Brug trusselsindikatorer i analyseregler

  • Gælder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Styrke dine analyseregler med dine trusselsindikatorer for automatisk at generere beskeder baseret på den trusselsintelligens, du integrerede.

Forudsætninger

  • Trusselsindikatorer. Disse indikatorer kan være fra threat intelligence-feeds, trusselsintelligensplatforme, masseimport fra en flad fil eller manuelt input.
  • Datakilder. Hændelser fra dine dataconnectors skal overføres til dit Microsoft Sentinel arbejdsområde.
  • En analyseregel i formatet TI map.... Den skal bruge dette format, så den kan kortlægge de trusselsindikatorer, du har med de hændelser, du har indtaget.

Konfigurer en regel for at generere sikkerhedsbeskeder

I følgende eksempel kan du se, hvordan du aktiverer og konfigurerer en regel for at generere sikkerhedsbeskeder ved hjælp af de trusselsindikatorer, du har importeret til Microsoft Sentinel. I dette eksempel skal du bruge regelskabelonen kaldet TI-tilknytnings-IP-enhed til AzureActivity. Denne regel matcher enhver trusselsindikator af IP-adressetypen med alle dine Azure aktivitetshændelser. Når der findes et match, genereres der en besked sammen med en tilsvarende hændelse, som dit sikkerhedsteam skal undersøge.

Denne bestemte analyseregel kræver Azure Activity-dataconnectoren (for at importere dine Azure hændelser på abonnementsniveau). Den kræver også en eller begge af Threat Intelligence-dataconnectorerne (for at importere trusselsindikatorer). Denne regel udløses også fra importerede indikatorer eller manuelt oprettede indikatorer.

  1. Gå til Microsoft Sentinel i Azure Portal.

  2. Vælg det arbejdsområde, som du har importeret trusselsindikatorer til, ved hjælp af Dataconnectors til Threat Intelligence og Azure Aktivitet-data ved hjælp af dataconnectoren Azure Activity.

  3. I menuen Microsoft Sentinel under afsnittet Konfiguration skal du vælge Analyse.

  4. Vælg fanen Regelskabeloner for at få vist en liste over tilgængelige skabeloner til analyseregel.

  5. Find reglen med titlen TI-tilknytnings-IP-enhed til AzureActivity, og sørg for, at du har oprettet forbindelse til alle de påkrævede datakilder.

    Skærmbillede, der viser de påkrævede datakilder for TI-tilknytnings-IP-enheden til AzureActivity-analysereglen.

  6. Vælg TI-tilknytnings-IP-enheden til AzureActivity-reglen . Vælg derefter Opret regel for at åbne en guide til konfiguration af regler. Konfigurer indstillingerne i guiden, og vælg derefter Næste: Angiv regellogik >.

    Skærmbillede, der viser guiden Opret analyseregelkonfiguration.

  7. Regellogikdelen i guiden er udfyldt på forhånd med følgende elementer:

    • Den forespørgsel, der bruges i reglen.
    • Objekttilknytninger, som fortæller Microsoft Sentinel, hvordan objekter som konti, IP-adresser og URL-adresser genkendes. Hændelser og undersøgelser kan derefter forstå, hvordan du arbejder med dataene i alle sikkerhedsbeskeder, der er genereret af denne regel.
    • Tidsplanen for kørsel af denne regel.
    • Det antal forespørgselsresultater, der skal bruges, før der genereres en sikkerhedsbesked.

    Standardindstillingerne i skabelonen er:

    • Kør én gang i timen.
    • Match eventuelle trusselsindikatorer for IP-adresser fra tabellen ThreatIntelligenceIndicator med en hvilken som helst IP-adresse, der blev fundet inden for de sidste én time af hændelserne fra tabellen AzureActivity .
    • Opret en sikkerhedsbesked, hvis forespørgselsresultaterne er større end nul for at angive, at der blev fundet resultater.
    • Sørg for, at reglen er aktiveret.

    Du kan forlade standardindstillingerne eller ændre dem, så de opfylder dine krav. Du kan definere indstillinger for generering af hændelser under fanen Hændelsesindstillinger . Du kan finde flere oplysninger under Opret brugerdefinerede analyseregler for at registrere trusler. Når du er færdig, skal du vælge fanen Automatiseret svar .

  8. Konfigurer den automatisering, du vil udløse, når der genereres en sikkerhedsadvarsel ud fra denne analyseregel. Automatisering i Microsoft Sentinel bruger kombinationer af automatiseringsregler og -playbooks, der er baseret på Azure Logic Apps. Du kan få mere at vide under Selvstudium: Brug af playbooks med automatiseringsregler i Microsoft Sentinel. Når du er færdig, skal du vælge Næste: Gennemse > for at fortsætte.

  9. Når du får vist en meddelelse om, at regelvalideringen blev godkendt, skal du vælge Opret.

Gennemse dine regler

Find dine aktiverede regler under fanen Aktive regler i afsnittet Analytics i Microsoft Sentinel. Rediger, aktivér, deaktiver, dupliker eller slet den aktive regel derfra. Den nye regel kører umiddelbart efter aktiveringen og kører derefter efter den definerede tidsplan.

I henhold til standardindstillingerne genererer alle resultater, der findes, en sikkerhedsadvarsel, hver gang reglen kører efter dens tidsplan. Hvis du vil se sikkerhedsbeskeder i Microsoft Sentinel i afsnittet Logge i Microsoft Sentinel, skal du se tabellen SecurityAlert under gruppen Microsoft Sentinel.

I Microsoft Sentinel genererer de beskeder, der genereres ud fra analyseregler, også sikkerhedshændelser. I menuen Microsoft Sentinel under Threat Management skal du vælge Hændelser. Hændelser er det, dine sikkerhedsteams undersøger og undersøger for at finde de relevante svarhandlinger. Du kan få flere oplysninger under Selvstudium: Undersøg hændelser med Microsoft Sentinel.

Bemærk!

Da analyseregler begrænser opslag ud over 14 dage, opdaterer Microsoft Sentinel indikatorer hver 7. til 10. dag for at sikre, at de er tilgængelige til matchende formål via analysereglerne.

Relateret indhold

I denne artikel har du lært, hvordan du bruger threat intelligence-indikatorer til at registrere trusler. Du kan få mere at vide om trusselsintelligens i Microsoft Sentinel i følgende artikler:

  • Last updated on