重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
自訂偵測規則是你設計並透過 進階搜尋 查詢調整的規則。 這些規則讓你能主動監控各種事件和系統狀態,包括懷疑的外洩活動和錯誤設定的端點。 您可以將它們設定為定期執行、產生警示,以及每當有符合事件時採取回應動作。
管理自訂偵測所需的權限
重要事項
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
要管理自訂偵測,你需要角色來管理這些偵測所針對的資料。 例如,要管理多個資料來源的自訂偵測, (Microsoft Defender 全面偵測回應 和 Microsoft Sentinel,或多個 Defender 工作負載) ,你需要所有適用的 Defender 全面偵測回應 和 Sentinel 角色。 如需詳細資訊,請參閱下列各節。
Microsoft Defender XDR
要管理 Microsoft Defender 全面偵測回應資料的自訂偵測,您需要被指派以下其中一個角色:
安全設定 (管理) - 擁有此Microsoft Defender 全面偵測回應權限的使用者可在Microsoft Defender入口網站中管理安全設定。
安全管理員 - 擁有此 Microsoft Entra 角色的使用者可管理 Microsoft Defender 入口網站及其他入口網站與服務的安全設定。
安全操作員 - 擁有此 Microsoft Entra 角色的使用者可管理警示,並擁有全局唯讀存取安全相關功能,包括 Microsoft Defender 入口網站上的所有資訊。 此角色僅在 適用於端點的 Microsoft Defender 關閉基於角色的存取控制 (RBAC) 時,足以管理自訂偵測。 如果你已經設定了 RBAC,還需要 Defender for Endpoint 的 「管理安全設定 」權限。
如果你擁有適當的權限,可以管理適用於特定 Defender 全面偵測回應資料的自訂偵測。 例如,如果你只對 Microsoft Defender for Office 365 有管理權限,你可以用Email*表格建立自訂偵測,但不能Identity*用表格。
同樣地,因為該IdentityLogonEvents表格同時包含 Microsoft Defender for Cloud Apps 和 Defender for Identity 的認證活動資訊,你需要同時擁有管理權限,才能管理查詢該表格的自訂偵測。
注意事項
若要管理自訂偵測,安全操作員必須在適用於端點的 Microsoft Defender中擁有管理安全設定權限(若啟用 RBAC)。
Microsoft Sentinel
要管理對 Microsoft Sentinel 資料的自訂偵測,你需要被指派 Microsoft Sentinel 貢獻者角色。 擁有此 Azure 角色的使用者可管理 Microsoft Sentinel SIEM 工作空間資料,包括警示與偵測。 你可以在特定的主要工作空間、Azure 資源群組,或整個訂閱中指定這個角色。
管理所需權限
為了管理所需權限,全域管理員可以:
在 Microsoft 365 系統管理中心的「安全管理員角色>」下,指派安全管理員或安全操作員角色。
在Microsoft Defender 全面偵測回應設定>>權限角色下查看 RBAC 的 適用於端點的 Microsoft Defender設定。 選擇對應的角色來指派 管理安全設定 的權限。
注意事項
使用者還需要在裝置 範圍內 擁有自訂偵測規則的適當權限,才能繼續進行。 如果同一個使用者沒有對所有裝置擁有權限,就無法編輯一個自訂偵測規則,該規則必須在所有裝置上執行。
建立自訂偵測規則
1. 準備查詢
在 Microsoft Defender 入口網站,前往進階搜尋,選擇現有查詢或建立新查詢。 使用新查詢時,執行該查詢以識別錯誤並了解可能的結果。
重要事項
為防止服務回傳過多警示,每條規則每次執行時只能產生 150 個警示。 建立規則之前,請調整您的查詢以避免一般、日常活動的通知。
查詢結果中所需的欄
要使用 Defender 全面偵測回應資料建立自訂偵測規則,查詢必須回傳以下欄位:
