將數(shù)據(jù)源連接到 Azure Sentinel 后����,你希望在發(fā)生可疑情況時收到通知���。 因此��,Azure Sentinel 提供了開箱即用的內(nèi)置模板來幫助你創(chuàng)建威脅檢測規(guī)則��。 這些模板是由 Microsoft 的安全專家和分析師團隊基于已知的威脅�����、常見的攻擊途徑和可疑活動升級鏈設(shè)計的���。 基于這些模板創(chuàng)建的規(guī)則將自動在整個環(huán)境中搜索任何看起來可疑的活動�����。 可以自定義許多模板以搜索活動�,或根據(jù)需要篩選它們����。 這些規(guī)則生成的警報將創(chuàng)建可在環(huán)境中分配和調(diào)查的事件��。
將數(shù)據(jù)源連接到 Azure Sentinel 后���,你希望在發(fā)生可疑情況時收到通知�。 因此��,Azure Sentinel 提供了開箱即用的內(nèi)置模板來幫助你創(chuàng)建威脅檢測規(guī)則�。 這些模板是由 Microsoft 的安全專家和分析師團隊基于已知的威脅、常見的攻擊途徑和可疑活動升級鏈設(shè)計的���。 基于這些模板創(chuàng)建的規(guī)則將自動在整個環(huán)境中搜索任何看起來可疑的活動����。 可以自定義許多模板以搜索活動,或根據(jù)需要篩選它們�。 這些規(guī)則生成的警報將創(chuàng)建可在環(huán)境中分配和調(diào)查的事件。
本教程將幫助你使用 Azure Sentinel 檢測威脅:
關(guān)于開箱即用檢測
若要查看所有現(xiàn)成的檢測�,請轉(zhuǎn)到 Analytics,然后轉(zhuǎn)到“規(guī)則模板”����。 此選項卡包含所有的 Azure Sentinel 內(nèi)置規(guī)則。
可用的模板類型如下:
Microsoft 安全
Microsoft 安全模板根據(jù)其他 Microsoft 安全解決方案中生成的警報自動實時創(chuàng)建 Azure Sentinel 事件����。 可以使用 Microsoft 安全規(guī)則作為模板,以創(chuàng)建具有類似邏輯的新規(guī)則��。 有關(guān)安全規(guī)則的詳細(xì)信息��,請參閱從 Microsoft 安全警報自動創(chuàng)建事件�����。
合成
基于 Fusion 技術(shù)��,Azure Sentinel 中的高級多階段攻擊檢測使用可縮放的機器學(xué)習(xí)算法����,該算法可將多個產(chǎn)品中的許多低保真警報和事件關(guān)聯(lián)到高保真和可操作的事件中���。 默認(rèn)情況下啟用 Fusion。 由于邏輯是隱藏的�,因此無法自定義,只能使用此模板創(chuàng)建一個規(guī)則�����。
重要
Fusion 規(guī)則模板中的某些檢測當(dāng)前為預(yù)覽版����。 請參閱 Microsoft Azure 預(yù)覽版的補充使用條款����,了解適用于 beta 版、預(yù)覽版或其他尚未正式發(fā)布的 Azure 功能的其他法律條款���。
若要了解哪些檢測為預(yù)覽版�,請參閱 Azure Sentinel 中的高級多階段攻擊檢測����。
機器學(xué)習(xí)行為分析
這些模板基于專有的 Microsoft 機器學(xué)習(xí)算法,因此無法查看其工作方式和運行時間的內(nèi)部邏輯。 由于邏輯是隱藏的���,因此無法自定義����,只能使用此類型的每個模板創(chuàng)建一個規(guī)則����。
重要
機器學(xué)習(xí)行為分析規(guī)則模板當(dāng)前為預(yù)覽版。 請參閱 Microsoft Azure 預(yù)覽版的補充使用條款��,了解適用于 beta 版��、預(yù)覽版或其他尚未正式發(fā)布的 Azure 功能的其他法律條款���。
通過基于 ML 行為分析模板創(chuàng)建和啟用任何規(guī)則���,你可以向 Microsoft 授予權(quán)限,以便將引入的數(shù)據(jù)復(fù)制到 Azure Sentinel 工作區(qū)的地理位置之外�,以供機器學(xué)習(xí)引擎和模型進(jìn)行處理。
計劃
計劃分析規(guī)則基于 Microsoft 安全專家編寫的內(nèi)置查詢���。 可以查看查詢邏輯并對其進(jìn)行更改����。 可以使用計劃規(guī)則模板并自定義查詢邏輯和計劃設(shè)置以創(chuàng)建新規(guī)則。
使用開箱即用檢測
若要使用內(nèi)置模板���,請單擊模板名稱�����,然后單擊詳細(xì)信息窗格中的“創(chuàng)建規(guī)則”按鈕����,基于該模板創(chuàng)建新的活動規(guī)則��。 每個模板都具有所需數(shù)據(jù)源的列表���。 打開模板時,會自動檢查數(shù)據(jù)源的可用性�。 如果存在可用性問題��,則可能會禁用“創(chuàng)建規(guī)則”按鈕��,或者你可能會看到有關(guān)此影響的警告�����。
單擊“創(chuàng)建規(guī)則”按鈕將根據(jù)所選模板打開規(guī)則創(chuàng)建向?qū)А?所有詳細(xì)信息都將自動填充���,通過使用“計劃”或“Microsoft 安全”模板可以自定義邏輯和其他規(guī)則設(shè)置����,以更好地滿足你的特定需求 �����。 可以重復(fù)此過程以基于內(nèi)置模板創(chuàng)建其他規(guī)則�����。 完成規(guī)則創(chuàng)建向?qū)е械牟襟E后����,你就完成了基于模板創(chuàng)建規(guī)則的過程����。 新規(guī)則將顯示在“活動規(guī)則”選項卡中���。
有關(guān)如何在規(guī)則創(chuàng)建向?qū)е凶远x規(guī)則的詳細(xì)信息,請參閱教程:創(chuàng)建自定義分析規(guī)則以檢測威脅�。
閩公網(wǎng)安備 35010202001226號
