Udostępnij przez

Tworzenie niestandardowych reguł wykrywania

  • Dotyczy: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

Niestandardowe reguły wykrywania to reguły, które projektujesz i dostosujesz przy użyciu zaawansowanych zapytań wyszukiwania zagrożeń . Te reguły umożliwiają proaktywne monitorowanie różnych zdarzeń i stanów systemu, w tym podejrzewanych naruszeń i błędnie skonfigurowanych punktów końcowych. Można je ustawić tak, aby były uruchamiane w regularnych odstępach czasu, generując alerty i podejmując akcje reagowania za każdym razem, gdy występują dopasowania.

Wymagane uprawnienia do zarządzania wykrywaniem niestandardowym

Ważna

Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Do zarządzania wykrywaniem niestandardowym potrzebne są role, które umożliwiają zarządzanie danymi docelowymi tych wykrywania. Na przykład do zarządzania wykrywaniem niestandardowym w wielu źródłach danych (Microsoft Defender XDR i Microsoft Sentinel lub wielu obciążeniach usługi Defender) potrzebne są wszystkie odpowiednie role Defender XDR i Sentinel. Aby uzyskać więcej informacji, zobacz następujące sekcje.

Microsoft Defender XDR

Aby zarządzać wykrywaniem niestandardowym danych Microsoft Defender XDR, musisz mieć przypisaną jedną z następujących ról:

  • Ustawienia zabezpieczeń (zarządzanie) — użytkownicy z tym uprawnieniem Microsoft Defender XDR mogą zarządzać ustawieniami zabezpieczeń w portalu Microsoft Defender.

  • Administrator zabezpieczeń — użytkownicy z tą rolą Microsoft Entra mogą zarządzać ustawieniami zabezpieczeń w portalu Microsoft Defender oraz w innych portalach i usługach.

  • Operator zabezpieczeń — użytkownicy z tą rolą Microsoft Entra mogą zarządzać alertami i mieć globalny dostęp tylko do odczytu do funkcji związanych z zabezpieczeniami, w tym wszystkich informacji w portalu Microsoft Defender. Ta rola jest wystarczająca do zarządzania wykrywaniem niestandardowym tylko wtedy, gdy kontrola dostępu oparta na rolach (RBAC) jest wyłączona w Ochrona punktu końcowego w usłudze Microsoft Defender. Jeśli skonfigurowano kontrolę dostępu opartą na rolach, potrzebne jest również uprawnienie Zarządzanie ustawieniami zabezpieczeń dla usługi Defender dla punktu końcowego.

Jeśli masz odpowiednie uprawnienia, możesz zarządzać wykrywaniem niestandardowym, które mają zastosowanie do danych z określonych rozwiązań Defender XDR. Jeśli na przykład masz uprawnienia do zarządzania tylko Microsoft Defender dla Office 365, możesz tworzyć wykrywanie niestandardowe przy użyciu Email* tabel, ale nie Identity* tabel.

Podobnie, ponieważ IdentityLogonEvents tabela zawiera informacje o działaniach uwierzytelniania zarówno z Microsoft Defender for Cloud Apps, jak i usługi Defender for Identity, musisz mieć uprawnienia do zarządzania dla obu usług w celu zarządzania wykrywaniem niestandardowym wysyłającym zapytania do tej tabeli.

Uwaga

Aby zarządzać wykrywaniem niestandardowym, operatorzy zabezpieczeń muszą mieć uprawnienie Zarządzaj ustawieniami zabezpieczeń w Ochrona punktu końcowego w usłudze Microsoft Defender, jeśli kontrola dostępu oparta na rolach jest włączona.

Microsoft Sentinel

Aby zarządzać wykrywaniem niestandardowym danych Microsoft Sentinel, musisz mieć przypisaną rolę współautora Microsoft Sentinel. Użytkownicy z tą rolą Azure mogą zarządzać Microsoft Sentinel danych obszaru roboczego SIEM, w tym alertami i wykrywaniami. Tę rolę można przypisać do określonego podstawowego obszaru roboczego, Azure grupy zasobów lub całej subskrypcji.

