Шаг 3. Прием источников данных и настройка обнаружения инцидентов в Microsoft Sentinel
После завершения разработки и реализации рабочих областей Microsoft Sentinel перейдите к приему источников данных и настройке обнаружения инцидентов.
Решения в Microsoft Sentinel предоставляют объединенный способ получения содержимого Microsoft Sentinel, например соединителей данных, книг, аналитики и автоматизации в рабочей области с одним шагом развертывания.
Соединители данных настроены для включения приема данных в рабочую область. После включения ключевых точек данных для приема в Microsoft Sentinel, аналитику поведения пользователей и сущностей (UEBA) и правила аналитики также должны быть включены для записи аномальных и вредоносных действий. Правила аналитики определяют способ создания оповещений и инцидентов в экземпляре Microsoft Sentinel. Настройка правил аналитики в соответствии с потребностями вашей среды и организации с помощью сопоставления сущностей позволяет создавать инциденты высокой точности и уменьшать усталость от оповещений.
Если вы ввели рабочую область на единую платформу операций безопасности, процедуры, описанные на этом шаге, доступны как на порталах Azure, так и на порталах Defender.
Подготовка к работе
Подтвердите метод установки, необходимые роли и лицензии, необходимые для включения соединителей данных. Дополнительные сведения см. в статье Поиск нужных соединителей данных Microsoft Sentinel.
В следующей таблице приведена сводка необходимых компонентов, необходимых для приема ключевых соединителей данных Microsoft Sentinel для Azure и службы Майкрософт:
| Тип ресурса | Метод установки | Необходимые роли и разрешения/ лицензия |
|---|---|---|
| Microsoft Entra ID | Соединитель собственных данных | администратор безопасности; Для журналов входа требуется лицензия Microsoft Entra ID P1 или P2 Другие журналы не требуют P1 или P2 |
| Защита идентификации Microsoft Entra | Собственный соединитель данных | администратор безопасности; Лицензия: Идентификатор Microsoft Entra ID P2 |
| Действия Azure | Политика Azure | Роль владельца, необходимая для подписок |
| Microsoft Defender XDR | Собственный соединитель данных | администратор безопасности; Лицензия: Microsoft 365 E5, Microsoft 365 A5 или любая другая лицензия на XDR в Microsoft Defender |
| Microsoft Defender для облака | Собственный соединитель данных | читатель сведений о безопасности; Чтобы включить двунаправленную синхронизацию, роль участника или администратора безопасности требуется в подписке. |
| Microsoft Defender для удостоверений | Собственный соединитель данных | администратор безопасности; Лицензия: Microsoft Defender для удостоверений |
| Microsoft Defender для Office 365 | Собственный соединитель данных | администратор безопасности; Лицензия: план 2 Microsoft Defender для Office 365 |
| Microsoft 365 | Собственный соединитель данных | администратор безопасности; |
| Microsoft Defender для Интернета вещей | Участник подписки с центрами Интернета вещей | |
| Microsoft Defender for Cloud Apps | Собственный соединитель данных | администратор безопасности; Лицензия: приложения Microsoft Defender для облака |
| Microsoft Defender для конечной точки | Собственный соединитель данных | администратор безопасности; Лицензия: Microsoft Defender для конечной точки |
| События безопасности Windows с помощью агента Azure Monitor (AMA) |
Собственный соединитель данных с агентом | Чтение и запись в рабочей области Log Analytics |
| Syslog | Собственный соединитель данных с агентом | Чтение и запись рабочей области Log Analytics |
Шаг 1. Установка решений и включение соединителей данных
Используйте следующие рекомендации, чтобы приступить к установке решений и настройке соединителей данных. Дополнительные сведения см. в разделе:
- Каталог центра содержимого Microsoft Sentinel
- Обнаружение и менеджер содержимого Microsoft Sentinel вне коробки
Настройка бесплатных источников данных
Начните с фокуса на настройке бесплатных источников данных для приема, в том числе:
Журналы действий Azure. Прием журналов действий Azure критически важен при включении Microsoft Sentinel для предоставления одноуровневого представления стекла в среде.
