使用 Microsoft Sentinel 检测威胁(创建规则和警报)

使用 Microsoft Sentinel 检测威胁(创建规则和警报)

2024年3月1日

这篇技术和教育文章旨在指导安全分析师、IT 管理员和系统工程师使用 Microsoft Sentinel、Microsoft 云原生 SIEM(安全信息和事件管理)和 SOAR(安全编排、自动化和响应)主动检测威胁。 Microsoft Sentinel 通过从多个来源收集数据、检测威胁、调查事件并以自动化方式做出响应,提供整个企业的统一安全视图 [1]。

简介

在日益复杂和庞大的网络威胁环境中,组织需要的工具不仅可以收集安全数据,还可以对其进行智能分析以识别恶意活动。 Microsoft Sentinel 通过使安全团队能够实时监控、检测和响应威胁来弥补这一差距。创建分析规则和警报是 Sentinel 检测功能的核心,它将大量日志转换为可操作的见解 [2]。

本实用指南将涵盖在 Azure Sentinel 中配置分析规则,从提取数据到创建自定义警报并验证其有效性。将提供分步说明、示例 KQL(Kusto 查询语言)查询和说明,以便读者可以在其环境中实施和优化威胁检测,加强安全态势并加快事件响应。

为什么使用 Azure Sentinel 进行威胁检测?

  • 云可扩展性:基于Azure,它为日志摄取和存储提供无限的可扩展性。
  • 集成威胁情报:利用 Microsoft 和合作伙伴的威胁情报来丰富检测。
  • 行为分析 (UEBA):识别用户和实体的异常和可疑行为。
  • 自动化 (SOAR):允许您通过剧本自动响应事件。
  • 全面的可见性:连接到多个数据源,包括 Microsoft 365、Azure、AWS、Google Cloud 和第三方安全解决方案。

先决条件

要使用 Azure Sentinel 配置威胁检测,您将需要以下项目:

  1. Azure 订阅:有效的 Microsoft Azure 订阅。
  2. 管理访问权限:在 Azure 门户 (portal.azure.com) 中具有 Sentinel Contributor 或 Log Analytics 管理员权限的帐户。
  3. Log Analytics 工作区:已配置的 Log Analytics 工作区,用作 Sentinel 的数据存储库。
  4. Microsoft Sentinel 活动:必须在 Log Analytics 工作区中启用 Microsoft Sentinel。
  5. 配置的数据连接器:安全数据(日志)必须从 Azure AD、Microsoft 365、Microsoft Defender for Endpoint、防火墙等来源引入 Log Analytics 工作区。 [3]。

分步:创建分析规则和警报

让我们创建一个计划分析规则来检测常见的威胁场景:短时间内多次登录失败,表明存在暴力破解尝试。

1. 检查数据连接器

在创建规则之前,请确保相关数据已被摄取。对于登录失败检测,我们需要来自 Azure Active Directory (Microsoft Entra ID) 的日志。

  1. 转到 Azure 门户:“https://portal.azure.com”。
  2. 导航到 Microsoft Sentinel
  3. 在左侧导航窗格中,选择“数据连接器”。
  4. 搜索 Azure Active Directory 并验证状态是否为 已连接

2. 创建计划分析规则

让我们创建一条规则,检测 10 分钟内同一 IP 发生 5 次或以上的登录失败。

  1. 在 Azure Sentinel 的左侧导航窗格中,选择 分析
  2. 点击+创建 > 定时查询规则

第 1 步:概述

  1. 名称Azure AD 暴力尝试
  2. 描述检测到同一IP地址短时间内多次Azure AD登录失败,表明可能存在暴力攻击。
  3. 策略:选择“凭据访问”。
  4. 严重性
  5. 状态已启用。 6.点击下一步:Defi定义规则逻辑

步骤 2:定义规则逻辑

  1. 规则查询:输入KQL查询:

``库斯托 登录日志 | where ResultType == "50126" // 凭证验证失败 |总结 FailedLogins = count() by IPAddress, UserPrincipalName, bin(TimeGenerate, 10m) |其中登录失败 >= 5 |扩展 AccountCustomEntity = UserPrincipalName、IPCustomEntity = IPAddress ````

  1. 实体映射:映射实体以丰富警报。在实体映射下,添加:

    • 帐户AccountCustomEntity
    • IP 地址IPCustomEntity

  2. 安排预约

    • 运行查询间隔10 分钟
    • 最新搜索数据10 分钟

  3. 警报限制:保留默认的“查询结果数大于0时生成警报”。

步骤 3:事件设置

  1. 根据此分析规则触发的警报创建事件:启用。
  2. 警报分组:“如果所有警报都是从同一实体生成的,则将警报分组为单个事件”。

第 4 步:自动响应

或者,您可以附加 playbook(基于逻辑应用)来自动执行操作,例如在防火墙中阻止 IP 地址或禁用用户帐户。

第 5 步:审核并创建

检查所有设置并单击 创建

调查警报和事件

当规则检测到可疑活动时,就会创建事件。

  1. 在 Azure Sentinel 中,转到事件
  2. 单击您的规则生成的事件。
  3. 在事件详情页面,您将看到:
    • 时间轴:警报的时间顺序。
    • 实体:映射的实体(用户和IP),可以进一步调查。
    • 调查图:实体之间连接的图形可视化。

使用这些工具了解攻击的范围并采取必要的响应措施。

使用分析规则模板

Microsoft Sentinel 附带了来自 Microsoft 及其安全社区的数百个预构建规则模板。使用它们是提高检测能力的快速方法。

  1. 分析 中,转到 规则模板 选项卡。
  2. 按数据源、MITRE ATT&CK® 策略等过滤。
  3. 选择相关模板(例如“异常登录位置”)。
  4. 单击详细信息窗格中的“创建规则”。该向导将填充模板逻辑和设置,您可以在创建活动规则之前对其进行自定义。

结论

在 Azure Sentinel 中创建自定义分析规则是任何安全团队的一项基本功能。通过将原始数据转换为可操作的检测,组织可以主动识别威胁,例如暴力攻击、横向移动和数据泄露。结合响应自动化和现有规则模板,Sentinel 使分析师能够专注于最重要的事情:保护组织。

参考文献

[1] 微软。 (2023)。 什么是 Microsoft Sentinel? [2] 微软。 (2023)。 查看并调查 Microsoft Sentinel 中的事件。 [3] 微软。 (2023)。 与 Microsoft Sentinel 数据连接器配合使用