Bespeur bedreigings met Microsoft Sentinel (skep reëls en waarskuwings)

Bespeur bedreigings met Microsoft Sentinel (skep reëls en waarskuwings)

03/01/2024

Hierdie tegniese en opvoedkundige artikel is daarop gemik om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei om bedreigings proaktief op te spoor deur gebruik te maak van Microsoft Sentinel, Microsoft-wolk-inheemse SIEM (Security Information and Event Management), en SOAR (Security Orchestration, Automation, and Response). Microsoft Sentinel bied 'n verenigde siening van sekuriteit regoor die onderneming deur data van verskeie bronne in te samel, bedreigings op te spoor, voorvalle te ondersoek en op 'n outomatiese manier daarop te reageer [1].

Inleiding

In 'n toenemend komplekse en lywige kuberbedreiginglandskap benodig organisasies gereedskap wat nie net sekuriteitsdata insamel nie, maar dit ook intelligent ontleed om kwaadwillige aktiwiteite te identifiseer. Microsoft Sentinel oorbrug hierdie gaping deur sekuriteitspanne in staat te stel om bedreigings intyds te monitor, op te spoor en daarop te reageer. Die skep van analitiese reëls en waarskuwings is die hart van Sentinel se opsporingsvermoëns, wat groot volumes logboeke omskep in uitvoerbare insigte [2].

Hierdie praktiese gids sal die konfigurasie van analitiese reëls in Azure Sentinel dek, van die inname van data tot die skep van pasgemaakte waarskuwings en die validering van hul doeltreffendheid. Stap-vir-stap instruksies, voorbeelde van KQL (Kusto Query Language) navrae, en beskrywings sal verskaf word sodat die leser bedreigingsopsporing in hul omgewing kan implementeer en optimeer, wat hul sekuriteitsposisie en vinnige insidentreaksie versterk.

Hoekom Azure Sentinel for Threat Detection?

  • Wolkskaalbaarheid: Gebaseer op Azure, bied dit onbeperkte skaalbaarheid vir loginname en berging.
  • Geïntegreerde bedreigingsintelligensie: Gebruik bedreigingsintelligensie van Microsoft en vennote om opsporing te verryk.
  • Gedragsanalise (UEBA): Identifiseer afwykings en verdagte gedrag van gebruikers en entiteite.
  • Outomatisering (SOAR): Laat jou toe om reaksies op voorvalle deur speelboeke te outomatiseer.
  • Omvattende sigbaarheid: Koppel aan verskeie databronne, insluitend Microsoft 365, Azure, AWS, Google Cloud en derdeparty-sekuriteitsoplossings.

Voorvereistes

Om bedreigingopsporing met Azure Sentinel op te stel, benodig u die volgende items:

  1. Azure-intekening: 'n Aktiewe Microsoft Azure-intekening.
  2. Administratiewe toegang: 'n Rekening met Sentinel Contributor of Log Analytics Administrateur-toestemmings in die Azure-portaal (portal.azure.com).
  3. Log Analytics Workspace: 'n Gekonfigureerde Log Analytics-werkspasie wat dien as die databewaarplek vir Sentinel.
  4. Microsoft Sentinel Active: Microsoft Sentinel moet in die Log Analytics-werkspasie geaktiveer word.
  5. Gekonfigureerde dataverbindings: Sekuriteitsdata (logs) moet in die Log Analytics-werkspasie ingeneem word vanaf bronne soos Azure AD, Microsoft 365, Microsoft Defender for Endpoint, firewalls, ens. [3].

Stap vir stap: Skep analisereëls en waarskuwings

Kom ons skep 'n geskeduleerde ontledingsreël om 'n algemene bedreigingscenario op te spoor: veelvuldige aanmeldfoute in 'n kort tydperk, wat 'n brute kragpoging aandui.

1. Gaan Data Connectors na

Voordat jy reëls skep, maak seker dat die relevante data ingeneem word. Vir die opsporing van aanmeldfout, benodig ons logs van Azure Active Directory (Microsoft Entra ID).

  1. Gaan na die Azure-portaal: https://portal.azure.com.
  2. Gaan na Microsoft Sentinel.
  3. Kies Dataverbindings in die linkernavigasiepaneel.
  4. Soek vir Azure Active Directory en verifieer dat die status Gekoppel is.

2. Skep 'n geskeduleerde analise-reël

Kom ons skep 'n reël wat 5 of meer aanmeldfoute van dieselfde IP binne 10 minute opspoor.

