Обнаружение угроз в Microsoft Sentinel

  • Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Важно!

Пользовательское обнаружение теперь является лучшим способом создания новых правил в Microsoft Sentinel SIEM Microsoft Defender XDR. Благодаря пользовательским обнаружениям можно сократить затраты на прием данных, получить неограниченное количество обнаружения в режиме реального времени и воспользоваться преимуществами простой интеграции с Defender XDR данными, функциями и действиями по исправлению с помощью автоматического сопоставления сущностей. Дополнительные сведения см. в этом блоге.

После настройки Microsoft Sentinel для сбора данных со всей организации необходимо постоянно просматривать все эти данные, чтобы обнаружить угрозы безопасности для вашей среды. Для выполнения этой задачи Microsoft Sentinel предоставляет правила обнаружения угроз, которые выполняются регулярно, запрашивая собранные данные и анализируя их для обнаружения угроз. Эти правила имеют несколько различных вариантов и в совокупности называются правилами аналитики.

Эти правила создают оповещения , когда они находят то, что им нужно. Оповещения содержат сведения об обнаруженных событиях, такие как задействованные сущности (пользователи, устройства, адреса и другие элементы). Оповещения агрегируются и сопоставляются с инцидентами ( файлами обращений), которые можно назначить и исследовать , чтобы узнать всю степень обнаруженной угрозы и соответствующим образом реагировать. Вы также можете создавать предопределенные автоматические ответы в собственной конфигурации правил.

Эти правила можно создать с нуля с помощью встроенного мастера правил аналитики. Однако корпорация Майкрософт настоятельно рекомендует использовать широкий набор шаблонов правил аналитики, доступных через множество решений для Microsoft Sentinel, предоставляемых в центре содержимого. Эти шаблоны представляют собой готовые прототипы правил, разработанные командами экспертов по безопасности и аналитиков на основе их знаний об известных угрозах, общих векторах атак и цепочках эскалации подозрительных действий. Вы активируете правила из этих шаблонов для автоматического поиска в среде любых действий, которые выглядят подозрительными. Многие шаблоны можно настроить для поиска определенных типов событий или отфильтровать их в соответствии с вашими потребностями.

Эта статья поможет вам понять, как Microsoft Sentinel обнаруживает угрозы и что происходит дальше.

Важно!

После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.

Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.

Типы правил аналитики

Правила и шаблоны аналитики, доступные для использования, можно просмотреть на странице Аналитика меню Конфигурация в Microsoft Sentinel. Действующие в настоящее время правила отображаются на одной вкладке, а шаблоны для создания новых правил — на другой вкладке. На третьей вкладке отображаются аномалии , специальный тип правила, описанный далее в этой статье.

Чтобы найти больше шаблонов правил, чем отображается в настоящее время, перейдите в центр содержимого в Microsoft Sentinel, чтобы установить связанные решения продуктов или автономное содержимое. Шаблоны правил аналитики доступны практически для каждого решения продукта в центре содержимого.

В Microsoft Sentinel доступны следующие типы правил аналитики и шаблоны правил:

Помимо предыдущих типов правил, существуют и другие специализированные типы шаблонов, каждый из которых может создать один экземпляр правила с ограниченными параметрами конфигурации:

Запланированные правила

На сегодняшний день наиболее распространенный тип правила аналитики, запланированные правила основаны на запросах Kusto , которые настроены для выполнения через регулярные интервалы и проверки необработанных данных из определенного периода просмотра. Если количество результатов, полученных запросом, проходит пороговое значение, заданное в правиле, правило создает оповещение.

Запросы в шаблонах правил по расписанию были написаны экспертами по безопасности и обработке и анализу данных либо из корпорации Майкрософт, либо от поставщика решения, предоставляющего шаблон. Запросы могут выполнять сложные статистические операции с целевыми данными, выявляя базовые показатели и выбросы в группах событий.

Логика запроса отображается в конфигурации правила. Вы можете использовать логику запроса, параметры планирования и обратного просмотра, как определено в шаблоне, или настроить их для создания новых правил. Кроме того, можно создавать совершенно новые правила с нуля.

Дополнительные сведения о правилах аналитики по расписанию см. в Microsoft Sentinel.

Правила почти в реальном времени (NRT)

Правила NRT — это ограниченное подмножество запланированных правил. Они предназначены для работы раз в минуту, чтобы предоставить вам информацию как можно до минуты.

Они работают в основном как запланированные правила и настраиваются аналогично, с некоторыми ограничениями.

Дополнительные сведения о быстром обнаружении угроз с помощью правил аналитики практически в реальном времени (NRT) см. в Microsoft Sentinel.

Правила аномалий

Правила аномалий используют машинное обучение для наблюдения за определенными типами поведения в течение определенного периода времени для определения базовых показателей. Каждое правило имеет свои уникальные параметры и пороговые значения, соответствующие анализируемого поведения. После завершения периода наблюдения устанавливается базовый план. Когда правило наблюдает за поведением, превышающим границы, заданные в базовом плане, оно помечает эти вхождений как аномальные.

Хотя конфигурации встроенных правил нельзя изменить или настроить, можно дублировать правило, а затем изменить и настроить его. В таких случаях запустите дубликат в режиме flighting , а исходный — одновременно в режиме "Рабочий ". Затем сравните результаты и переключите дубликат в рабочую , если и когда его точная настройка соответствует вашему вкусу.