Zarządzanie wymaganymi uprawnieniami

Aby zarządzać wymaganymi uprawnieniami, administrator globalny może:

  • Przypisz rolę administratora zabezpieczeń lub operatora zabezpieczeń w Centrum administracyjne platformy Microsoft 365 w obszarze Role>Administrator zabezpieczeń.

  • Sprawdź ustawienia kontroli dostępu opartej na rolach, aby uzyskać Ochrona punktu końcowego w usłudze Microsoft Defender w Microsoft Defender XDR w obszarze Ustawienia>Role uprawnień>. Wybierz odpowiednią rolę, aby przypisać uprawnienia do zarządzania ustawieniami zabezpieczeń .

Uwaga

Użytkownik musi również mieć odpowiednie uprawnienia dla urządzeń w zakresie urządzenia niestandardowej reguły wykrywania, którą tworzy lub edytuje, zanim będzie mógł kontynuować. Użytkownik nie może edytować niestandardowej reguły wykrywania, która ma być uruchamiana na wszystkich urządzeniach, jeśli ten sam użytkownik nie ma uprawnień dla wszystkich urządzeń.

Tworzenie niestandardowej reguły wykrywania

1. Przygotowanie zapytania

W portalu Microsoft Defender przejdź do pozycji Zaawansowane wyszukiwanie zagrożeń i wybierz istniejące zapytanie lub utwórz nowe zapytanie. W przypadku korzystania z nowego zapytania uruchom zapytanie, aby zidentyfikować błędy i zrozumieć możliwe wyniki.

Ważna

Aby zapobiec zwracaniu przez usługę zbyt wielu alertów, każda reguła może generować tylko 150 alertów przy każdym uruchomieniu. Przed utworzeniem reguły dostosuj zapytanie, aby uniknąć alertów dotyczących normalnych, codziennych działań.

Wymagane kolumny w wynikach zapytania

Aby utworzyć niestandardową regułę wykrywania przy użyciu danych Defender XDR, zapytanie musi zwrócić następujące kolumny:

  1. Timestamp lub TimeGenerated — ta kolumna ustawia sygnaturę czasową dla wygenerowanych alertów. Kwerenda nie powinna manipulować tą kolumną i powinna zwracać ją dokładnie tak, jak jest wyświetlana w zdarzeniu pierwotnym.

  2. W przypadku wykrywania opartego na tabelach XDR kolumna lub kombinacja kolumn, które jednoznacznie identyfikują zdarzenie w tych tabelach:

    • W przypadku tabel TimestampOchrona punktu końcowego w usłudze Microsoft Defender kolumny , DeviceIdi ReportId muszą być wyświetlane w tym samym zdarzeniu
    • W przypadku tabel Timestamp Alert* musi pojawić się w zdarzeniu
    • W przypadku tabel TimestampObservation* i ObservationId muszą być wyświetlane w tym samym zdarzeniu
    • Dla wszystkich innych i TimestampReportId musi pojawić się w tym samym zdarzeniu

  3. Kolumna zawierająca silny identyfikator elementu zawartości, na który ma wpływ. Aby automatycznie zamapować element zawartości, na który ma to wpływ, w kreatorze utwórz projekt jednej z następujących kolumn, która zawiera silny identyfikator zasobu, na który ma wpływ:

    • DeviceId
    • DeviceName
    • RemoteDeviceName
    • RecipientEmailAddress
    • SenderFromAddress (adres nadawcy koperty lub Return-Path)
    • SenderMailFromAddress (adres nadawcy wyświetlany przez klienta poczty e-mail)
    • SenderObjectId
    • RecipientObjectId
    • AccountObjectId
    • AccountSid
    • AccountUpn
    • InitiatingProcessAccountSid
    • InitiatingProcessAccountUpn
    • InitiatingProcessAccountObjectId

Uwaga

Obsługa większej liczby jednostek zostanie dodana w miarę dodawania nowych tabel do zaawansowanego schematu wyszukiwania zagrożeń.