Журналы аудита Office 365, включая все действия SharePoint, действия администратора Exchange и Teams.
Оповещения системы безопасности, включая оповещения из Microsoft Defender для облака, XDR в Microsoft Defender, Microsoft Defender для Office 365, Microsoft Defender для удостоверений и Microsoft Defender для конечной точки.
Если вы не включили рабочую область на единую платформу операций безопасности и работаете в портал Azure, прием оповещений системы безопасности в Microsoft Sentinel позволяет портал Azure быть главной областью управления инцидентами в среде. В таких случаях расследование инцидентов начинается в Microsoft Sentinel и должно продолжаться на портале Microsoft Defender или Defender для облака, если требуется более глубокий анализ.
Дополнительные сведения см. в статье об инцидентах XDR в Microsoft Defender и правилах создания инцидентов Майкрософт.
Microsoft Defender для облака оповещения приложений.
Дополнительные сведения см. в разделе о ценах На Microsoft Sentinel и бесплатных источниках данных.
Настройка платных источников данных
Чтобы обеспечить более широкий охват мониторинга и оповещений, сосредоточьтесь на добавлении идентификатора Microsoft Entra и соединителей данных XDR в Microsoft Defender. Плата за прием данных из этих источников взимается.
Не забудьте отправить журналы XDR в Microsoft Sentinel в Microsoft Sentinel, если требуется выполнить одно из следующих действий:
- Подключение к единой платформе операций безопасности, которая предоставляет единый портал для управления инцидентами в Microsoft Defender.
- Оповещения слияния Microsoft Sentinel, которые сопоставляют источники данных из нескольких продуктов для обнаружения многоэтапных атак в среде.
- Более длительное хранение , чем то, что предлагается в XDR в Microsoft Defender.
- Автоматизация, не охватываемая встроенными исправлениями, предлагаемыми Microsoft Defender для конечной точки.
Дополнительные сведения см. в разделе:
- Интеграция Microsoft 365 Defender
- Подключение данных из XDR в Microsoft Defender к Microsoft Sentinel
- Подключение данных Microsoft Entra к Microsoft Sentinel
Настройка источников данных для вашей среды
В этом разделе описаны источники данных, которые вы можете использовать, в зависимости от служб и методов развертывания, используемых в вашей среде.
| Сценарий | Источники данных |
|---|---|
| Службы Azure; | Если в Azure развернута любая из следующих служб, используйте следующие соединители для отправки журналов диагностики этих ресурсов в Microsoft Sentinel: - Брандмауэр Azure - Шлюз приложений Azure - Key Vault - Служба Azure Kubernetes - Azure SQL - Группы безопасности сети - Серверы Azure-Arc Рекомендуется настроить Политика Azure, чтобы их журналы перенаправились в базовую рабочую область Log Analytics. Дополнительные сведения см. в статье "Создание параметров диагностики в масштабе с помощью Политика Azure". |
| Виртуальные машины | Для виртуальных машин, размещенных в локальной среде или в других облаках, требующих сбора журналов, используйте следующие соединители данных: - события Безопасность Windows с помощью AMA — события через Defender для конечной точки (для сервера) - Syslog |
| Сетевые виртуальные устройства / локальные источники | Для сетевых виртуальных устройств или других локальных источников, создающих журналы Common Event Format (CEF) или SYSLOG, используйте следующие соединители данных: - Системный журнал через AMA - Общий формат событий (CEF) через AMA Дополнительные сведения см. в статье Ingest Syslog и CEF messages to Microsoft Sentinel с агентом Azure Monitor. |
По завершении выполните поиск в Центре содержимого Microsoft Sentinel для других устройств и программного обеспечения как службы (SaaS), которые требуют отправки журналов в Microsoft Sentinel.