Аномалии не обязательно указывают на вредоносное или даже подозрительное поведение сами по себе. Поэтому правила аномалий не создают собственные оповещения. Вместо этого они записывают результаты анализа ( обнаруженные аномалии) в таблицу Аномалии . Вы можете запросить эту таблицу, чтобы предоставить контекст, который улучшает обнаружение, исследование и охоту на угрозы.

Дополнительные сведения см. в разделах Использование настраиваемых аномалий для обнаружения угроз в Microsoft Sentinel и Работа с правилами аналитики обнаружения аномалий в Microsoft Sentinel.

Правила безопасности Майкрософт

Хотя правила по расписанию и NRT автоматически создают инциденты для создаваемых ими оповещений, оповещения, созданные во внешних службах и полученные в Microsoft Sentinel, не создают собственные инциденты. Правила безопасности Майкрософт автоматически создают Microsoft Sentinel инциденты из оповещений, созданных в других решениях майкрософт для обеспечения безопасности, в режиме реального времени. Вы можете использовать шаблоны безопасности Майкрософт для создания новых правил с аналогичной логикой.

Важно!

Правила безопасности Майкрософт недоступны , если у вас есть:

В этих сценариях вместо этого Microsoft Defender XDR создает инциденты.

Все предварительно определенные правила автоматически отключаются.

Дополнительные сведения о правилах создания инцидентов безопасности Майкрософт см. в статье Автоматическое создание инцидентов из оповещений системы безопасности Майкрософт.

Аналитика угроз

Воспользуйтесь преимуществами аналитики угроз, созданной корпорацией Майкрософт, для создания оповещений и инцидентов с высоким уровнем точности с помощью правила Аналитики угроз Майкрософт . Это уникальное правило не настраивается, но если оно включено, оно автоматически сопоставляет журналы общего формата событий (CEF), данные системного журнала или события Windows DNS с индикаторами угроз домена, IP-адресов и URL-адресов из Microsoft Threat Intelligence. Некоторые индикаторы содержат дополнительные сведения о контексте через MDTI (Аналитика угроз Microsoft Defender).

Дополнительные сведения о том, как включить это правило, см. в статье Использование соответствующей аналитики для обнаружения угроз.
Дополнительные сведения о MDTI см. в статье Что такое Аналитика угроз Microsoft Defender.

Расширенное обнаружение многоэтапных атак (Fusion)

Microsoft Sentinel использует подсистему корреляции Fusion с масштабируемыми алгоритмами машинного обучения для обнаружения сложных многоэтапных атак путем корреляции многих оповещений и событий с низкой точностью в нескольких продуктах с высокой точностью и практическими инцидентами. Расширенное правило обнаружения многоэтапных атак включено по умолчанию. Так как логика скрыта и поэтому не настраивается, с этим шаблоном может быть только одно правило.

Подсистема Fusion также может сопоставлять оповещения, созданные правилами плановой аналитики , с оповещениями из других систем, создавая в результате инциденты с высокой точностью.

Важно!

Тип расширенного правила обнаружения многоэтапных атакнедоступен , если у вас есть:

В этих сценариях вместо этого Microsoft Defender XDR создает инциденты.

Кроме того, некоторые шаблоны обнаружения Fusion в настоящее время находятся в предварительной версии (см. раздел Расширенное обнаружение многоэтапных атак в Microsoft Sentinel, чтобы узнать, какие из них). Дополнительные юридические условия, применимые к Azure функциям, которые находятся в бета-версии, предварительной версии или еще не выпущены в общедоступной версии, см. в дополнительных условиях использования для microsoft Azure preview.

Аналитика поведения машинного обучения (ML)

Воспользуйтесь преимуществами собственных алгоритмов машинного обучения Майкрософт для создания оповещений и инцидентов с высоким уровнем точности с помощью правил аналитики поведения машинного обучения . Эти уникальные правила (в настоящее время находятся в предварительной версии) не настраиваются, но если они включены, обнаруживают определенные аномальные поведения входа по протоколу SSH и RDP на основе IP-адресов, геолокации и сведений журнала пользователей.

Разрешения доступа для правил аналитики

При создании правила аналитики маркер разрешений доступа применяется к правилу и сохраняется вместе с ним. Этот маркер гарантирует, что правило может получить доступ к рабочей области, содержащей данные, запрашиваемые правилом, и что этот доступ сохраняется, даже если создатель правила потеряет доступ к этой рабочей области.

Однако существует одно исключение из этого доступа: когда создается правило для доступа к рабочим областям в других подписках или клиентах, например что происходит в случае с MSSP, Microsoft Sentinel принимает дополнительные меры безопасности, чтобы предотвратить несанкционированный доступ к данным клиентов. Для таких правил учетные данные пользователя, создавшего правило, применяются к правилу вместо независимого маркера доступа, поэтому, когда у пользователя больше нет доступа к другой подписке или клиенту, правило перестает работать.

Если вы работаете Microsoft Sentinel в сценарии с несколькими подписками или несколькими клиентами, когда один из ваших аналитиков или инженеров теряет доступ к определенной рабочей области, все правила, созданные этим пользователем, перестают работать. В этой ситуации вы получите сообщение мониторинга работоспособности о "недостаточном доступе к ресурсу", и правило автоматически отключается после определенного количества неудачных попыток.

Экспорт правил в шаблон ARM

Вы можете легко экспортировать правило в шаблон Azure Resource Manager (ARM), если хотите управлять правилами и развертывать их в виде кода. Вы также можете импортировать правила из файлов шаблонов, чтобы просмотреть и изменить их в пользовательском интерфейсе.

Дальнейшие действия

  • Last updated on