Обнаружение угроз с помощью Microsoft Sentinel (создание правил и оповещений)

Обнаружение угроз с помощью Microsoft Sentinel (создание правил и оповещений)

01.03.2024

Эта техническая и образовательная статья призвана помочь аналитикам безопасности, ИТ-администраторам и системным инженерам активно обнаруживать угрозы с помощью Microsoft Sentinel, облачных SIEM (информация о безопасности и управление событиями) Microsoft и SOAR (организация безопасности, автоматизация и реагирование). Microsoft Sentinel обеспечивает единое представление о безопасности на предприятии, собирая данные из нескольких источников, обнаруживая угрозы, расследуя инциденты и реагируя на них в автоматическом режиме [1].

Введение

В условиях все более сложной и объемной среды киберугроз организациям нужны инструменты, которые не только собирают данные о безопасности, но и интеллектуально анализируют их для выявления вредоносной активности. Microsoft Sentinel устраняет этот пробел, позволяя группам безопасности отслеживать, обнаруживать угрозы и реагировать на них в режиме реального времени. Создание правил аналитики и оповещений является основой возможностей обнаружения Sentinel, преобразуя огромные объемы журналов в полезную информацию [2].

В этом практическом руководстве будет рассмотрена настройка правил аналитики в Azure Sentinel, от приема данных до создания настраиваемых оповещений и проверки их эффективности. Будут предоставлены пошаговые инструкции, примеры запросов KQL (Kusto Query Language) и описания, чтобы читатель мог реализовать и оптимизировать обнаружение угроз в своей среде, укрепив свой уровень безопасности и ускорив реагирование на инциденты.

Почему Azure Sentinel для обнаружения угроз?

  • Масштабируемость в облаке: на основе Azure он обеспечивает неограниченную масштабируемость для приема и хранения журналов.
  • Интегрированная аналитика угроз: использует аналитику угроз от Microsoft и партнеров для улучшения обнаружения.
  • Поведенческий анализ (UEBA): выявляет аномалии и подозрительное поведение пользователей и объектов.
  • Автоматизация (SOAR): позволяет автоматизировать реагирование на инциденты с помощью сценариев.
  • Комплексная видимость: подключение к нескольким источникам данных, включая Microsoft 365, Azure, AWS, Google Cloud и сторонние решения безопасности.

Предварительные условия

Чтобы настроить обнаружение угроз с помощью Azure Sentinel, вам потребуются следующие элементы:

  1. Подписка Azure: активная подписка Microsoft Azure.
  2. Административный доступ: учетная запись с разрешениями Sentinel Contributor или администратора Log Analytics на портале Azure (portal.azure.com).
  3. Рабочая область Log Analytics: настроенная рабочая область Log Analytics, которая служит хранилищем данных для Sentinel.
  4. Microsoft Sentinel Active: Microsoft Sentinel должен быть включен в рабочей области Log Analytics.
  5. Настроенные соединители данных. Данные безопасности (журналы) должны приниматься в рабочую область Log Analytics из таких источников, как Azure AD, Microsoft 365, Microsoft Defender для конечной точки, брандмауэров и т. д. [3].

Шаг за шагом: создание правил анализа и оповещений

Давайте создадим правило запланированного анализа для обнаружения распространенного сценария угрозы: несколько неудачных попыток входа в систему за короткий период времени, указывающих на попытку перебора.

1. Проверьте соединители данных

Прежде чем создавать правила, убедитесь, что соответствующие данные принимаются. Для обнаружения ошибок входа нам нужны журналы из Azure Active Directory (Microsoft Entra ID).

  1. Перейдите на портал Azure: https://portal.azure.com.
  2. Перейдите к Microsoft Sentinel.
  3. На левой панели навигации выберите Соединители данных.
  4. Найдите Azure Active Directory и убедитесь, что статус — Подключено.

2. Создайте правило запланированного анализа

Давайте создадим правило, которое будет обнаруживать 5 и более ошибок входа с одного и того же IP в течение 10 минут.