Дополнительные сведения см. в статье "Обнаружение и управление содержимым Microsoft Sentinel вне поля".
Шаг 2. Включение аналитики поведения сущностей пользователя
После настройки соединителей данных в Microsoft Sentinel обязательно включите аналитику поведения сущностей пользователей, чтобы определить подозрительное поведение, которое может привести к фишинговым эксплойтам и в конечном итоге атакам, таким как программ-шантажистов. Часто обнаружение аномалий с помощью UEBA является лучшим способом обнаружения эксплойтов нулевого дня на ранних этапах.
Использование UEBA позволяет Microsoft Sentinel создавать профили поведения сущностей вашей организации во время и одноранговой группе для выявления аномальных действий. Это добавило служебные средства в экспедиции определения того, был ли скомпрометирован ресурс. Так как он определяет связь одноранговых групп, это также может помочь в определении радиуса взрыва указанного компромисса.
Дополнительные сведения см. в статье "Определение угроз с помощью аналитики поведения сущностей"
Шаг 3. Включение правил аналитики
Мозги Microsoft Sentinel приходят из аналитических правил. Это правила, которые вы устанавливаете, чтобы сообщить Microsoft Sentinel о событиях с набором условий, которые вы считаете важным. Устаревшие решения Microsoft Sentinel основаны на аналитике поведения сущностей пользователя (UEBA) и корреляции данных между несколькими источниками данных.
При включении правил аналитики для Microsoft Sentinel приоритет включает подключенные источники данных, организационный риск и тактику MITRE.
Избегайте повторяющихся инцидентов
Если вы включили соединитель XDR в Microsoft Defender, автоматически устанавливается двунаправленная синхронизация между инцидентами в 365 Defender и Microsoft Sentinel.
Чтобы избежать создания повторяющихся инцидентов для одинаковых оповещений, рекомендуется отключить все правила создания инцидентов Майкрософт для интегрированных с Microsoft Defender XDR продуктов, включая Defender для конечной точки, Defender для удостоверений, Defender для Office 365, Defender для облака приложения и Защита идентификации Microsoft Entra.
Дополнительные сведения см. в статье об инцидентах XDR в Microsoft Defender и правилах создания инцидентов Майкрософт.
Использование оповещений fusion
По умолчанию Microsoft Sentinel позволяет расширенному правилу обнаружения многоэтапных атак Fusion автоматически определять многоэтапные атаки.
Используя аномальное поведение и подозрительные события активности, наблюдаемые в цепочке кибер-убийств, Microsoft Sentinel создает инциденты, которые позволяют видеть инциденты компрометации с двумя или более действиями оповещения в нем с высокой степенью достоверности.
Технология оповещения Fusion сопоставляет широкие точки сигналов данных с расширенным анализом машинного обучения, чтобы помочь определить известные, неизвестные и возникающие угрозы. Например, обнаружение fusion может принимать шаблоны правил аномалий и запланированные запросы, созданные для сценария программ-шантажистов, и связать их с оповещениями из служб Microsoft Security Suite, таких как:
- Защита идентификации Microsoft Entra
- Microsoft Defender для облака
- Microsoft Defender для Интернета вещей
- Microsoft Defender XDR
- Microsoft Defender для облачных приложений
- Защитник Майкрософт для конечных точек
- Microsoft Defender для удостоверений
- Microsoft Defender для Office 365;
Использование правил аномалий
Правила аномалий Microsoft Sentinel доступны вне поля и включены по умолчанию. Правила аномалий основаны на моделях машинного обучения и UEBA, которые обучают данные в рабочей области, чтобы пометить аномальное поведение между пользователями, узлами и другими пользователями.