Timestamp或TimeGenerated- 此欄位設定產生警報的時間戳記。 查詢不應該會操作這欄,應該會回傳原始事件中出現的樣子。針對基於 XDR 表格的偵測,該欄位或欄位組合能唯一識別這些表格中的事件:
- 對於 適用於端點的 Microsoft Defender 表格,
Timestamp、DeviceId和ReportId欄位必須出現在同一事件中 - 對於 Alert* 表格,
Timestamp必須出現在事件中 - 對於觀察*表,
Timestamp且ObservationId必須出現在同一事件中 - 其他所有
Timestamp,必須ReportId出現在同一事件中
- 對於 適用於端點的 Microsoft Defender 表格,
一個欄位包含受影響資產的強識別碼。 要在精靈中自動映射受影響資產,請投影以下包含強識別碼的欄位之一:
DeviceIdDeviceNameRemoteDeviceNameRecipientEmailAddress-
SenderFromAddress(信封寄件者或退回路徑位址) -
SenderMailFromAddress(電子郵件客戶程式顯示的寄件者位址) SenderObjectIdRecipientObjectIdAccountObjectIdAccountSidAccountUpnInitiatingProcessAccountSidInitiatingProcessAccountUpnInitiatingProcessAccountObjectId
注意事項
隨著進 階狩獵結構新增資料表,將新增對更多實體的支援。
簡單的查詢,例如不使用 project or summarize 操作符來自訂或彙整結果的查詢,通常會回傳這些常見欄位。
有多種方法可以確保較複雜的查詢回傳這些欄位。 例如,如果你偏好依實體彙整並計數,例如欄位DeviceId,你仍然可以透過從最近一次涉及每個獨特DeviceId事件中取得TimestampReportId。
重要事項
避免使用 Timestamp 欄位來過濾自訂偵測。 用於自訂偵測的資料會根據偵測頻率進行預先過濾。
以下範例查詢計算 () DeviceId 偵測到防毒軟體的獨特裝置數量,並利用此數量僅找到偵測次數超過五次的裝置。 若要返回最新的 Timestamp 和對應 ReportId的 ,則使用 summarize 帶有函數的 arg_max 運算子。
DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5
提示
為了提升查詢效能,請設定一個與規則預期執行頻率相符的時間過濾器。 由於最少頻率的運行是 每 24 小時一次,過去一天的過濾會涵蓋所有新資料。
2. 建立新規則並提供警示細節
在查詢編輯器中查詢後,選擇 建立偵測規則 並指定以下警示細節:
- 偵測名稱 - 偵測規則名稱;應該是獨一無二的。
- 頻率 - 執行查詢及執行動作的間隔。 更多指引請參閱規則頻率章節
- 警示標題 - 標題顯示,並由規則觸發警報;應該是唯一且以明文呈現的。 字串會被淨化以安全起見,所以 HTML、Markdown 和其他程式碼無法運作。 標題中包含的任何網址都應遵循 百分比編碼格式 ,才能正確顯示。
- 嚴重性 - 規則所識別的組成部分或活動的潛在風險。
- 類別 - 規則所識別的威脅成分或活動。
- MITRE ATT&CK 技術 ——規則中明確指出的一種或多種攻擊技術,並記錄於 MITRE ATT&CK 框架中。 此區塊對某些警示類別(包括惡意軟體、勒索軟體、可疑活動及不受歡迎軟體)是隱藏的。
- 威脅分析報告 - 將產生的警報連結到現有的威脅分析報告,使其顯示在威脅分析的 相關事件 標籤中。
- 說明 - 關於規則所識別的組成部分或活動的更多資訊。 字串會被淨化以安全起見,所以 HTML、Markdown 和其他程式碼無法運作。 描述中包含的任何網址都應遵循百分比編碼格式,才能正確顯示。
- 建議行動 ——回應者在接獲警報時可能採取的額外行動。
規則頻率
當你儲存新規則時,它會執行並檢查過去 30 天的資料是否符合。 規則接著以固定間隔重複運行,並根據你選擇的頻率套用回望週期:
- 每 24 小時 一次 - 每 24 小時運行一次,檢查過去 30 天的數據。
