Esercitazione: Rilevare le minacce usando le regole di analisi in Microsoft Sentinel

Importante

I rilevamenti personalizzati sono ora il modo migliore per creare nuove regole in Microsoft Sentinel Microsoft Defender XDR SIEM. Con i rilevamenti personalizzati, è possibile ridurre i costi di inserimento, ottenere rilevamenti in tempo reale illimitati e trarre vantaggio dall'integrazione senza problemi con dati, funzioni e azioni di correzione Defender XDR con il mapping automatico delle entità. Per altre informazioni, leggere questo blog.

In qualità di servizio Siem (Security Information and Event Management), Microsoft Sentinel è responsabile del rilevamento delle minacce alla sicurezza per l'organizzazione. Questa operazione viene eseguita analizzando i volumi elevati di dati generati da tutti i log dei sistemi.

Questa esercitazione descrive come configurare una regola di analisi Microsoft Sentinel da un modello per cercare gli exploit della vulnerabilità Apache Log4j nell'ambiente. La regola incornicia gli account utente e gli indirizzi IP trovati nei log come entità rilevabili, visualizza informazioni rilevanti negli avvisi generati dalle regole e avvisi del pacchetto come eventi imprevisti da analizzare.

Al termine di questa esercitazione, sarà possibile:

  • Creare una regola di analisi da un modello
  • Personalizzare la query e le impostazioni di una regola
  • Configurare i tre tipi di arricchimento degli avvisi
  • Scegliere le risposte alle minacce automatizzate per le regole

Prerequisiti

Per completare questa esercitazione, assicurarsi di avere:

  • Una sottoscrizione di Azure. Creare un account gratuito se non è già disponibile.

  • Un'area di lavoro Log Analytics con la soluzione Microsoft Sentinel distribuita e i dati inseriti in essa.

  • Un utente Azure con il ruolo collaboratore Microsoft Sentinel assegnato nell'area di lavoro Log Analytics in cui viene distribuito Microsoft Sentinel.

  • In questa regola viene fatto riferimento alle origini dati seguenti. Maggiore è il numero di connettori distribuiti, maggiore sarà l'efficacia della regola. Devi averne almeno uno.

    Origine dati Riferimento alle tabelle di Log Analytics
    Office 365 OfficeActivity (SharePoint)
    OfficeActivity (Exchange)
    OfficeActivity (Teams)
    DNS DnsEvents
    monitoraggio Azure (VM Insights) VMConnection
    Cisco ASA CommonSecurityLog (Cisco)
    Palo Alto Networks (Firewall) CommonSecurityLog (PaloAlto)
    Eventi di sicurezza Eventi di sicurezza
    Microsoft Entra ID SigninLogs
    AADNonInteractiveUserSignInLogs
    monitoraggio Azure (WireData) WireData
    monitoraggio Azure (IIS) W3CIISLog
    Attività Azure AzureActivity
    Amazon Web Services AWSCloudTrail
    Microsoft Defender XDR DeviceNetworkEvents
    Firewall di Azure AzureDiagnostics (Firewall di Azure)

Accedere alla portale di Azure e alla Microsoft Sentinel

  1. Accedere al portale di Azure.

  2. Nella barra di ricerca cercare e selezionare Microsoft Sentinel.

  3. Cercare e selezionare l'area di lavoro nell'elenco delle aree di lavoro Microsoft Sentinel disponibili.

Installare una soluzione dall'hub del contenuto

  1. In Microsoft Sentinel selezionare Hub contenuto nel menu a sinistra in Gestione contenuto.

  2. Cercare e selezionare la soluzione Log4j Vulnerability Detection.Search for and select the solution Log4j Vulnerability Detection.

  3. Nella barra degli strumenti nella parte superiore della pagina selezionare Installa/Aggiorna.

Creare una regola di analisi pianificata da un modello

  1. In Microsoft Sentinel selezionare Analisi dal menu a sinistra in Configurazione.

  2. Nella pagina Analisi selezionare la scheda Modelli di regola .

  3. Nel campo di ricerca nella parte superiore dell'elenco dei modelli di regola immettere log4j.

  4. Nell'elenco filtrato dei modelli selezionare Log4j vulnerability exploit (Exploit di vulnerabilità Log4j), noto anche come Log4Shell IP IOC. Nel riquadro dei dettagli selezionare Crea regola.

    Screenshot che mostra come cercare e individuare il modello e creare una regola di analisi.

    Verrà aperta la procedura guidata della regola di analisi .

  5. Nel campo Nome della scheda Generale immettere Log4j vulnerability exploit (Exploit di vulnerabilità Log4j), noto anche come Log4Shell IP IOC - Tutorial-1.

  6. Lasciare il resto dei campi in questa pagina così come sono. Queste sono le impostazioni predefinite, ma verrà aggiunta la personalizzazione al nome dell'avviso in una fase successiva.

    Se non si vuole che la regola venga eseguita immediatamente, selezionare Disabilitata e la regola verrà aggiunta alla scheda Regole attive ed è possibile abilitarla da qui quando necessario.

  7. Selezionare Avanti: Imposta logica regola. Screenshot della scheda Generale della procedura guidata regola di analisi.

Esaminare la logica di query delle regole e la configurazione delle impostazioni

Arricchire gli avvisi con entità e altri dettagli

  1. In Arricchimento degli avvisi mantenere le impostazioni di mapping delle entità così come sono. Prendere nota delle tre entità mappate.

    Screenshot delle impostazioni di mapping delle entità esistenti.

  2. Nella sezione Dettagli personalizzati aggiungere il timestamp di ogni occorrenza all'avviso, in modo che sia possibile visualizzarlo direttamente nei dettagli dell'avviso, senza dover eseguire il drill-down.