Proste zapytania, takie jak te, które nie używają project operatora lub summarize do dostosowywania lub agregowania wyników, zwykle zwracają te typowe kolumny.

Istnieją różne sposoby zapewnienia, że bardziej złożone zapytania zwracają te kolumny. Jeśli na przykład wolisz agregować i zliczyć według jednostki w kolumnie takiej jak DeviceId, możesz nadal zwracać Timestamp dane i ReportId pobierać je z ostatniego zdarzenia obejmującego każdy unikatowy DeviceIdelement .

Ważna

Unikaj filtrowania wykrywania niestandardowego Timestamp przy użyciu kolumny. Dane używane do wykrywania niestandardowego są wstępnie filtrowane na podstawie częstotliwości wykrywania.

Poniższe przykładowe zapytanie zlicza liczbę unikatowych urządzeń (DeviceId) z wykrywaniem antywirusowym i używa tej liczby do znalezienia tylko urządzeń z więcej niż pięcioma wykryciami. Aby zwrócić najnowsze Timestamp i odpowiadające mu ReportIdelementy , używa summarize operatora z funkcją arg_max .

DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

Porada

Aby uzyskać lepszą wydajność zapytań, ustaw filtr czasu odpowiadający zamierzonej częstotliwości uruchamiania dla reguły. Ponieważ najmniej częste uruchamianie odbywa się co 24 godziny, filtrowanie dla ostatniego dnia obejmuje wszystkie nowe dane.

2. Utwórz nową regułę i podaj szczegóły alertu

W edytorze zapytań wybierz pozycję Utwórz regułę wykrywania i określ następujące szczegóły alertu:

  • Nazwa wykrywania — nazwa reguły wykrywania; powinna być unikatowa.
  • Częstotliwość — interwał uruchamiania zapytania i wykonywania akcji. Zobacz więcej wskazówek w sekcji częstotliwość reguł
  • Tytuł alertu — tytuł wyświetlany z alertami wyzwolonymi przez regułę; powinien być unikatowy i w postaci zwykłego tekstu. Ciągi są usuwane ze względów bezpieczeństwa, więc kod HTML, Markdown i inny kod nie działają. Wszystkie adresy URL zawarte w tytule powinny być zgodne z formatem kodowania procentowego , aby były wyświetlane prawidłowo.
  • Ważność — potencjalne ryzyko związane ze składnikiem lub działaniem zidentyfikowanym przez regułę.
  • Kategoria — składnik zagrożenia lub działanie zidentyfikowane przez regułę.
  • MITRE ATT&techniki CK — co najmniej jedna technika ataków określona przez regułę zgodnie z dokumentem w strukturze MITRE ATT&CK. Ta sekcja jest ukryta dla niektórych kategorii alertów, w tym złośliwego oprogramowania, oprogramowania wymuszającego okup, podejrzanych działań i niechcianego oprogramowania.
  • Raport analizy zagrożeń — połącz wygenerowany alert z istniejącym raportem analizy zagrożeń, aby był wyświetlany na karcie Powiązane zdarzenia w analizie zagrożeń.
  • Opis — więcej informacji o składniku lub działaniu zidentyfikowanym przez regułę. Ciągi są usuwane ze względów bezpieczeństwa, więc kod HTML, Markdown i inny kod nie działają. Wszystkie adresy URL zawarte w opisie powinny być zgodne z formatem kodowania procentowego, aby były wyświetlane prawidłowo.
  • Zalecane akcje — dodatkowe akcje, które mogą wykonać w odpowiedzi na alert.

