Rilevamento delle minacce in Microsoft Sentinel
Dopo la configurazione di Microsoft Sentinel per raccogliere dati da tutta l'organizzazione, è necessario esaminare costantemente tutti i dati per rilevare le minacce alla sicurezza per l'ambiente. Per eseguire questa attività, Microsoft Sentinel fornisce regole di rilevamento delle minacce eseguite regolarmente, l'esecuzione di query sui dati raccolti e l'analisi per individuare le minacce. Queste regole sono disponibili in alcuni tipi diversi e sono collettivamente note come regole di analisi.
Queste regole generano avvisi quando trovano l’oggetto della ricerca. Gli avvisi contengono informazioni sugli eventi rilevati, ad esempio le entità (utenti, dispositivi, indirizzi e altri elementi) coinvolte. Gli avvisi vengono aggregati e correlati in eventi imprevisti, file dei casi, che è possibile assegnare e analizzare per apprendere l'entità completa della minaccia rilevata e rispondere di conseguenza. È anche possibile compilare risposte predeterminate e automatizzate nella propria configurazione delle regole.
È possibile creare queste regole da zero usando la procedura guidata regola di analisi integrata. Tuttavia, Microsoft consiglia vivamente di usare l'ampia gamma di modelli di regole di analisi disponibili tramite le numerose soluzioni per Microsoft Sentinel fornite nell'hub del contenuto. Questi modelli sono prototipi di regole predefiniti, progettati da team di esperti e analisti della sicurezza in base alla conoscenza delle minacce note, dei vettori di attacco comuni e delle catene di escalation delle attività sospette. Si attivano regole da questi modelli per cercare automaticamente nell'ambiente qualsiasi attività sospetta. Molti dei modelli possono essere personalizzati per cercare tipi specifici di eventi o filtrarli in base alle esigenze.
Questo articolo illustra come Microsoft Sentinel rileva le minacce e cosa accade di seguito.
Importante
Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Tipi di regole di analisi
È possibile visualizzare le regole di analisi e i modelli disponibili per l'uso nella pagina Analytics del menu Configurazione in Microsoft Sentinel. Le regole attive attualmente sono visibili in una scheda e modelli per creare nuove regole in un'altra scheda. Una terza scheda visualizza Anomalie, un tipo di regola speciale descritto più avanti in questo articolo.
Per trovare più modelli di regola di quelli attualmente visualizzati, passare a hub di contenuto in Microsoft Sentinel per installare le soluzioni di prodotto correlate o il contenuto autonomo. I modelli di regola di analisi sono disponibili con quasi tutte le soluzioni di prodotto nell'hub di contenuto.
In Microsoft Sentinel sono disponibili i tipi di regole di analisi e i modelli di regola seguenti:
- Regole pianificate
- Regole NRT (Near Real Time, quasi in tempo reale)
- Regole di anomalia
- Regole di sicurezza Microsoft
Oltre ai tipi di regola precedenti, esistono altri tipi di modello specializzati che possono creare un'istanza di una regola, con opzioni di configurazione limitate:
- Intelligence per le minacce
- Rilevamento avanzato degli attacchi a più fasi ("Fusion")
- Analisi del comportamento di Machine Learning (ML)
Regole pianificate
Per gran parte il tipo più comune di regola di analisi, le regole pianificate sono basate su query Kusto configurate per l'esecuzione a intervalli regolari ed esaminare i dati non elaborati da un periodo di "lookback" definito. Se il numero di risultati acquisiti dalla query supera la soglia configurata nella regola, la regola genera un avviso.
Le query in modelli di regole pianificati sono state scritte da esperti di sicurezza e data science, Microsoft o dal fornitore della soluzione che fornisce il modello. Le query possono eseguire operazioni statistiche complesse sui dati di destinazione, rivelando baseline e outlier in gruppi di eventi.
