваемых оповещений, оповещения, созданные во внешних службах и приеме в Microsoft Sentinel, не создают собственные инциденты. Правила безопасности Майкрософт автоматически создают инциденты Microsoft Sentinel из оповещений, созданных в других решениях по безопасности Майкрософт в режиме реального времени. Вы можете использовать шаблоны безопасности Майкрософт для создания новых правил с аналогичной логикой.
Внимание
Правила безопасности Майкрософт недоступны , если у вас есть:
- Включена интеграция инцидентов XDR в Microsoft Defender или
- Подключение Microsoft Sentinel к порталу Defender.
В этих сценариях XDR в Microsoft Defender создает инциденты.
Все такие правила, которые вы определили заранее, автоматически отключаются.
Дополнительные сведения о правилах создания инцидентов безопасности Майкрософт см. в статье Автоматическое создание инцидентов из оповещений системы безопасности Майкрософт.
Аналитика угроз
Воспользуйтесь преимуществами аналитики угроз, созданной корпорацией Майкрософт, для создания оповещений и инцидентов с помощью правила Аналитики угроз Microsoft Threat Intelligence . Это уникальное правило не настраивается, но при включении автоматически совпадает с журналами общего формата событий (CEF), данными системного журнала или событиями DNS Windows с индикаторами угроз домена, IP-адреса и URL-адреса из Microsoft Threat Intelligence. Некоторые индикаторы содержат дополнительные сведения о контексте через MDTI (Microsoft Defender Threat Intelligence).
Дополнительные сведения о включении этого правила см. в статье "Использование аналитики сопоставления для обнаружения угроз".
Дополнительные сведения о MDTI см. в статье "Что такое Аналитика угроз в Microsoft Defender".
Расширенное обнаружение многоэтапных атак (Fusion)
Microsoft Sentinel использует подсистему корреляции Fusion со своими масштабируемыми алгоритмами машинного обучения для обнаружения расширенных многоэтапных атак путем сопоставления многих оповещений с низкой точностью и событиями в нескольких продуктах в высоконадежные и практические инциденты. Правило расширенного многосоставного обнаружения атак по умолчанию включено. Так как логика скрыта и поэтому не настраивается, существует только одно правило с этим шаблоном.
Модуль Fusion также может сопоставлять оповещения, созданные правилами запланированной аналитики , с оповещениями из других систем, создавая инциденты высокой точности в результате.
Внимание
Тип правила расширенного обнаружения многоступенчатых атакнедоступен, если у вас есть:
- Включена интеграция инцидентов XDR в Microsoft Defender или
- Подключение Microsoft Sentinel к порталу Defender.
В этих сценариях XDR в Microsoft Defender создает инциденты.
Кроме того, некоторые шаблоны обнаружения Fusion в настоящее время находятся в предварительной версии (см. дополнительные сведения об обнаружении многоэтапных атак в Microsoft Sentinel , чтобы узнать, какие из них). Дополнительные условия использования для предварительных версий Microsoft Azure см. в дополнительных юридических терминах, применимых к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.
аналитика поведения машинного обучения;
Воспользуйтесь преимуществами собственных алгоритмов машинного обучения Майкрософт для создания оповещений и инцидентов высокой точности с помощью правил аналитики поведения машинного обучения . Эти уникальные правила (в настоящее время в предварительной версии) нельзя настроить, но при включении они обнаруживают определенные аномальные действия входа SSH и RDP на основе IP-адресов, геолокации и информации о пользователях.
Разрешения доступа для правил аналитики
При создании правила аналитики маркер разрешений доступа применяется к правилу и сохраняется вместе с ним. Этот маркер гарантирует, что правило может получить доступ к рабочей области, содержащей данные, запрашиваемые правилом, и что этот доступ сохраняется, даже если создатель правила теряет доступ к этой рабочей области.
Однако существует одно исключение для этого доступа: если правило создается для доступа к рабочим областям в других подписках или клиентах, таких как то, что происходит в случае MSSP, Microsoft Sentinel принимает дополнительные меры безопасности, чтобы предотвратить несанкционированный доступ к данным клиентов. Для этих типов правил учетные данные пользователя, создавшего правило, применяются к правилу вместо независимого маркера доступа, чтобы, когда пользователь больше не имеет доступа к другой подписке или клиенту, правило перестает работать.
Если вы используете Microsoft Sentinel в сценарии с несколькими подписками или несколькими клиентами, когда один из аналитиков или инженеров теряет доступ к определенной рабочей области, все правила, созданные этим пользователем, перестают работать. В этой ситуации вы получите сообщение мониторинга работоспособности относительно "недостаточного доступа к ресурсу", и правило автоматически отключено после сбоя определенного количества раз.
Экспорт правил в шаблон ARM
Вы можете легко экспортировать правило в шаблон Azure Resource Manager (ARM), если вы хотите управлять и развертывать правила в виде кода. Кроме того, можно импортировать правила из файлов шаблонов, чтобы просматривать и изменять их в пользовательском интерфейсе.
Следующие шаги
Дополнительные сведения о правилах запланированной аналитики в Microsoft Sentinel и быстром обнаружении угроз с помощью правил аналитики почти в реальном времени (NRT) в Microsoft Sentinel.
Чтобы найти больше шаблонов правил, см. Обнаружение и управление содержимым Microsoft Sentinel из коробки.