Częstotliwość reguł

Po zapisaniu nowej reguły uruchamia ona i sprawdza dopasowania z ostatnich 30 dni danych. Następnie reguła jest uruchamiana ponownie w stałych odstępach czasu, stosując okres wyszukiwania wstecz na podstawie wybranej częstotliwości:

  • Co 24 godziny — działa co 24 godziny, sprawdzając dane z ostatnich 30 dni.
  • Co 12 godzin — działa co 12 godzin, sprawdzając dane z ostatnich 48 godzin.
  • Co 3 godziny — działa co 3 godziny, sprawdzając dane z ostatnich 12 godzin.
  • Co godzinę — uruchamia co godzinę, sprawdzając dane z ostatnich 4 godzin.
  • Ciągłe (NRT) — działa w sposób ciągły, sprawdzając dane ze zdarzeń, gdy są zbierane i przetwarzane niemal w czasie rzeczywistym (NRT), zobacz Częstotliwość ciągła (NRT).
  • Niestandardowe — uruchamiane zgodnie z wybraną częstotliwością. Ta opcja jest dostępna, jeśli reguła jest oparta tylko na danych pozyskanych do Microsoft Sentinel, zobacz Częstotliwość niestandardowa dla danych Microsoft Sentinel (wersja zapoznawcza).

Porada

Dopasuj filtry czasu w zapytaniu do okresu wyszukiwania wstecz. Wyniki poza okresem wyszukiwania wstecznego są ignorowane.

Podczas edytowania reguły zmiany są stosowane w następnym zaplanowanym czasie wykonywania zgodnie z ustawioną częstotliwością. Częstotliwość reguły jest oparta na sygnaturze czasowej zdarzenia, a nie czasie pozyskiwania. Mogą również wystąpić niewielkie opóźnienia w określonych przebiegach, przy czym skonfigurowana częstotliwość nie jest w 100% dokładna.

Częstotliwość ciągła (NRT)

Ustawienie wykrywania niestandardowego do uruchamiania z częstotliwością ciągłą (NRT) zwiększa zdolność organizacji do szybszego identyfikowania zagrożeń. Użycie częstotliwości ciągłej (NRT) ma minimalny lub żaden wpływ na użycie zasobów i dlatego powinno być brane pod uwagę w przypadku dowolnej kwalifikowanej reguły wykrywania niestandardowego w organizacji.

Na stronie niestandardowych reguł wykrywania można migrować niestandardowe reguły wykrywania, które pasują do częstotliwości ciągłej (NRT) za pomocą jednego przycisku Migruj teraz:

Zrzut ekranu przedstawiający przycisk Migruj teraz w zaawansowanym polowaniu.

Wybranie pozycji Migruj teraz umożliwia wyświetlenie listy wszystkich zgodnych reguł zgodnie z ich zapytaniem KQL. Możesz wybrać migrację wszystkich lub wybranych reguł tylko zgodnie z preferencjami:

Zrzut ekranu przedstawiający zapytania zgodne z ciągłą częstotliwością w zaawansowanym wyszukiwaniu zagrożeń.

Po wybraniu opcji Zapisz częstotliwość wybranych reguł zostanie zaktualizowana do częstotliwości ciągłej (NRT).

Zapytania, które można uruchamiać w sposób ciągły

Zapytanie można uruchamiać w sposób ciągły, o ile:

  • Zapytanie odwołuje się tylko do jednej tabeli.
  • Zapytanie używa operatora z listy obsługiwanych funkcji KQL. (W przypadku matches regexwyrażenia regularne muszą być zakodowane jako literały ciągów i postępować zgodnie z regułami cudzysłowu ciągów. Na przykład wyrażenie \A regularne jest reprezentowane w języku KQL jako "\\A". Dodatkowy ukośnik odwrotny wskazuje, że drugi ukośnik odwrotny jest częścią wyrażenia \Aregularnego .)
  • Zapytanie nie używa sprzężeń, związków ani externaldata operatora.
  • Zapytanie nie zawiera żadnego wiersza/informacji komentarzy.
Tabele obsługujące częstotliwość ciągłą (NRT)

Wykrywanie niemal w czasie rzeczywistym jest obsługiwane w następujących tabelach:

  • AlertEvidence
  • CloudAppEvents
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • EmailAttachmentInfo
  • EmailEvents (z wyjątkiem LatestDeliveryLocation kolumn i LatestDeliveryAction )
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • UrlClickEvents

Uwaga

Tylko kolumny, które są ogólnie dostępne, obsługują częstotliwość ciągłą (NRT ).

