从模板创建分析规则
- 8 分钟
Microsoft Sentinel 中的 Analytics 部分包含从 Microsoft Sentinel GitHub 存储库预加载的规则模板。 可以使用这些模板创建规则来检测安全威胁。
浏览现有规则模板
可以使用一些现有规则模板来创建单个规则,而另一些规则则创建具有不同自定义选项的多个规则。 正在使用的模板在模板页上显示 IN USE 标签,如以下屏幕截图所示。
通过在“ 规则模板 ”选项卡上选择其中一个规则,可以观察规则的属性。 对于每个规则,可以查看:
严重性级别。 这表示警报的重要性。 有四个严重性级别:
- 高
- 中等
- 低
- 信息性
规则名称。 这为警报规则提供了有意义的名称。
规则类型。 这定义了规则的类型,可以是下列类型之一:
- 异常
- 融合
- Microsoft 安全
- ML 行为分析
- 已计划
- NRT (近实时)
数据源。 这指定生成警报的数据源连接器。
策略。 这指定了不同类型的恶意软件使用的 MITRE ATT&CK 模型中的方法。
注释
MITRE ATT&CK 是基于真实观察的攻击者策略和技术的全球可访问知识库。 ATT&CK 知识库为在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法提供了基础。
从“活动规则”选项卡或“规则模板”选项卡上的列表中选择规则时,详细信息窗格提供了所选规则的详细信息。
从规则模板创建分析规则
选择预定义的规则模板时,详细信息窗格可能会显示可用于定义该规则行为方式的筛选器。 对于 Fusion 和 ML 行为分析规则,Microsoft不提供任何可编辑的信息。 但是,对于计划的规则和 Microsoft 安全性,可以查看或编辑在威胁检测中使用的查询、筛选器以及包括和排除。 通过选择“ 创建规则 ”按钮,可以使用向导定义分析规则逻辑,该向导可帮助你从所选模板自定义规则。
对于 Fusion 和 ML 行为分析模板,只能启用或禁用它们作为活动规则。
从Microsoft安全模板创建的规则包含以下元素:
“常规”选项卡
下表列出了“ 常规 ”选项卡上的输入。
| 字段 | DESCRIPTION |
|---|---|
| 名称 | 这是使用规则模板名称来预填充的。 |
| DESCRIPTION | 提供有关创建警报的更多详细信息。 |
| 状态 | 这表示是启用或禁用分析规则。 |
| Microsoft安全服务 | 这表示警报来源于Microsoft的某个安全服务。 |
| 按严重性进行筛选 | 用于根据严重性级别优化来自源的警报;如果选择自定义,则可以指定“高”、“中”、“低”或“信息”。 |
| 包含特定警报 | 添加一个或多个字词,以包括其名称中含有特定文本的警报结果。 |
| 排除特定警报 | 添加一个或多个字词,以排除其名称中含有特定文本的警报结果。 |
自动响应
在 “自动响应 ”选项卡上,可以定义自动化规则。 如果选择“ 添加新”,将打开 “创建新自动化规则 ”窗格。 以下字段是输入:
| 字段 | DESCRIPTION |
|---|---|
| 自动化规则名称 | 选择唯一描述此自动化规则的名称 |
| 触发器 | 无法更改的预定义值。 |
| 条件 | 可以编辑和排序的典型查询筛选器构造。 |
| 行动 | 操作的选择列表;选择在满足查询筛选器条件时要执行的操作。 |
| 规则过期 | 要禁用规则的日期和时间。 默认值为无限。 |
| 下单 | 如果创建了多个规则,请选择顺序编号以在左窗格中重新排序事件自动化规则。 |
注释
实现筛选器以包含或排除基于文本字符串的特定警报时,这些警报将不会显示在Microsoft Sentinel 中。
以下屏幕截图显示了从 Microsoft Defender for Cloud 生成的警报创建事件的示例。
有关如何从计划规则类型模板创建分析规则的说明,请参阅下一单元(第 6 单元) 中从计划的规则模板创建分析规则 。
注释
对于某些规则模板,可能会禁用 “创建规则 ”按钮,这表示由于缺少数据源,无法从所选模板创建规则。