Analytic Rules

Az Analytics Rule a Sentinelben arra szolgál, hogy automatikusan elemezze a begyűjtött naplóadatokat, észlelje a biztonsági fenyegetéseket és generálja a riasztásokat. Segítségével különböző forrásokból származó eseményeket lehet összekapcsolni (korrelálni), például az Azure Active Directory, a Defender vagy a tűzfal naplóiból.

Az elemzési szabályok lehetnek előre definiáltak vagy egyedileg testre szabhatók KQL lekérdezésekkel, így célzott fenyegetésészlelést és proaktív threat huntingot tesznek lehetővé. Ha egy szabály feltételei teljesülnek, akkor a Sentinel automatikusan létrehoz egy incidenst, amelyet a biztonsági csapat kezelhet.

A training labor ezeket az Analytics rule-okat hozta magával

Microsoft Incident Creation Rule készítése – plédául csak a Defender Medium, vagy High alerteket rögzítse

Fusion rule (multistage attack detection bekapcsolása)

A Fusion rule egy okos szabály, ami segít összekapcsolni a különböző biztonsági figyelmeztetéseket. Ha például több kisebb gyanús esemény történik különböző helyeken, a Fusion felismeri, hogy ezek egy nagyobb támadás részei lehetnek, és erről értesít. Így kevesebb a felesleges riasztás, és könnyebb észrevenni a valódi veszélyeket.

Custom analytics rule

A Custom Analytics Rule egy egyedi szabály, amelyet saját igényeid szerint hozhatsz létre, hogy bizonyos eseményeket vagy mintázatokat figyelj. KQL (Kusto Query Language) segítségével meghatározhatod, milyen naplóadatokat észleljen a rendszer, és mikor generáljon riasztást.

Ez egy saját beállítású szabály, amivel te döntöd el, milyen gyanús tevékenységekre figyeljen a Sentinel, például ha egy felhasználó túl sokszor próbál sikertelenül belépni, vagy ha egy eszköz szokatlan helyről csatlakozik.

(azt keresi ha az adathalász levél nyomait törlik a felhasználók)

Utána meg kell adni a custom query-t (KQL), és megadni milyen időzítéssel fusson le, az alábbi módon:

Ez a Custom Analytics Rule egy Exchange Online eseményeket figyelő szabály a Microsoft Sentinelben. Kifejezetten azokra az esetekre koncentrál, amikor egy felhasználó új beérkező levelekre vonatkozó szabályt (New-InboxRule) állít be, amely potenciálisan rosszindulatú e-maileket automatikusan áthelyez a „Deleted Items” vagy „Junk Email” mappába.

let Keywords = dynamic([„helpdesk”, ” alert”, ” suspicious”, „fake”, „malicious”, „phishing”, „spam”, „do not click”, „do not open”, „hijacked”, „Fatal”]);
OfficeActivity_CL
| where Operation_s =~ „New-InboxRule”
| where Parameters_s has „Deleted Items” or Parameters_s has „Junk Email”
| extend Events=todynamic(Parameters_s)
| parse Events with * „SubjectContainsWords” SubjectContainsWords ‘}’*
| parse Events with * „BodyContainsWords” BodyContainsWords ‘}’*
| parse Events with * „SubjectOrBodyContainsWords” SubjectOrBodyContainsWords ‘}’*
| where SubjectContainsWords has_any (Keywords)
or BodyContainsWords has_any (Keywords)
or SubjectOrBodyContainsWords has_any (Keywords)
| extend ClientIPAddress = case( ClientIP_s has „.”, tostring(split(ClientIP_s,”:”)[0]), ClientIP_s has „[„, tostring(trim_start(@'[[]’,tostring(split(ClientIP_s,”]”)[0]))), ClientIP_s )
| extend Keyword = iff(isnotempty(SubjectContainsWords), SubjectContainsWords, (iff(isnotempty(BodyContainsWords),BodyContainsWords,SubjectOrBodyContainsWords )))
| extend RuleDetail = case(OfficeObjectId_s contains ‘/’ , tostring(split(OfficeObjectId_s, ‘/’)[-1]) , tostring(split(OfficeObjectId_s, ‘\\’)[-1]))
| summarize count(), StartTimeUtc = min(TimeGenerated), EndTimeUtc = max(TimeGenerated) by Operation_s, UserId__s, ClientIPAddress, ResultStatus_s, Keyword, OriginatingServer_s, OfficeObjectId_s, RuleDetail

• Kulcsszavak definiálása:

  • Egy „Keywords” lista van meghatározva, amely gyanús szavakat tartalmaz, mint például: "helpdesk", "alert", "phishing", "spam", "hijacked", stb.

• OfficeActivity_CL naplóforrás vizsgálata:

  • A OfficeActivity_CL táblából elemzi azokat az Exchange eseményeket, amelyekben az Operation_s mező "New-InboxRule" értéket tartalmaz (tehát új szabályt hoztak létre).

• Szűrés gyanús e-mail szabályokra:

  • Azokat a szabályokat keresi, amelyek az üzeneteket a „Deleted Items” vagy „Junk Email” mappákba irányítják.

• Szabályparaméterek kibontása:

  • Kibontja és elemzi a szabályfeltételeket, külön figyelve azokat a szabályokat, amelyek az e-mailek tárgyában vagy törzsében tartalmazhatnak kulcsszavakat.

• IP-cím normalizálása:

  • Az IP-címeket feldolgozza és egységes formátumba alakítja (ClientIPAddress mező).

• Gyanús kulcsszavak keresése:

  • Az új beérkező levélszabályokat vizsgálja, és ha azokban a tárgyban, törzsben vagy egyéb szöveges elemekben szerepelnek a gyanús kulcsszavak (Keywords listából), akkor az esemény gyanúsnak minősül.

• Összegzés és csoportosítás:

  • Az azonosított eseményeket összegzi és UserId, IP-cím, szabályrészletek, kulcsszavak és szerver alapján csoportosítja.

Ez a szabály észleli, ha egy felhasználó új beérkező levélszabályt hoz létre, amely az e-maileket automatikusan a törölt vagy spam mappába mozgatja, miközben gyanús kulcsszavakat tartalmaz az e-mailek tárgyában vagy törzsében, így segít azonosítani a rosszindulatú támadások vagy adathalászat elfedésére irányuló próbálkozásokat.

A KQL query-t lehet tesztelni, hogy működik -e.

Entitiy  mapping

Az Entity Mapping arra való, hogy a riasztásokban szereplő adatokat automatikusan felismerje és osztályozza a rendszer, például felhasználói fiókokként, IP-címekként vagy hosztokként. Ez segíti a biztonsági elemzést és az incidensek összekapcsolását, így könnyebben azonosíthatók a támadások és a gyanús tevékenységek. Az entitások megfelelő leképezése révén a Sentinel kontextusba helyezi az eseményeket, és támogatja a gyorsabb válaszadást a fenyegetésekre.

Időzítés:

5 óránként fusson le, és az elmúlt 12 óra adatait dolgozza fel.

Az Analytics részben látszik az általunk elkészített szabály.

A szabály lefutott, Incidens generálódott, talált egy olyan felhasználót akire illeszkedett a lekérdezés.