Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
重要
注意:根据世纪互联发布的公告,所有 Microsoft Sentinel 功能将在 2026 年 8 月 18 日于中国地区的 Azure 平台正式停用。
在配置 Microsoft Sentinel 以从整个组织收集数据后,需要持续分析所有数据以检测对环境的安全威胁。 为了完成此任务,Microsoft Sentinel提供定期运行的威胁检测规则,查询收集的数据和分析以发现威胁。 这些规则采用几种不同的风格,统称为分析规则。
这些规则会在发现所查找的内容时生成警报。 警报包含有关检测到的事件的信息,例如涉及的实体(用户、设备、地址和其他项)。 警报经过聚合并关联到事件(事例文件)中,可以分配和调查这些事件,了解检测到的威胁的完整范围并相应做出响应。 还可以将预设的自动化响应构建到规则本身的配置中。
可以使用内置分析规则向导从头开始创建这些规则。 但是,Azure强烈建议你使用内容中心中提供的众多 Microsoft Sentinel 解决方案,通过这些解决方案中的分析规则模板。 这些模板是预先构建的规则原型,由安全专家和分析师团队根据他们对已知威胁、常见攻击途径和可疑活动升级链的了解设计。 激活通过这些模板创建的规则可自动在环境中搜索任何看起来可疑的活动。 可以自定义许多模板以搜索特定类型的活动,或根据需要筛选它们。
本文可帮助你了解Microsoft Sentinel如何检测威胁,以及接下来会发生什么。
分析规则的类型
可以查看Microsoft Sentinel中 configuration 菜单上的 Analytics 页上可用的分析规则和模板。 一个选项卡中显示了当前有效的规则,另一个选项卡中显示了用于创建新规则的模板。第三个选项卡显示异常信息,这是本文后面将介绍的特殊规则类型。
若要查找比当前显示的更多规则模板,请转到 Microsoft Sentinel 中的 Content hub,以安装相关的产品解决方案或独立内容。 分析规则模板可用于内容中心内几乎每个产品解决方案。
Microsoft Sentinel中提供了以下类型的分析规则和规则模板:
除了上述规则类型外,还有一些其他专用模板类型,每个类型都可以创建规则的一个实例,并提供一定的配置选项:
计划的规则
到目前为止,最常见的分析规则类型是“计划”规则,这些规则基于 Kusto 查询,这些查询被配置为定期运行,并检查定义的“回溯”周期中的原始数据。 如果查询捕获的结果数超过了规则中配置的阈值,规则将生成警报。
计划的规则模板中的查询是由安全和数据科学专家编写的,无论是来自Microsoft还是来自提供模板的解决方案供应商。 查询可以对其目标数据执行复杂的统计操作,并显示事件组中的基线和离群值。
查询逻辑显示在规则配置中。 可以使用模板中定义的查询逻辑以及计划和回溯设置,或对其进行自定义以创建新规则。 或者,也可以从头开始创建全新的规则。
在 Microsoft Sentinel 中详细了解 Scheduled analytics 规则。
准实时 (NRT) 规则
NRT 规则是已规划规则的有限子集。 设计为每分钟运行一次,以便尽可能为你提供最新信息。
它们的功能主要类似于计划规则并且配置类似,但有一些限制。
详细了解 Microsoft Sentinel 中的快速威胁检测和近实时(NRT)分析规则。
Microsoft安全规则
虽然计划规则和 NRT 规则会自动为它们生成的警报创建事件,但在外部服务中生成并引入到 Microsoft Sentinel 的警报不会自动创建事件。 Microsoft安全规则可实时从其他Microsoft安全解决方案中生成的警报自动创建Microsoft Sentinel事件。 可以使用Microsoft安全模板创建具有类似逻辑的新规则。
有关 Microsoft 安全事件创建规则的更多信息,请参阅 从 Microsoft 安全警报自动创建事件。
高级多阶段攻击检测 ("Fusion")
Microsoft Sentinel使用 Fusion 相关引擎及其可缩放的机器学习算法,通过将多个产品的许多低保真警报和事件关联到高保真和可操作的事件来检测高级多阶段攻击。 默认启用高级多阶段攻击检测规则。 由于逻辑是隐藏的,因此无法自定义,只能有一个使用此模板创建的规则。
Fusion 引擎也可以将由计划分析规则生成的警报与来自其他系统的警报相关联,从而生成高保真事件。
机器学习 (ML) 行为分析
利用Microsoft专有机器学习算法,使用 ML 行为分析规则生成高保真警报和事件。 这些唯一规则(目前为预览版)不可自定义,但一经启用,会根据 IP 和地理位置和用户历史记录信息检测特定的异常 SSH 和 RDP 登录行为。
分析规则的访问权限
在创建分析规则时,访问权限令牌将应用于该规则并与其一起保存。 此令牌可确保规则可以访问包含规则所查询的数据的工作区,并且即使规则创建者失去对该工作区的访问权限,也会保持此访问权限。
这种访问存在一个例外情况,当创建规则以访问其他订阅或租户中的工作区时,例如在 MSSP 的情况下,Microsoft Sentinel 采取额外的安全措施来防止对顾客数据的未经授权访问。 对于这些类型的规则,创建规则的用户凭据将应用于规则而不是独立的访问令牌,以便当用户不再有权访问其他订阅或租户时,规则将停止工作。
如果在跨订阅或跨租户方案中运行Microsoft Sentinel,当其中一位分析师或工程师无法访问特定工作区时,该用户创建的任何规则将停止工作。 在这种情况下,你会收到有关“资源访问权限不足”的运行状况监视消息,并且规则会在失败一定次数后自动禁用。
将规则导出到 ARM 模板
如果要将规则作为代码进行管理和部署,可以轻松地将规则导出到 Azure 资源管理器 (ARM) 模板。 还可以从模板文件导入规则,以便在用户界面中进行查看和编辑。
后续步骤
详细了解 Microsoft Sentinel 中的计划分析规则 和 Microsoft Sentinel 中的近实时 (NRT) 分析规则进行快速威胁检测。
若要查找更多规则模板,请参阅 Microsoft Sentinel 开箱即用的内容的发现和管理。