Częstotliwość niestandardowa dla danych Microsoft Sentinel (wersja zapoznawcza)

Microsoft Sentinel klienci, którzy są dołączani do Microsoft Defender, mogą wybrać opcję Częstotliwość niestandardowa, gdy reguła jest oparta tylko na danych pozyskanych do Microsoft Sentinel.

Po wybraniu tej opcji częstotliwości zostanie wyświetlone polecenie Uruchom zapytanie dla każdego składnika wejściowego . Wpisz żądaną częstotliwość dla reguły i użyj listy rozwijanej, aby wybrać jednostki: minuty, godziny lub dni. Obsługiwany zakres to dowolna wartość od 5 minut do 14 dni. Po wybraniu częstotliwości okres wyszukiwania jest określany automatycznie przy użyciu następującej logiki:

  1. W przypadku wykrywania, które ma być uruchamiane częściej niż raz dziennie, funkcja wyszukiwania zwrotnego jest czterokrotnie większa niż częstotliwość. Jeśli na przykład częstotliwość wynosi 20 minut, wyszukiwanie wsteczne wynosi 80 minut.
  2. W przypadku wykrywania, które ma być uruchamiane raz dziennie lub rzadziej, wyszukiwanie zwrotne wynosi 30 dni. Jeśli na przykład ustawienie jest uruchamiane co trzy dni, wyszukiwanie zwrotne wynosi 30 dni

Zrzut ekranu przedstawiający opcję Częstotliwość niestandardowa w przewodniku konfiguracji wykrywania niestandardowego.

Ważna

Po wybraniu częstotliwości niestandardowej pobieramy dane z Microsoft Sentinel. Oznacza to, że:

  1. Dane muszą być dostępne w Microsoft Sentinel.
  2. Defender XDR dane nie będą obsługiwać określania zakresu, ponieważ Microsoft Sentinel nie obsługuje określania zakresu.

3. Zdefiniuj szczegóły wzbogacania alertów

Alerty można wzbogacić, udostępniając i definiując więcej szczegółów, umożliwiając:

Tworzenie tytułu i opisu alertu dynamicznego (wersja zapoznawcza)

Tytuł i opis alertu można dynamicznie utworzyć, korzystając z wyników zapytania, aby były dokładne i orientacyjne. Ta funkcja może zwiększyć wydajność analityków SOC podczas klasyfikowania alertów i zdarzeń oraz podczas próby szybkiego zrozumienia istoty alertu.

Aby dynamicznie skonfigurować tytuł lub opis alertu, zintegruj je z sekcją Szczegóły alertu przy użyciu bezpłatnych nazw tekstowych kolumn dostępnych w wynikach zapytania i otaczających je podwójnymi nawiasami klamrowymi.

Przykład: User {{AccountName}} unexpectedly signed in from {{Location}}

Uwaga

Liczba kolumn, do których można odwoływać się w każdym polu, jest ograniczona do trzech.

Zrzut ekranu przedstawiający pola tytułu alertu dynamicznego i opisu w kreatorze wykrywania niestandardowego.

Aby ułatwić określenie dokładnych nazw kolumn, do których chcesz się odwoływać, możesz wybrać pozycję Eksploruj zapytanie i wyniki, co spowoduje otwarcie okienka Kontekst wyszukiwania zaawansowanego w kreatorze tworzenia reguł, w którym można sprawdzić logikę zapytania i jej wyniki.

Dodawanie szczegółów niestandardowych (wersja zapoznawcza)

Możesz jeszcze bardziej zwiększyć produktywność analityków SOC, wyświetlając ważne szczegóły w panelu po stronie alertów. Dane zdarzeń można wyświetlić w alertach utworzonych na podstawie tych zdarzeń. Ta funkcja zapewnia analitykom SOC natychmiastowy wgląd w zawartość zdarzeń ich zdarzeń, umożliwiając im szybsze klasyfikowanie, badanie i wyciąganie wniosków.

