Microsoft Sentinel 中的威胁检测
设置 Microsoft Sentinel 以收集整个组织的数据后,需要持续挖掘所有这些数据来检测对环境的安全威胁。 为完成此任务,Microsoft Sentinel 提供了定期运行的威胁检测规则,会查询和分析收集的数据以发现威胁。 这些规则采用几种不同的风格,统称为分析规则。
这些规则会在发现所查找的内容时生成警报。 警报包含有关检测到的事件的信息,例如涉及的实体(用户、设备、地址和其他项)。 警报经过聚合并关联到事件(事例文件)中,可以分配和调查这些事件,了解检测到的威胁的完整范围并相应做出响应。 还可以将预先确定的自动响应构建到规则自己的配置中。
可以使用内置分析规则向导从头开始创建这些规则。 但是,Azure 强烈建议你使用各种分析规则模板,这些模板通过内容中心中为 Microsoft Sentinel 提供的众多解决方案提供。 这些模板是预先构建的规则原型,由安全专家和分析师团队根据他们对已知威胁、常见攻击途径和可疑活动升级链的了解设计。 激活通过这些模板创建的规则可自动在环境中搜索任何看起来可疑的活动。 可以自定义许多模板以搜索特定类型的活动,或根据需要筛选它们。
本文可帮助你了解 Microsoft Sentinel 如何检测威胁,以及接下来会发生什么。
分析规则的类型
可以在 Microsoft Sentinel 的“配置”菜单的“分析”页上查看可用的分析规则和模板。 一个选项卡中显示了当前有效的规则,另一个选项卡中显示了用于创建新规则的模板。第三个选项卡显示异常信息,这是本文后面将介绍的特殊规则类型。
要查找除当前显示外的更多规则模板,请转到 Microsoft Sentinel 中的内容中心以安装相关产品解决方案或独立内容。 分析规则模板可用于内容中心内几乎每个产品解决方案。
Microsoft Sentinel 中提供了以下类型的分析规则和规则模板:
除了上述规则类型外,还有一些其他专用模板类型,每个类型都可以创建规则的一个实例,并提供一定的配置选项:
计划的规则
到目前为止,最常见的分析规则类型是“计划”规则,它基于 Kusto 查询,这些查询配置为定期运行,并检查定义的“回溯”周期中的原始数据。 如果查询捕获的结果数超过了规则中配置的阈值,规则将生成警报。
计划的规则模板中的查询由安全和数据科学专家编写,这些专家可能来自 Microsoft,也可能来自提供模板的解决方案供应商。 查询可以对其目标数据执行复杂的统计操作,并显示事件组中的基线和离群值。
查询逻辑显示在规则配置中。 可以使用模板中定义的查询逻辑以及计划和回溯设置,或对其进行自定义以创建新规则。 或者,也可以从头开始创建全新的规则。
详细了解 Microsoft Sentinel 中计划的分析规则。
准实时 (NRT) 规则
NRT 规则是计划的规则的有限子集。 设计为每分钟运行一次,以便尽可能为你提供最新信息。
它们的功能主要类似于计划规则并且配置类似,但有一些限制。
详细了解通过 Microsoft Sentinel 中的准实时 (NRT) 分析规则实现快速威胁检测。
Microsoft 安全规则
计划的规则和 NRT 规则会自动为其生成的警报创建事件,但在外部服务中生成并引入到 Microsoft Sentinel 中的警报不会创建自己的事件。 Microsoft 安全规则根据其他 Microsoft 安全解决方案中生成的警报自动实时创建 Microsoft Sentinel 事件。 可以使用 Microsoft 安全模板创建具有类似逻辑的新规则。
有关 Microsoft 安全事件创建规则的详细信息,请参阅从 Microsoft 安全警报自动创建事件。
高级多阶段攻击检测 ("Fusion")
Microsoft Sentinel 使用 Fusion 关联引擎及其可缩放的机器学习算法,通过将多个产品中的许多低保真警报和事件关联到高保真和可操作的事件中来检测高级多阶段攻击。 默认启用高级多阶段攻击检测规则。 由于逻辑是隐藏的,因此无法自定义,只能有一个使用此模板创建的规则。
Fusion 引擎也可以将由计划分析规则生成的警报与来自其他系统的警报相关联,从而生成高保真事件。
机器学习 (ML) 行为分析
利用 Microsoft 专有的机器学习算法,使用 ML 行为分析规则生成高保真警报和事件。 这些唯一规则(目前为预览版)不可自定义,但一经启用,会根据 IP 和地理位置和用户历史记录信息检测特定的异常 SSH 和 RDP 登录行为。
分析规则的访问权限
在创建分析规则时,访问权限令牌将应用于该规则并与其一起保存。 此令牌可确保规则可以访问包含规则所查询的数据的工作区,并且即使规则创建者失去对该工作区的访问权限,也会保持此访问权限。
但是,该访问有一个例外:在创建规则以访问其他订阅或租户中的工作区(例如对于 MSSP 所发生的情况)时,Microsoft Sentinel 会采取额外的安全措施来防止未经授权访问客户数据。 对于这些类型的规则,创建规则的用户凭据将应用于规则而不是独立的访问令牌,以便当用户不再有权访问其他订阅或租户时,规则将停止工作。
如果在跨订阅或跨租户方案中操作 Microsoft Sentinel,则如果其中一名分析师或工程师失去对特定工作区的访问权限,该用户创建的任何规则将会停止工作。 在这种情况下,你会收到有关“资源访问权限不足”的运行状况监视消息,并且规则会在失败一定次数后自动禁用。
将规则导出到 ARM 模板
如果要将规则作为代码进行管理和部署,可以轻松将规则导出到 Azure 资源管理器 (ARM) 模板。 还可以从模板文件导入规则,以便在用户界面中进行查看和编辑。