  1. В Azure Sentinel на левой панели навигации выберите Аналитика.
  2. Нажмите + Создать > Правило запланированного запроса.

Шаг 1: Общие сведения

  1. Название: Попытка грубой силы Azure AD
  2. Описание: Обнаруживает несколько ошибок входа в Azure AD с одного и того же IP-адреса в течение короткого периода времени, что указывает на возможную атаку методом перебора.
  3. Тактика: выберите «Доступ к учетным данным».
  4. Степень: «Средняя».
  5. Статус: «Включено».
  6. Нажмите Далее: Defi.определить логику правил.

Шаг 2. Определите логику правила

  1. Запрос по правилу: введите запрос KQL:
Вход в журналы
| где ResultType == "50126" // Проверка учетных данных не удалась
| суммировать FailedLogins = count() по IPAddress, UserPrincipalName, bin (TimeGenerated, 10m)
| где FailedLogins >= 5
| расширить AccountCustomEntity = UserPrincipalName, IPCustomEntity = IPAddress

  1. Сопоставление объектов: сопоставьте объекты для обогащения оповещений. В разделе Сопоставление объектов добавьте:

    • Учетная запись: AccountCustomEntity
    • IP-адрес: IPCustomEntity

  2. Назначение встречи:

    • Выполнять запрос каждые: 10 минут
    • Последние данные поиска: 10 минут

  3. Ограничение оповещений: оставьте значение по умолчанию «Создавать оповещение, когда количество результатов запроса превышает 0».

Шаг 3. Настройки инцидента

  1. Создавать инциденты на основе оповещений, вызванных этим правилом анализа: Включено.
  2. Группировка оповещений: «Группируйте оповещения в один инцидент, если все оповещения генерируются одним и тем же объектом».

Шаг 4. Автоматический ответ

При желании вы можете прикрепить playbook (на основе Logic Apps) для автоматизации таких действий, как блокировка IP-адреса в брандмауэре или отключение учетной записи пользователя.

Шаг 5. Просмотрите и создайте

Проверьте все настройки и нажмите Создать.

Расследование предупреждений и инцидентов

Когда правило обнаруживает подозрительную активность, создается инцидент.

  1. В Azure Sentinel перейдите в раздел Инциденты.
  2. Щелкните инцидент, созданный вашим правилом.
  3. На странице сведений об инциденте вы увидите:
    • Временная шкала: хронология оповещений.
    • Объекты: сопоставленные объекты (пользователь и IP-адрес), которые можно исследовать дальше.
    • График расследования: графическая визуализация связей между объектами.

Используйте эти инструменты, чтобы понять масштаб атаки и принять необходимые ответные меры.

Использование шаблонов правил аналитики

Microsoft Sentinel поставляется с сотнями готовых шаблонов правил от Microsoft и ее сообщества по безопасности. Их использование — быстрый способ повысить вашу способность обнаружения.

  1. В разделе Анализ перейдите на вкладку Шаблоны правил.
  2. Фильтрация по источникам данных, тактике MITRE ATT&CK® и т. д.
  3. Выберите соответствующий шаблон (например, «Аномальное место входа»).
  4. Нажмите Создать правило на панели сведений. Мастер заполнит логику и настройки шаблона, которые вы можете настроить перед созданием активного правила.

Заключение

Создание пользовательских правил аналитики в Azure Sentinel — важная возможность для любой группы безопасности. Преобразуя необработанные данные в практические средства обнаружения, организации могут заранее выявлять такие угрозы, как атаки методом грубой силы, горизонтальное перемещение и утечка данных. В сочетании с автоматизацией реагирования и существующими шаблонами правил Sentinel позволяет аналитикам сосредоточиться на самом важном: защите организации.

Ссылки

[1] Майкрософт. (2023). Что такое Microsoft Sentinel? [2] Майкрософт. (2023). Просмотр и расследование инцидентов в Microsoft Sentinel. [3] Майкрософт. (2023). Работа с соединителями данных Microsoft Sentinel.