W sekcji Szczegóły niestandardowe dodaj pary klucz-wartość odpowiadające szczegółom, które chcesz wyświetlić:

  • W polu Klucz wprowadź wybraną nazwę wyświetlaną jako nazwa pola w alertach.
  • W polu Parametr wybierz parametr zdarzenia, który chcesz wyświetlić w alertach z listy rozwijanej. Ta lista jest wypełniana przez wartości odpowiadające nazwom kolumn, które wysyła zapytanie KQL.

Zrzut ekranu przedstawiający opcję Szczegóły niestandardowe w kreatorze wykrywania niestandardowego.

Poniższy zrzut ekranu przedstawia sposób wyświetlania niestandardowych szczegółów w panelu po stronie alertu:

Zrzut ekranu przedstawiający szczegóły niestandardowe wyświetlane w panelu po stronie alertu w portalu usługi Defender.

Ważna

Szczegóły niestandardowe mają następujące ograniczenia:

  1. Każda reguła jest ograniczona do maksymalnie 20 par klucz/wartości szczegółów niestandardowych
  2. Łączny limit rozmiaru dla wszystkich szczegółów niestandardowych i ich wartości w jednym alercie wynosi 4 KB. Jeśli tablica szczegółów niestandardowych przekroczy ten limit, cała tablica szczegółów niestandardowych zostanie usunięta z alertu.

Zidentyfikuj kolumny w wynikach zapytania, w których oczekujesz, że znajdziesz główną jednostkę, której dotyczy problem lub której dotyczy problem. Na przykład zapytanie może zwrócić adresy nadawcy (SenderFromAddress lub SenderMailFromAddress) i adresata (RecipientEmailAddress). Określenie, które z tych kolumn reprezentuje główną jednostkę, której dotyczy problem, pomaga usłudze agregować odpowiednie alerty, korelować zdarzenia i docelowe akcje reagowania.

Dla każdego typu jednostki (skrzynki pocztowej, użytkownika lub urządzenia) można wybrać tylko jedną kolumnę. Nie można wybrać kolumn, które nie są zwracane przez zapytanie.

Rozwinięte mapowanie jednostek (wersja zapoznawcza)

Do alertów można połączyć szeroką gamę typów jednostek. Łączenie większej liczby jednostek ułatwia grupowanie alertów aparatu korelacji z tymi samymi zdarzeniami i korelowanie ze sobą zdarzeń. Jeśli jesteś klientem Microsoft Sentinel, oznacza to również, że możesz mapować dowolną jednostkę ze źródeł danych innych firm, które są pozyskiwane do Microsoft Sentinel.

W przypadku Microsoft Defender XDR danych jednostki są wybierane automatycznie. Jeśli dane pochodzą z Microsoft Sentinel, musisz wybrać jednostki ręcznie.

Uwaga

Jednostki mają wpływ na sposób grupowania alertów w zdarzenia, dlatego należy dokładnie przejrzeć jednostki, aby zapewnić wysoką jakość zdarzeń. Dowiedz się więcej o korelacji zdarzeń i grupowaniu alertów.

W rozwiniętej sekcji mapowania jednostek znajdują się dwie sekcje, dla których można wybrać jednostki:

  • Zasoby, których dotyczy problem — dodaj zasoby, których dotyczy problem, które są wyświetlane w wybranych zdarzeniach. Można dodać następujące typy zasobów:
    • Konta
    • Urządzenie
    • Skrzynki pocztowej
    • Aplikacja w chmurze
    • zasób Azure
    • Zasób usługi Amazon Web Services
    • Zasób google cloud platform
  • Powiązane dowody — dodaj zestawy inne niż wyświetlane w wybranych zdarzeniach. Obsługiwane typy jednostek to:
    • Proces
    • Plik
    • Wartość rejestru
    • Adres IP
    • Aplikacja OAuth
    • DNS
    • Grupa zabezpieczeń
    • URL
    • Klaster poczty
    • Wiadomość e-mail

Uwaga

Obecnie można mapować tylko zasoby jako jednostki, których dotyczy problem.