La logica di query viene visualizzata nella configurazione della regola. È possibile usare la logica di query e le impostazioni di pianificazione e lookback come definito nel modello o personalizzarle per creare nuove regole. In alternativa, è possibile creare regole completamente nuove da zero.
Ulteriori informazioni sulle regole di analisi pianificate in Microsoft Sentinel.
Regole NRT (Near Real Time, quasi in tempo reale)
Le regole NRT sono un subset limitato di regole pianificate. Sono progettati per essere eseguiti una volta ogni minuto, per fornire informazioni il più possibile al minuto.
Funzionano principalmente come regole pianificate e sono configurate in modo analogo, con alcune limitazioni.
Altre informazioni su Rilevamento rapido delle minacce con regole di analisi NRT (Near Real Time) in Microsoft Sentinel.
Regole anomalie
Le regole di anomalia usano l'apprendimento automatico per osservare tipi specifici di comportamenti in un periodo di tempo per determinare una baseline. Ogni regola ha parametri e soglie univoci, appropriati per il comportamento analizzato. Al termine del periodo di osservazione, viene impostata la linea di base. Quando la regola osserva comportamenti che superano i limiti impostati nella linea di base, contrassegna tali occorrenze come anomale.
Anche se le configurazioni delle regole predefinite non possono essere modificate o ottimizzate, è possibile duplicare una regola e quindi modificare e ottimizzare il duplicato. In questi casi, eseguire il duplicato nella modalità di distribuzione di versioni di anteprima e l'originale simultaneamente in modalità di produzione. Confrontare quindi i risultati e passare al duplicato in produzione se e quando l'ottimizzazione è utile.
Le anomalie non indicano necessariamente comportamenti dannosi o anche sospetti da soli. Di conseguenza, le regole di anomalia non generano avvisi personalizzati. Registrano invece i risultati dell'analisi, delle anomalie rilevate, nella tabella Anomalie. È possibile eseguire query su questa tabella per fornire contesto che migliora i rilevamenti, le indagini e la ricerca delle minacce.
Per altre informazioni, vedere Usare anomalie personalizzabili per rilevare le minacce in Microsoft Sentinel e Usare le regole di analisi del rilevamento anomalie in Microsoft Sentinel.
Regole di sicurezza Microsoft
Mentre le regole pianificate e NRT creano automaticamente eventi imprevisti per gli avvisi generati, gli avvisi generati nei servizi esterni e inseriti in Microsoft Sentinel non creano eventi imprevisti personalizzati. Le regole di sicurezza Microsoft creano automaticamente eventi imprevisti di Microsoft Sentinel dagli avvisi generati in altre soluzioni di sicurezza Microsoft, in tempo reale. È possibile usare i modelli di sicurezza Microsoft per creare nuove regole con logica simile.
Importante
Le regole di sicurezza Microsoft non sono disponibili se si dispone di:
- integrazione degli eventi imprevisti di Microsoft Defender XDR abilitata o
- Onboarding di Microsoft Sentinel nel portale di Defender.
In questi scenari, Microsoft Defender XDR crea invece gli eventi imprevisti.
Tutte le regole definite in precedenza vengono disabilitate automaticamente.
Per altre informazioni sulle regole di creazione degli eventi imprevisti di sicurezza Microsoft, vedere Creare automaticamente eventi imprevisti dagli avvisi di sicurezza Microsoft.
Intelligence per le minacce
Sfruttare le informazioni sulle minacce prodotte da Microsoft per generare avvisi e eventi imprevisti ad alta fedeltà con la regola Microsoft Threat Intelligence Analytics. Questa regola univoca non è personalizzabile, ma, se abilitata, corrisponde automaticamente ai log CEF (Common Event Format), ai dati Syslog o agli eventi DNS di Windows con indicatori di minaccia di dominio, IP e URL di Microsoft Threat Intelligence. Alcuni indicatori contengono più informazioni di contesto tramite MDTI (Microsoft Defender Threat Intelligence).