  1. In Azure Sentinel, in die linkernavigasiepaneel, kies Analytics.
  2. Klik + Skep > Geskeduleerde navraagreël.

Stap 1: Algemeen

  1. Naam: Azure AD Brute Force-poging
  2. Beskrywing: `Bespeur verskeie Azure AD-aanmeldingfoute vanaf dieselfde IP-adres binne 'n kort tydperk, wat moontlike brute force-aanval aandui.'
  3. Taktiek: Kies Geloofstoegang.
  4. Erns: Medium.
  5. Status: Geaktiveer.
  6. Klik Volgende: Defidefinieer reëllogika.

Stap 2: Definieer reëllogika

  1. Reëlnavraag: Voer KQL-navraag in:
Teken Logs
| waar ResultType == "50126" // Geloofsbekragtiging het misluk
| som FailedLogins = count() op volgens IPAddress, UserPrincipalName, bin(TimeGenerated, 10m)
| waar FailedLogins >= 5
| extend AccountCustomEntity = UserPrincipalName, IPCustomEntity = IPAddress

  1. Entiteitskartering: Kaart entiteite om waarskuwings te verryk. Voeg onder Entiteitskartering by:

    • Rekening: AccountCustomEntity
    • IP-adres: IPCustomEntity

  2. Skeduleer 'n afspraak:

    • Laat navraag elke : 10 minute
    • Jongste soekdata: 10 minute

  3. Waarskuwingslimiet: Laat die verstek Genereer waarskuwing wanneer die aantal navraagresultate groter as 0 is.

Stap 3: Insident-instellings

  1. Skep insidente uit waarskuwings wat deur hierdie ontledingsreël geaktiveer word: Geaktiveer.
  2. Waarskuwingsgroepering: `Groep waarskuwings in 'n enkele voorval as alle waarskuwings van dieselfde entiteit gegenereer word'.

Stap 4: Outomatiese reaksie

Opsioneel kan jy 'n speelboek (gebaseer op Logic Apps) aanheg om aksies te outomatiseer soos om die IP-adres in die firewall te blokkeer of die gebruikersrekening te deaktiveer.

Stap 5: Hersien en skep

Gaan alle instellings na en klik Skep.

Ondersoek waarskuwings en voorvalle

Wanneer die reël verdagte aktiwiteit bespeur, word 'n voorval geskep.

  1. In Azure Sentinel, gaan na Incidents.
  2. Klik op die voorval wat deur jou reël gegenereer word.
  3. Op die voorvalbesonderhedebladsy sal jy sien:
    • Tydlyn: 'n Kronologie van waarskuwings.
    • Entiteite: Die gekarteerde entiteite (gebruiker en IP), wat verder ondersoek kan word.
    • Ondersoekgrafiek: 'n Grafiese visualisering van die verbande tussen entiteite.

Gebruik hierdie instrumente om die omvang van die aanval te verstaan ​​en neem die nodige reaksie-aksies.

Gebruik Analytics-reëlsjablone

Microsoft Sentinel kom met honderde voorafgeboude reëlsjablone van Microsoft en sy sekuriteitsgemeenskap. Die gebruik daarvan is 'n vinnige manier om jou opsporingskapasiteit te verhoog.

  1. Gaan in Analise na die Reëlsjablone-oortjie.
  2. Filtreer volgens databronne, MITER ATT&CK® taktiek, ens.
  3. Kies 'n relevante sjabloon (bv. Anomale aanmeldligging).
  4. Klik Skep reël in die besonderhedepaneel. Die towenaar sal gevul word met sjabloonlogika en instellings, wat jy kan pasmaak voordat die aktiewe reël geskep word.

Gevolgtrekking

Die skep van pasgemaakte ontledingsreëls in Azure Sentinel is 'n noodsaaklike vermoë vir enige sekuriteitspan. Deur rou data te omskep in uitvoerbare opsporings, kan organisasies proaktief bedreigings identifiseer soos brute force-aanvalle, laterale beweging en data-eksfiltrasie. Gekombineer met reaksie-outomatisering en bestaande reëlsjablone, bemagtig Sentinel ontleders om te fokus op wat die belangrikste is: die beskerming van die organisasie.

Verwysings

[1] Microsoft. (2023). Wat is Microsoft Sentinel? [2] Microsoft. (2023). Bekyk en ondersoek voorvalle in Microsoft Sentinel. [3] Microsoft. (2023). Werk met Microsoft Sentinel-dataverbindings.