Zrzut ekranu przedstawiający opcje mapowania jednostek w kreatorze wykrywania niestandardowego.

Po wybraniu typu jednostki wybierz typ identyfikatora, który istnieje w wybranych wynikach zapytania, aby można go było użyć do zidentyfikowania tej jednostki. Każdy typ jednostki ma listę obsługiwanych identyfikatorów, jak pokazano w odpowiednim menu rozwijanym. Przeczytaj opis wyświetlany podczas umieszczania wskaźnika myszy na każdym identyfikatorze, aby lepiej go zrozumieć.

Po wybraniu identyfikatora wybierz kolumnę z wyników zapytania, która zawiera wybrany identyfikator. Wybierz pozycję Eksploruj zapytanie i wyniki , aby otworzyć zaawansowany panel kontekstu wyszukiwania zagrożeń. Ta opcja umożliwia eksplorowanie zapytania i wyników, aby upewnić się, że wybrano odpowiednią kolumnę dla wybranego identyfikatora.

4. Określ akcje

Jeśli reguła wykrywania niestandardowego używa danych Defender XDR, może automatycznie wykonywać akcje na urządzeniach, plikach, użytkownikach lub wiadomościach e-mail zwracane przez zapytanie.

Zrzut ekranu przedstawiający akcje wykrywania niestandardowego w portalu Microsoft Defender.

Akcje na urządzeniach

Te akcje są stosowane do urządzeń w kolumnie DeviceId wyników zapytania:

Akcje dotyczące plików

  • Po wybraniu tej opcji można zastosować akcję Zezwalaj/Blokuj do pliku. Blokowanie plików jest dozwolone tylko wtedy, gdy masz uprawnienia korygowania plików i jeśli wyniki zapytania zidentyfikowały identyfikator pliku, taki jak SHA1. Po zablokowaniu pliku inne wystąpienia tego samego pliku na wszystkich urządzeniach również są blokowane. Możesz kontrolować, do której grupy urządzeń jest stosowane blokowanie, ale nie na określonych urządzeniach.

  • Po wybraniu akcji Pliku kwarantanny można zastosować do plików w kolumnie SHA1, InitiatingProcessSHA1, SHA256lub InitiatingProcessSHA256 wyników zapytania. Ta akcja powoduje usunięcie pliku z jego bieżącej lokalizacji i umieszczenie kopii w kwarantannie.

Akcje dla użytkowników

  • Po wybraniu akcji Oznacz użytkownika jako naruszona akcja jest wykonywana dla użytkowników w AccountObjectIdkolumnie , InitiatingProcessAccountObjectIdlub RecipientObjectId wyników zapytania. Ta akcja ustawia poziom ryzyka użytkowników na "wysoki" w Tożsamość Microsoft Entra, wyzwalając odpowiednie zasady ochrony tożsamości.

  • Wybierz pozycję Wyłącz użytkownika , aby tymczasowo uniemożliwić użytkownikowi zalogowanie się.

  • Wybierz pozycję Wymuś resetowanie hasła , aby monitować użytkownika o zmianę hasła podczas następnej sesji logowania.

  • Disable user Opcje i Force password reset wymagają identyfikatora SID użytkownika, który znajduje się w kolumnach AccountSid, InitiatingProcessAccountSid, RequestAccountSidi OnPremSid.

Aby uzyskać więcej informacji na temat akcji użytkownika, zobacz Akcje korygowania w Microsoft Defender for Identity.

Akcje dotyczące wiadomości e-mail

  • Jeśli wykrywanie niestandardowe zwraca wiadomości e-mail, możesz wybrać pozycję Przenieś do folderu skrzynki pocztowej , aby przenieść wiadomość e-mail do wybranego folderu (dowolnego folderu Wiadomości-śmieci, Skrzynka odbiorcza lub Usunięte elementy ). W szczególności możesz przenieść wyniki wiadomości e-mail z elementów objętych kwarantanną (na przykład w przypadku wyników fałszywie dodatnich), wybierając opcję Skrzynka odbiorcza .