Per altre informazioni su come abilitare questa regola, vedere Usare l'analisi corrispondente per rilevare le minacce.
Per altre informazioni su MDTI, vedere Che cos'è Microsoft Defender Threat Intelligence.
Rilevamento avanzato degli attacchi a più fasi (Fusion)
Microsoft Sentinel usa il motore di correlazione Fusion, con gli algoritmi di Machine Learning scalabili, per rilevare attacchi multistage avanzati correlando molti avvisi e eventi a bassa fedeltà tra più prodotti in eventi imprevisti ad alta fedeltà e pratica. La regola di rilevamento avanzato degli attacchi a più fasi è abilitata per impostazione predefinita. Poiché la logica è nascosta e pertanto non personalizzabile, con questo modello può essere presente una sola regola.
Il motore Fusion può anche correlare gli avvisi generati da regole di analisi pianificate con avvisi provenienti da altri sistemi, producendo eventi imprevisti ad alta fedeltà come risultato.
Importante
Il tipo di regola Rilevamento avanzato degli attacchi a più fasi è non disponibile se si dispone di:
- integrazione degli eventi imprevisti di Microsoft Defender XDR abilitata o
- Onboarding di Microsoft Sentinel nel portale di Defender.
In questi scenari, Microsoft Defender XDR crea invece gli eventi imprevisti.
Inoltre, alcuni modelli di rilevamento Fusion sono attualmente in ANTEPRIMA (vedere Rilevamento avanzato degli attacchi a più fasi in Microsoft Sentinel per vedere quali). Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
Analisi del comportamento basata su Machine Learning (ML)
Sfruttare i vantaggi degli algoritmi di Machine Learning proprietari di Microsoft per generare avvisi e eventi imprevisti ad alta fedeltà con le regole di Ml Behavior Analytics. Queste regole univoche (attualmente in Anteprima) non sono personalizzabili ma, se abilitate, rilevano comportamenti di accesso SSH e RDP specifici in base a IP e georilevazione e informazioni sulla cronologia utente.
Autorizzazioni di accesso per le regole di analisi
Quando si crea una regola di analisi, viene applicato un token di autorizzazioni di accesso alla regola e salvato insieme a esso. Questo token garantisce che la regola possa accedere all'area di lavoro contenente i dati sottoposti a query dalla regola e che l'accesso venga mantenuto anche se l'autore della regola perde l'accesso a tale area di lavoro.
Esiste tuttavia un'eccezione a questo accesso: quando viene creata una regola per accedere alle aree di lavoro in altre sottoscrizioni o tenant, ad esempio ciò che accade nel caso di un MSSP, Microsoft Sentinel adotta misure di sicurezza aggiuntive per impedire l'accesso non autorizzato ai dati dei clienti. Per questi tipi di regole, le credenziali dell'utente che ha creato la regola vengono applicate alla regola anziché a un token di accesso indipendente, in modo che quando l'utente non ha più accesso all'altra sottoscrizione o tenant, la regola smette di funzionare.
Se si gestisce Microsoft Sentinel in uno scenario tra sottoscrizioni o tra tenant, quando uno degli analisti o dei tecnici perde l'accesso a una determinata area di lavoro, tutte le regole create dall'utente smette di funzionare. In questo caso, viene visualizzato un messaggio di monitoraggio dell'integrità relativo “all'accesso insufficiente alla risorsa” e la regola viene disabilitata automaticamente dopo un determinato numero di volte.
Esportare regole in un modello di Resource Manager
È possibile esportare facilmente la regola in un modello di Azure Resource Manager (ARM) se si vuole gestire e distribuire le regole come codice. È anche possibile importare regole dai file modello per visualizzarle e modificarle nell'interfaccia utente.
Passaggi successivi
Altre informazioni sulle Regole di analisi pianificate in Microsoft Sentinel e Rilevamento rapido delle minacce con regole di analisi NRT (Near Real Time) in Microsoft Sentinel.
Per altre informazioni sui modelli di regola, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.