- 每12小時 一次 - 每12小時運行一次,檢查過去48小時的數據。
- 每 3 小時 一次 - 每 3 小時運行一次,檢查過去 12 小時的數據。
- 每小時 一次 - 每小時運行一次,檢查過去 4 小時的數據。
- 連續 (NRT) - 持續運行,並在近乎即時 (NRT) 中檢查事件資料收集與處理,詳見 連續 (NRT) 頻率。
- 自訂 - 依你選擇的頻率運行。 若規則僅基於被Microsoft Sentinel資料擷取,則可使用此選項,詳見預覽 ) (Microsoft Sentinel資料的自訂頻率。
提示
將查詢中的時間篩選條件與回溯期間相匹配。 回顧期外的結果則被忽略。
當你編輯規則時,這些變更會在下一個根據你設定的頻率排程的執行時間中套用。 規則頻率是根據事件時間戳記而非吞入時間。 某些行程中也可能有小延遲,因為設定的頻率並非百分之百準確。
連續 (NRT) 頻率
設定自訂偵測系統以持續 (NRT) 頻率執行,能提升組織更快識別威脅的能力。 使用連續 (NRT) 頻率對資源使用影響極小甚至無影響,因此應納入貴組織中任何合格的自訂偵測規則。
從自訂偵測規則頁面,你可以用一個按鈕「 立即遷移」遷移符合連續 (NRT) 頻率的自訂偵測規則:
現在選擇 遷移 ,會根據他們的 KQL 查詢,列出所有相容規則。 你可以依照偏好選擇遷移全部或僅選擇的規則:
一旦選擇 儲存,所選規則的頻率會更新為連續 (NRT) 頻率。
你可以持續執行查詢
你可以持續執行查詢,只要:
- 查詢只參考一個資料表。
- 查詢使用支援 KQL 功能清單中的運算子。 (對於
matches regex,正則表達式必須以字串字面值編碼,並遵循字串引用規則。例如,正則表達\A式在 KQL 中表示為"\\A"。額外的反斜線表示另一個反斜線是正則表達式\A.) - 查詢不使用 joins、unions 或運算子。
externaldata - 查詢中沒有包含任何評論行或資訊。
支援連續 (NRT) 頻率的表格
以下表格支援近即時偵測:
AlertEvidenceCloudAppEventsDeviceEventsDeviceFileCertificateInfoDeviceFileEventsDeviceImageLoadEventsDeviceLogonEventsDeviceNetworkEventsDeviceNetworkInfoDeviceInfoDeviceProcessEventsDeviceRegistryEventsEmailAttachmentInfo-
EmailEvents(除了LatestDeliveryLocation和LatestDeliveryAction欄位) EmailPostDeliveryEventsEmailUrlInfoIdentityDirectoryEventsIdentityLogonEventsIdentityQueryEventsUrlClickEvents
注意事項
只有一般可用的欄位支援 連續 (NRT) 頻率。
Microsoft Sentinel資料的自訂頻率 (預覽)
Microsoft Sentinel已加入 Microsoft Defender 的客戶,若規則僅基於Microsoft Sentinel所接收的資料,則可選擇自訂頻率。
當你選擇這個頻率選項時,會出現「 每個輸入元件都執行」這個查詢 。 輸入規則所需的頻率,並使用下拉選單選擇單位:分鐘、小時或天。 支援範圍範圍從 5 分鐘到 14 天不等。 當你選擇頻率時,回查週期會自動以以下邏輯決定:
- 對於設定為一天執行超過一次的偵測,回查頻率為四倍。 例如,如果頻率是20分鐘,回溯時間則是80分鐘。
- 對於設定為每日一次或更少頻率的偵測,回查為30天。 例如,若設定為每三天運行一次,回溯時間為 30 天
重要事項
當您選擇自訂頻率時,我們會從 Microsoft Sentinel 取得您的資料。 這表示:
- 你必須在 Microsoft Sentinel 中取得資料。
- Defender 全面偵測回應資料不支援範圍設定,因為 Microsoft Sentinel 不支援範圍設定。
3. 定義警示豐富細節
您可以透過提供與定義更多細節來豐富警示,讓您能夠:
- 建立動態警報標題與描述
- 新增自訂細節 ,顯示在警示側面板中