Часто фишинговая атака приводит к шагу выполнения, таком как локальная или облачная обработка или управление учетными записями или выполнение вредоносных скриптов. Правила аномалий выглядят точно для таких типов действий, как:
- Аномальный отзыв доступа к учетной записи
- Аномальное создание учетной записи
- Аномальное удаление учетной записи
- Аномальные операции с учетной записью
- Аномальное выполнение кода (UEBA)
- Аномальное уничтожение данных
- Аномальное изменение защитного механизма
- Аномальный сбой входа
- Аномальный сброс пароля
- Аномальное предоставление привилегий
- Аномальная попытка входа
Просмотрите правила аномалии и пороговую оценку аномалий для каждого из них. Если вы наблюдаете ложные срабатывания, например, рассмотрите возможность дедупликации правила и изменения порогового значения, выполнив действия, описанные в правилах настройки аномалий.
Использование правила аналитики Аналитики угроз Майкрософт
После просмотра и изменения правил слияния и аномалий включите правило аналитики аналитики угроз Microsoft Threat Intelligence. Убедитесь, что это правило соответствует данным журнала с аналитикой угроз, созданной корпорацией Майкрософт. Корпорация Майкрософт имеет обширный репозиторий данных аналитики угроз, и это правило аналитики использует подмножество для создания оповещений с высокой точностью и инцидентов для групп SOC (центры управления безопасностью) для обработки.
Проведение перехода MITRE Att&ck
С поддержкой слияния, аномалии и правил аналитики аналитики угроз проводите переход MITRE Attck, чтобы помочь вам решить, какие оставшиеся аналитические правила позволяют и завершить реализацию зрелого процесса XDR (расширенного обнаружения и ответа). Это позволяет обнаруживать и реагировать на них на протяжении всего жизненного цикла атаки.
Отдел исследований MITRE Attck создал метод MITRE, и он предоставляется как часть Microsoft Sentinel, чтобы упростить реализацию. Убедитесь, что у вас есть аналитические правила, которые растягивают длину и ширину подхода к векторам атак.
Просмотрите методы MITRE, которые рассматриваются существующими активными правилами аналитики.
Выберите "Шаблоны правил аналитики" и "Правила аномалий" в раскрывающемся списке "Имитация ". В этом разделе показано, где у вас есть тактика злоумышленника и /или методы, охватываемые и где есть доступные аналитические правила, которые следует рассмотреть, чтобы улучшить охват.
Например, чтобы обнаружить потенциальные фишинговые атаки, просмотрите шаблоны правил аналитики для метода фишинга и определите приоритеты включения правил, которые специально запрашивают источники данных, которые были подключены к Microsoft Sentinel.
Как правило, существует пять этапов атаки программ-шантажистов, и фишинг попадает под начальный доступ, как показано на следующих изображениях:
Выполните оставшиеся действия, чтобы покрыть всю цепочку убийств соответствующими правилами аналитики:
- Первоначальный доступ
- Кража учетных данных
- Перемещение внутри периметра
- Сохраняемость
- Уклонение от защиты
- Эксфильтрация (это место обнаружения программы-шантажистов)
Рекомендуемое обучение
В настоящее время обучающее содержимое не охватывает единую платформу операций безопасности.
Подключение данных к Microsoft Sentinel с помощью соединителей данных
| Обучение | Подключение данных к Microsoft Sentinel с помощью соединителей данных |
|---|---|
|
Основной подход к подключению данных журнала — это использование соединителей данных, предоставленных в Microsoft Sentinel. Этот модуль содержит общие сведения о доступных соединителях данных. |
Задание. Подключение журналов к Microsoft Sentinel
| Обучение | Задание. Подключение журналов к Microsoft Sentinel |
|---|---|
|
Подключение данных в масштабе облака для всех пользователей, устройств, приложений и инфраструктуры как локально, так и из нескольких облаков в Microsoft Sentinel. |
Выявление угроз с помощью аналитики поведения
| Обучение | Определение угроз с помощью аналитики поведения |
|---|---|
|
Основной подход к подключению данных журнала — это использование соединителей данных, предоставленных в Microsoft Sentinel. Этот модуль содержит общие сведения о доступных соединителях данных. |
Следующие шаги
Перейдите к шагу 4, чтобы ответить на инцидент.