    Zrzut ekranu przedstawiający opcję Skrzynka odbiorcza w obszarze wykrywania niestandardowego w portalu Microsoft Defender. Zrzut ekranu przedstawiający opcję Skrzynka odbiorcza w obszarze wykrywania niestandardowego w portalu Microsoft Defender.

  • Alternatywnie możesz wybrać pozycję Usuń wiadomość e-mail , a następnie przenieść wiadomości e-mail do pozycji Usunięte elementy (usuwanie nietrwałe) lub usunąć wybrane wiadomości e-mail na stałe (usunięcie twarde).

Kolumny NetworkMessageId i RecipientEmailAddress muszą znajdować się w wynikach wyjściowych zapytania, aby zastosować akcje do wiadomości e-mail.

5. Ustaw zakres reguły

Ustaw zakres, aby określić urządzenia, które obejmuje reguła. Zakres ma wpływ na reguły, które sprawdzają urządzenia i nie wpływają na reguły, które sprawdzają tylko skrzynki pocztowe i konta użytkowników lub tożsamości.

Podczas ustawiania zakresu można wybrać następujące opcje:

  • Wszystkie urządzenia
  • Określone grupy urządzeń

Reguła wykonuje zapytania dotyczące danych tylko z urządzeń w zakresie. Wykonuje akcje tylko na tych urządzeniach.

Uwaga

Użytkownicy mogą tworzyć lub edytować niestandardową regułę wykrywania tylko wtedy, gdy mają odpowiednie uprawnienia dla urządzeń uwzględnionych w zakresie reguły. Na przykład administratorzy mogą tworzyć lub edytować reguły o zakresie do wszystkich grup urządzeń tylko wtedy, gdy mają uprawnienia dla wszystkich grup urządzeń.

6. Przejrzyj i włącz regułę

Po przejrzeniu reguły wybierz pozycję Utwórz , aby ją zapisać. Reguła wykrywania niestandardowego zostanie natychmiast uruchomiona. Jest on uruchamiany ponownie na podstawie skonfigurowanej częstotliwości sprawdzania dopasowań, generowania alertów i wykonywania akcji odpowiedzi.

Ważna

Regularnie przeglądaj wykrywanie niestandardowe pod kątem wydajności i skuteczności. Aby uzyskać wskazówki dotyczące optymalizowania zapytań, zobacz Zaawansowane najlepsze rozwiązania dotyczące zapytań wyszukiwania zagrożeń. Aby upewnić się, że tworzysz wykrywanie wyzwalające prawdziwe alerty, poświęć trochę czasu na przejrzenie istniejących wykrywania niestandardowego, wykonując kroki opisane w temacie Zarządzanie istniejącymi regułami wykrywania niestandardowego.

Zachowujesz kontrolę nad szerokim zakresem lub specyfiką wykrywania niestandardowego. Wszelkie fałszywe alerty generowane przez wykrywanie niestandardowe mogą wskazywać na konieczność zmodyfikowania niektórych parametrów reguł.

Jak wykrywanie niestandardowe obsługuje zduplikowane alerty

Ważną kwestią podczas tworzenia i przeglądania niestandardowych reguł wykrywania jest szum alertów i zmęczenie. Wykrywanie niestandardowe grupuje i deduplikuje zdarzenia do pojedynczego alertu. Jeśli wykrywanie niestandardowe jest uruchamiane dwukrotnie w przypadku zdarzenia, które zawiera te same jednostki, szczegóły niestandardowe i szczegóły dynamiczne, tworzy tylko jeden alert dla obu tych zdarzeń. Jeśli wykrywanie rozpoznaje, że zdarzenia są identyczne, rejestruje tylko jedno ze zdarzeń utworzonego alertu, a następnie zajmuje się duplikatami, które mogą wystąpić, gdy okres wyszukiwania wstecz jest dłuższy niż częstotliwość. Jeśli zdarzenia są różne, wykrywanie niestandardowe rejestruje oba zdarzenia w alercie.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.

  • Last updated on