- 連結實體
建立動態警報標題與描述 (預覽)
你可以利用查詢結果動態打造警示標題與描述,使其準確且具指示性。 此功能能提升 SOC 分析師在分流警示與事件時的效率,以及快速理解警示本質時的效率。
若要動態配置警示標題或描述,請利用查詢結果中可用的自由文字欄位名稱,並以雙捲括號包圍它們,將其整合到 警示詳情 區塊。
例如:User {{AccountName}} unexpectedly signed in from {{Location}}
注意事項
每個欄位可參考的欄位數量限制為三欄。
為了幫助你決定要參考的確切欄位名稱,你可以選擇 「探索查詢與結果」,這會在規則建立精靈上方開啟進階搜尋情境窗格,讓你檢視查詢邏輯及其結果。
新增自訂細節 (預覽)
你還可以透過在警示側面板顯示重要細節,進一步提升 SOC 分析師的生產力。 你可以將事件資料呈現在由事件構成的警示中。 此功能讓您的 SOC 分析師即時掌握事件內容,讓他們能更快分流、調查並得出結論。
在 自訂細節 區塊中,加入對應你想要顯示的細節的鍵值對:
- 在 「鑰匙 」欄位輸入你選擇的名稱,該名稱會作為警示欄位名稱出現。
- 在 參數 欄位中,從下拉選單中選擇你想在警示中顯示的事件參數。 這個清單會由對應你 KQL 查詢輸出的欄位名稱值填充。
以下截圖展示了自訂細節如何顯示在警示側面板中:
重要事項
自訂細節有以下限制:
- 每條規則最多可有 20 對鍵值的自訂細節
- 所有自訂細節及其數值合併在單一警示中大小上限為 4 KB。 如果自訂細節陣列超過這個限制,整個自訂細節陣列就會從警報中移除。
連結實體
在查詢結果中找出預期會尋找主要受影響或受影響實體的欄標籤。 例如,查詢可能會回傳寄件 (SenderFromAddress 或 SenderMailFromAddress) ,收件人 (RecipientEmailAddress) 地址。 識別哪些欄代表主要受影響的實體,可協助服務匯總相關警示、關聯事件,以及目標回應動作。
每個實體類型 (信箱、使用者或裝置) 只能選取一欄。 你無法選擇查詢結果未回傳的欄位。
擴展實體映射 (預覽)
你可以將各種實體類型連結到你的警示中。 連結更多實體有助於我們的關聯引擎將警示群組到相同事件,並將事件相互關聯。 如果你是 Microsoft Sentinel 的客戶,這也代表你可以將第三方資料來源中匯入 Microsoft Sentinel 的任何實體進行映射。
對於 Microsoft Defender 全面偵測回應資料,實體會自動被選取。 如果資料來自 Microsoft Sentinel,你需要手動選擇實體。
注意事項
實體會影響警示如何被歸類為事件,因此務必仔細審查這些實體,以確保事件品質優良。 了解更多關於事件相關性與警示分組的資訊。
在擴展的 實體映射 區塊下有兩個區塊,你可以選擇實體:
-
受影響資產 – 新增出現在所選事件中的受影響資產。 可新增以下類型的資產:
- 帳戶
- 裝置
- 信箱
- 雲端應用
- Azure resource
- 亞馬遜網路服務資源
- Google Cloud Platform 資源
-
相關證據 – 新增出現在所選事件中的非資產。 支援的實體類型包括:
- 程序
- 檔案
- 登錄值
- IP
- OAuth 應用
- DNS
- 安全性群組
- URL
- 郵件叢集
- 郵件訊息
注意事項
目前,你只能將資產映射為受影響的實體。
選擇實體類型後,選擇在所選查詢結果中存在的識別碼類型,以便用來識別該實體。 每種實體類型都有一份支援的識別碼清單,如相關下拉選單所示。 請閱讀滑鼠移至每個識別碼時顯示的說明,以更了解內容。
選擇識別碼後,從查詢結果中選擇包含該識別碼的欄位。 選擇 「探索查詢與結果 」以開啟進階狩獵情境面板。 此選項讓您能探索查詢與結果,確保選擇正確的欄位以符合所選識別碼。
4. 指定動作
如果你的自訂偵測規則使用 Defender 全面偵測回應資料,它可以自動對查詢回傳的裝置、檔案、使用者或電子郵件採取行動。
在裝置上採取動作
這些動作會適用於查詢結果 DeviceId 資料行中的裝置:
- 隔離裝置 - 使用 適用於端點的 Microsoft Defender 進行完整網路隔離,防止裝置連接任何應用程式或服務。 了解更多關於 適用於端點的 Microsoft Defender 機器隔離的資訊。
