Självstudie: Identifiera hot med hjälp av analysregler i Microsoft Sentinel

Viktigt

Anpassade identifieringar är nu det bästa sättet att skapa nya regler i Microsoft Sentinel SIEM-Microsoft Defender XDR. Med anpassade identifieringar kan du minska kostnaderna för inmatning, få obegränsade identifieringar i realtid och dra nytta av sömlös integrering med Defender XDR data, funktioner och reparationsåtgärder med automatisk entitetsmappning. Mer information finns i den här bloggen.

Som en SIEM-tjänst (Security Information and Event Management) ansvarar Microsoft Sentinel för att identifiera säkerhetshot mot din organisation. Det gör den genom att analysera de enorma datavolymer som genereras av alla systemloggar.

I den här självstudien får du lära dig hur du konfigurerar en Microsoft Sentinel analysregel från en mall för att söka efter sårbarheter i Apache Log4j i din miljö. Regeln kommer att rama in användarkonton och IP-adresser som finns i loggarna som spårbara entiteter, visa viktig information i aviseringarna som genereras av reglerna och paketaviseringar som incidenter som ska undersökas.

När du har slutfört den här självstudien kan du:

  • Skapa en analysregel från en mall
  • Anpassa en regels fråga och inställningar
  • Konfigurera de tre typerna av aviseringsberikning
  • Välj automatiska hotsvar för dina regler

Förhandskrav

För att slutföra den här självstudien kontrollerar du att du har:

  • En Azure-prenumeration. Skapa ett kostnadsfritt konto om du inte redan har ett.

  • En Log Analytics-arbetsyta med den Microsoft Sentinel lösningen distribuerad på den och data som matas in i den.

  • En Azure användare med rollen Microsoft Sentinel deltagare tilldelad på Log Analytics-arbetsytan där Microsoft Sentinel distribueras.

  • Följande datakällor refereras till i den här regeln. Ju fler av dessa du har distribuerat anslutningsappar för, desto effektivare blir regeln. Du måste ha minst en.

    Datakälla Log Analytics-tabeller som refereras
    Office 365 OfficeActivity (SharePoint)
    OfficeActivity (Exchange)
    OfficeActivity (Teams)
    DNS DnsEvents
    Azure Monitor (VM Insights) VMConnection
    Cisco ASA CommonSecurityLog (Cisco)
    Palo Alto Networks (brandvägg) CommonSecurityLog (PaloAlto)
    Säkerhetshändelser SecurityEvents
    Microsoft Entra ID SigninLogs
    AADNonInteractiveUserSignInLogs
    Azure Monitor (WireData) WireData
    Azure Monitor (IIS) W3CIISLog
    Azure aktivitet AzureActivity
    Amazon Web Services AWSCloudTrail
    Microsoft Defender XDR DeviceNetworkEvents
    Azure Firewall AzureDiagnostics (Azure Firewall)

Logga in på Azure Portal och Microsoft Sentinel

  1. Logga in på Azure-portalen.

  2. I sökfältet söker du efter och väljer Microsoft Sentinel.

  3. Sök efter och välj din arbetsyta i listan över tillgängliga Microsoft Sentinel arbetsytor.

Installera en lösning från innehållshubben

  1. I Microsoft Sentinel går du till menyn till vänster under Innehållshantering och väljer Innehållshubb.

  2. Sök efter och välj lösningen Log4j Sårbarhetsidentifiering.

  3. I verktygsfältet längst upp på sidan väljer du Installera/uppdatera.

Skapa en schemalagd analysregel från en mall

  1. I Microsoft Sentinel går du till menyn till vänster under Konfiguration och väljer Analys.

  2. På sidan Analys väljer du fliken Regelmallar .

  3. I sökfältet överst i listan över regelmallar anger du log4j.

  4. I den filtrerade listan med mallar väljer du Log4j sårbarhetsexploatering, även kallat Log4Shell IP IOC. I informationsfönstret väljer du Skapa regel.

    Skärmbild som visar hur du söker efter och letar upp mallar och skapar en analysregel.

    Guiden Analytics-regel öppnas.

  5. På fliken Allmänt i fältet Namn anger du Log4j sårbarhetsexploatering, även kallat Log4Shell IP IOC – Tutorial-1.

  6. Lämna resten av fälten på den här sidan som de är. Det här är standardvärdena, men vi lägger till anpassning till aviseringsnamnet i ett senare skede.

    Om du inte vill att regeln ska köras omedelbart väljer du Inaktiverad. Regeln läggs till på fliken Aktiva regler och du kan aktivera den därifrån när du behöver den.

  7. Välj Nästa: Ange regellogik. Skärmbild av fliken Allmänt i guiden Analysregel.

Granska regelfrågelogik och konfiguration av inställningar

Utöka aviseringar med entiteter och annan information

  1. Under Aviseringsberikning behåller du inställningarna för entitetsmappning som de är. Observera de tre mappade entiteterna.

    Skärmbild av befintliga inställningar för entitetsmappning.

  2. I avsnittet Anpassad information ska vi lägga till tidsstämpeln för varje förekomst i aviseringen, så att du kan se den direkt i aviseringsinformationen, utan att behöva öka detaljnivån.