    1. Digitare timestamp nel campo Chiave . Si tratta del nome della proprietà nell'avviso.
    2. Selezionare timestamp dall'elenco a discesa Valore .

  3. Nella sezione Dettagli avviso personalizzare il nome dell'avviso in modo che il timestamp di ogni occorrenza sia visualizzato nel titolo dell'avviso.

    Nel campo Formato nome avviso immettere Log4j vulnerability exploit aka Log4Shell IP IOC in {{timestamp}}.

    Screenshot delle configurazioni dei dettagli personalizzati e dei dettagli degli avvisi.

Esaminare le impostazioni rimanenti

  1. Esaminare le impostazioni rimanenti nella scheda Imposta logica regola . Non è necessario modificare nulla, anche se è possibile, ad esempio, se si vuole modificare l'intervallo. È sufficiente assicurarsi che il periodo di lookback corrisponda all'intervallo per mantenere la copertura continua.

    • Pianificazione delle query:

      • Eseguire query ogni 1 ora.
      • Ricerca dei dati dell'ultima ora.

    • Soglia di avviso:

      • Generare un avviso quando il numero di risultati della query è maggiore di 0.

    • Raggruppamento di eventi:

      • Configurare la modalità di raggruppamento dei risultati delle query delle regole in avvisi: raggruppare tutti gli eventi in un singolo avviso.

    • Soppressione:

      • Interrompere l'esecuzione della query dopo la generazione dell'avviso: Disattivato.

    Screenshot delle impostazioni della logica delle regole rimanenti per la regola di analisi.

  2. Selezionare Avanti: Impostazioni evento imprevisto.

Esaminare le impostazioni di creazione dell'evento imprevisto

  1. Esaminare le impostazioni nella scheda Impostazioni evento imprevisto . Non è necessario modificare nulla, a meno che, ad esempio, non si disponga di un sistema diverso per la creazione e la gestione degli eventi imprevisti, nel qual caso si vuole disabilitare la creazione degli eventi imprevisti.

    • Impostazioni degli eventi imprevisti:

      • Creare eventi imprevisti da avvisi attivati da questa regola di analisi: Abilitata.

    • Raggruppamento di avvisi:

      • Raggruppare gli avvisi correlati, attivati da questa regola di analisi, in eventi imprevisti: Disabilitato.

    Screenshot della scheda Impostazioni evento imprevisto della procedura guidata regola di Analisi.

  2. Selezionare Avanti: Risposta automatizzata.

Impostare le risposte automatizzate e creare la regola

Nella scheda Risposta automatizzata :

  1. Selezionare + Aggiungi nuovo per creare una nuova regola di automazione per questa regola di analisi. Verrà aperta la Creazione guidata nuova regola di automazione .

    Screenshot della scheda Risposta automatizzata nella procedura guidata regola di Analisi.

  2. Nel campo Nome regola di automazione immettere Rilevamento exploit vulnerabilità Log4J - Esercitazione-1.

  3. Lasciare le sezioni Trigger e Conditions così come sono.

  4. In Azioni selezionare Aggiungi tag nell'elenco a discesa.

    1. Selezionare + Aggiungi tag.
    2. Immettere Log4J exploit nella casella di testo e selezionare OK.

  5. Lasciare le sezioni Scadenza regola e Ordine così come sono.

  6. Selezionare Applica. La nuova regola di automazione verrà presto visualizzata nell'elenco nella scheda Risposta automatizzata .

  7. Selezionare Avanti: Rivedi per esaminare tutte le impostazioni per la nuova regola di analisi. Quando viene visualizzato il messaggio "Convalida superata", selezionare Crea. A meno che non si imposti la regola su Disabilitato nella scheda Generale precedente, la regola verrà eseguita immediatamente.

    Selezionare l'immagine seguente per visualizzare la revisione completa (la maggior parte del testo della query è stata ritagliata per visualizzabilità).

    Screenshot della scheda Rivedi e crea della procedura guidata regola di Analisi.

Verificare l'esito positivo della regola

  1. Per visualizzare i risultati delle regole di avviso create, passare alla pagina Eventi imprevisti .

  2. Per filtrare l'elenco degli eventi imprevisti in base a quelli generati dalla regola di analisi, immettere il nome (o parte del nome) della regola di analisi creata nella barra di ricerca .

  3. Aprire un evento imprevisto il cui titolo corrisponde al nome della regola di analisi. Verificare che il flag definito nella regola di automazione sia stato applicato all'evento imprevisto.

Pulire le risorse

Se non si intende continuare a usare questa regola di analisi, eliminare (o almeno disabilitare) le regole di analisi e automazione create con la procedura seguente:

  1. Nella pagina Analisi selezionare la scheda Regole attive .

  2. Immettere il nome (o parte del nome) della regola di analisi creata nella barra di ricerca .
    Se non viene visualizzato, verificare che tutti i filtri siano impostati su Seleziona tutto.

  3. Contrassegnare la casella di controllo accanto alla regola nell'elenco e selezionare Elimina dal banner superiore.
    Se non si vuole eliminarlo, è possibile selezionare Disabilita .

  4. Nella pagina Automazione selezionare la scheda Regole di automazione .

  5. Immettere il nome (o parte del nome) della regola di automazione creata nella barra di ricerca .
    Se non viene visualizzato, verificare che tutti i filtri siano impostati su Seleziona tutto.

  6. Contrassegnare la casella di controllo accanto alla regola di automazione nell'elenco e selezionare Elimina dal banner superiore.
    Se non si vuole eliminarlo, è possibile selezionare Disabilita .

Passaggi successivi

Dopo aver appreso come cercare gli exploit di una vulnerabilità comune usando le regole di analisi, vedere altre informazioni sulle operazioni che è possibile eseguire con l'analisi in Microsoft Sentinel:

  • Last updated on