- 收集調查套件 - 將裝置資訊以 ZIP 檔形式收集。 了解更多關於 適用於端點的 Microsoft Defender 調查套件。
- 執行防毒掃描 - 對裝置進行完整的 Microsoft Defender 防毒掃描。
- 啟動調查 - 啟動對裝置的 自動調查 。
- 限制應用程式執行 - 對裝置設置限制,只允許以 Microsoft 核發憑證簽署的檔案執行。 了解更多關於 適用於端點的 Microsoft Defender 應用程式限制的資訊。
對檔案採取動作
選擇後,允許 /封鎖 動作即可套用到檔案。 只有在你對檔案有 修復 權限,且查詢結果有識別到檔案 ID(例如 SHA1)時,才允許封鎖檔案。 一旦檔案被封鎖,所有裝置中同一檔案的其他實例也會被封鎖。 你可以控制封鎖要套用在哪個裝置群組,但無法控制特定裝置。
選擇後,隔離 檔案 動作可套用於查詢結果中
SHA1、InitiatingProcessSHA1、SHA256或InitiatingProcessSHA256欄位中的檔案。 此動作會從檔案的目前位置刪除檔案,並隔離一份複製檔案。
對使用者採取動作
選取時, 將對查詢結果
AccountObjectId、InitiatingProcessAccountObjectId、或RecipientObjectId資料行中的使用者採取 將使用者標記為遭入侵 動作。 此動作將使用者的風險等級設定為 Microsoft Entra ID 中的「高」,並觸發相應的身份保護政策。選擇 「停用使用者 」以暫時阻止使用者登入。
選擇 強制重設密碼 ,提示使用者在下一次登入時更改密碼。
和
Disable userForce password reset選項都需要使用者的 SID,這些 SID 位於欄位AccountSid、InitiatingProcessAccountSid、RequestAccountSid和OnPremSid。
欲了解更多使用者操作資訊,請參閱 適用於身分識別的 Microsoft Defender 中的修復措施。
電子郵件處理
如果自訂偵測產生電子郵件,您可以選擇 「移至信箱資料夾 」,將郵件移至) 垃圾 郵件、 收件匣或 已刪除郵件 資料夾 (選定的資料夾。 具體來說,你可以選擇收 件匣 選項,將隔離郵件結果移 (,例如在誤報) 情況下。
或者,您也可以選擇 刪除電子郵件 ,然後選擇將郵件移至已刪除郵件 (軟刪除) 或永久刪除 (硬刪除) 。
NetworkMessageId欄位 和 RecipientEmailAddress 必須出現在查詢的輸出結果中,才能對電子郵件訊息套用動作。
5. 設定規則範圍
設定範圍以指定規則涵蓋的裝置。 範圍會影響檢查裝置的規則,且不會影響僅檢查信箱和使用者帳戶或身分識別的規則。
設定範圍時,您可以選取:
- 所有裝置
- 特定裝置群組
該規則僅查詢範圍內裝置的資料。 它只會在這些裝置上執行動作。
注意事項
使用者只有在擁有規則範圍內裝置相應權限時,才能建立或編輯自訂偵測規則。 例如,管理員只有在擁有所有裝置群組權限的情況下,才能建立或編輯涵蓋所有裝置群組的規則。
6. 檢閱並啟用規則
在檢閱規則後,選取建立 以儲存。 自訂偵測規則會立即執行。 它會根據設定的頻率再次執行,以檢查匹配、產生警報並執行回應行動。
重要事項
定期檢視自訂偵測以提升效率與效能。 如需如何優化查詢,請參閱 進階搜尋查詢最佳實務。 為了確保你建立的偵測能觸發真正的警報,請花時間檢視你現有的自訂偵測,依照 管理現有自訂偵測規則的步驟進行。
你可以掌控自訂偵測的廣度或具體性。 任何由自訂偵測產生的錯誤警報,可能代表需要修改規則的某些參數。
自訂偵測如何處理重複警報
在建立與檢視自訂偵測規則時,警示噪音與疲勞是重要考量。 自訂偵測將事件群組並去重,合併成單一警示。 如果自訂偵測在包含相同實體、自訂細節和動態細節的事件上觸發兩次,則只會為這兩個事件產生一個警示。 如果偵測偵測到事件相同,則只會在建立的警示中記錄其中一件事,然後處理重複事件,這可能發生在回溯週期超過頻率時。 如果事件不同,自訂偵測會將兩個事件都記錄在警示中。
另請參閱
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。