    1. Skriv tidsstämpel i fältet Nyckel . Det här är egenskapsnamnet i aviseringen.
    2. Välj tidsstämpel i listrutan Värde .

  3. I avsnittet Aviseringsinformation anpassar vi aviseringsnamnet så att tidsstämpeln för varje förekomst visas i aviseringsrubriken.

    I fältet Format för aviseringsnamn anger du Log4j vulnerability exploit aka Log4Shell IP IOC på {{timestamp}}.

    Skärmbild av konfigurationer av anpassad information och aviseringsinformation.

Granska återstående inställningar

  1. Granska de återstående inställningarna på fliken Ange regellogik . Du behöver inte ändra något, även om du kan göra det om du till exempel vill ändra intervallet. Se bara till att återblicksperioden matchar intervallet för att upprätthålla kontinuerlig täckning.

    • Frågeschemaläggning:

      • Kör frågan var 1 timme.
      • Uppslagsdata från den senaste timmen.

    • Tröskelvärde för avisering:

      • Generera en avisering när antalet frågeresultat är större än 0.

    • Händelsegruppering:

      • Konfigurera hur regelfrågeresultat grupperas i aviseringar: Gruppera alla händelser i en enda avisering.

    • Dämpning:

      • Sluta köra frågan när aviseringen har genererats: Av.

    Skärmbild av återstående regellogikinställningar för analysregel.

  2. Välj Nästa: Incidentinställningar.

Granska inställningarna för incidentskapande

  1. Granska inställningarna på fliken Incidentinställningar . Du behöver inte ändra något, såvida du till exempel inte har ett annat system för att skapa och hantera incidenter, i vilket fall du vill inaktivera skapande av incidenter.

    • Incidentinställningar:

      • Skapa incidenter från aviseringar som utlöses av den här analysregeln: Aktiverad.

    • Aviseringsgruppering:

      • Gruppera relaterade aviseringar, som utlöses av den här analysregeln, i incidenter: Inaktiverad.

    Skärmbild av fliken Incidentinställningar i guiden Analysregel.

  2. Välj Nästa: Automatiserat svar.

Ange automatiserade svar och skapa regeln

På fliken Automatiserat svar :

  1. Välj + Lägg till ny för att skapa en ny automatiseringsregel för den här analysregeln. Då öppnas guiden Skapa ny automatiseringsregel .

    Skärmbild av fliken Automatiserat svar i guiden Analysregel.

  2. I fältet Automation-regelnamn anger du Log4J sårbarhetsexploateringsidentifiering – Självstudie-1.

  3. Lämna avsnitten Utlösare och Villkor som de är.

  4. Under Åtgärder väljer du Lägg till taggar i listrutan.

    1. Välj + Lägg till tagg.
    2. Ange Log4J-exploatering i textrutan och välj OK.

  5. Lämna avsnitten Förfallodatum och Order som de är.

  6. Välj Använd. Snart visas din nya automatiseringsregel i listan på fliken Automatiserat svar .

  7. Välj Nästa: Granska för att granska alla inställningar för den nya analysregeln. När meddelandet "Valideringen godkändes" visas väljer du Skapa. Om du inte ställer in regeln på Inaktiverad på fliken Allmänt ovan körs regeln omedelbart.

    Välj bilden nedan för att visa hela recensionen (det mesta av frågetexten klipptes för visning).

    Skärmbild av fliken Granska och skapa i guiden Analysregel.

Kontrollera att regeln lyckades

  1. Om du vill visa resultatet av de aviseringsregler som du skapar går du till sidan Incidenter .

  2. Om du vill filtrera listan över incidenter till dem som genereras av din analysregel anger du namnet (eller en del av namnet) på analysregeln som du skapade i sökfältet .

  3. Öppna en incident vars rubrik matchar namnet på analysregeln. Se att flaggan som du definierade i automatiseringsregeln tillämpades på incidenten.

Rensa resurser

Om du inte kommer att fortsätta att använda den här analysregeln tar du bort (eller åtminstone inaktiverar) de analys- och automatiseringsregler som du skapade med följande steg:

  1. På sidan Analys väljer du fliken Aktiva regler .

  2. Ange namnet (eller en del av namnet) på analysregeln som du skapade i sökfältet .
    (Om den inte visas kontrollerar du att alla filter är inställda på Välj alla.)

  3. Markera kryssrutan bredvid regeln i listan och välj Ta bort från den översta banderollen.
    (Om du inte vill ta bort den kan du välja Inaktivera i stället.)

  4. På sidan Automation väljer du fliken Automation-regler .

  5. Ange namnet (eller en del av namnet) på automationsregeln som du skapade i sökfältet .
    (Om den inte visas kontrollerar du att alla filter är inställda på Välj alla.)

  6. Markera kryssrutan bredvid automatiseringsregeln i listan och välj Ta bort från den översta banderollen.
    (Om du inte vill ta bort den kan du välja Inaktivera i stället.)

Nästa steg

Nu när du har lärt dig hur du söker efter kryphål i en vanlig säkerhetsrisk med hjälp av analysregler kan du läsa mer om vad du kan göra med analys i Microsoft Sentinel:

  • Last updated on