透過行為分析識別威脅
當 Microsoft Sentinel 從所有連接的資料來源收集日誌和告警時,它會對其進行分析。它建立組織實體(users, hosts, IP addresses, applications等)的基線行為設定檔(baseline behavioral profiles)。
甚麼是行為分析(behavioral analytics)
識別組織內部的威脅及其潛在影響(無論是受感染的實體還是惡意的內部人員)一直是一個耗時且勞力密集的過程。當篩選告警、連接點並積極尋找時,組織會花費大量的時間和精力,但回報卻微乎其微。而且,複雜的威脅有可能逃避被發現。零時差威脅、針對性威脅和進階持續性威脅等難以捉摸的威脅對組織來說可能是最危險的,因此偵測它們變得更加重要。
Microsoft Sentinel 中的實體行為功能(Entity Behavior capability)消除了分析師工作負載中的苦差事,以及他們工作中的不確定性。實體行為功能提供高度可信且可操作的情報,因此他們可以專注於調查和補救。
當 Microsoft Sentinel 從所有連接的資料來源收集日誌和警報時,它會分析並建立組織實體(使用者、主機、IP 位址、應用程式等)的基線行為設定檔。該分析跨越時間和peer group horizon。 Microsoft Sentinel 使用各種技術和機器學習功能,然後可以識別異常活動並協助我們確定資產是否已受到損害。不僅如此,它還可以計算出特定資產的相對敏感性,識別資產的同類組,並評估任何給定受損資產的潛在影響(其「blast radius」)。有了這些資訊,我們就可以有效地確定調查和事故處理的優先順序。
Architecture overview
由安全驅動的分析
Microsoft 採用了 Gartner 的 UEBA 解決方案範例,Microsoft Sentinel 提供了一種「由外而內」的方法,基於三個參考框架:
Use cases:Microsoft Sentinel 根據與 MITRE ATT&CK 戰術、技術和子技術框架一致的安全研究,對相關攻擊向量和場景進行優先排序。優先順序將各種實體識別為受害者、攻擊者或kill chain中的樞軸點。 Microsoft Sentinel 特別關注每個資料來源可以提供的最有價值的日誌。
Data Sources:在首先支援 Azure 資料來源的同時,Microsoft Sentinel選擇了第三方資料來源來提供與我們的威脅情境相符的資料。
分析(Analytics):Microsoft Sentinel 使用機器學習 (ML) 演算法,識別異常活動,以整體脈絡的形式清晰、簡潔地提供證據。如以下的範例。
Microsoft Sentinel 提供的工件(artifacts)可協助資安人員清楚地了解整體脈絡中的異常活動,並與使用者的基準設定檔(baseline profile)進行比較。使用者(或主機或位址)執行的操作根據整體脈絡進行評估,其中「True」結果表示已識別的異常:
- 跨地理位置、裝置和環境。
- 跨時間和頻率範圍(與使用者自己的歷史記錄相比)。
- 與同儕的行為相比。
- 與組織的行為相比。
評分
每項活動均以「Investigation Priority Score」。此分數根據使用者及其其他同事的行為學習來決定特定使用者執行特定活動的機率。被確定為最異常的活動獲得最高分數(範圍為 0–10)。
理解實體(Entities)
當告警傳送到 Microsoft Sentinel 時,它們包含 Microsoft Sentinel identifies與classifies為實體的資料元素,例如使用者帳號、主機、IP 位址等。有時,如果告警不包含有關實體的足夠資訊,則此識別可能會是一個挑戰。
例如,可以透過多種方式識別使用者帳號:使用 Microsoft Entra 帳號的數位識別碼 (GUID) 或其UPN(User Principal Name) value,或使用其使用者名稱和 NT 網域的組合。不同的資料來源可以以不同的方式識別相同使用者。因此,只要有可能,Microsoft Sentinel 就會將這些identifiers合併為一個實體,以便能夠正確識別。
不過,我們的資源提供者之一可能會建立告警,其中未充分識別實體 — 例如,沒有網域名稱脈絡的使用者名稱。在這種情況下,使用者實體(user entity)無法與同一使用者帳號的其他instance合併,這些instance將被標識為單獨的實體,並且這兩個實體將保持單獨而不是統一。
為了最大限度地降低發生這種情況的風險,我們應該驗證所有告警提供者是否正確識別它們產生的告警中的實體。此外,將使用者帳號實體與 Microsoft Entra ID 同步可以建立統一目錄,該目錄將能夠合併使用者帳戶實體。
Microsoft Sentinel 目前識別了以下類型的實體:
- User account (Account)
- Host
- IP address (IP)
- Malware
- File
- Process
- Cloud application (CloudApplication)
- Domain name (DNS)
- Azure resource
- File (FileHash)
- Registry key
- Registry value
- Security group
- URL
- IoT device
- Mailbox
- Mail cluster
- Mail message
- Submission mail
Entity(實體)
當我們在搜尋、告警或調查中遇到任何實體(目前僅限於使用者和主機)時,選擇該實體並進入實體頁面,這是一個包含有關該實體的有用資訊的資料表(datasheet)。此頁面有的資訊類型包括有關該實體的基本事實、與該實體相關的顯著事件的時間表以及有關該實體行為的見解。
實體頁面由三個部分組成:
- 左側面板包含從 Microsoft Entra ID、Azure Monitor、Microsoft Defender for Cloud 和 Microsoft Defender XDR 等資料來源收集的實體的識別資訊。
- 中心面板顯示與實體相關的重要事件的圖形和文字時間線,例如告警、bookmark和activities。activities是來自 Log Analytics 的顯著事件的聚合。偵測這些活動的查詢是由 Microsoft 安全研究團隊開發的。
- 右側面板提供了有關實體的行為見解。這些見解有助於快速識別異常和安全威脅。這些見解由 Microsoft 安全研究團隊開發,基於異常偵測模型。
時間軸(Timeline)
時間軸是實體頁面對 Microsoft Sentinel 中行為分析的貢獻的主要部分。它呈現了有關實體相關事件的故事,幫助我們了解實體在特定時間範圍內的活動。
可以從多個預設選項(例如過去 24 小時)中選擇時間範圍,或將其設定為任何自訂的時間範圍。此外,也可以設定過濾器,將時間軸中的資訊限制為特定類型的事件或警報。
時間軸中包含以下類型的項目:
- 告警(Alerts) — 實體被定義為映射實體的任何告警。如果組織已使用分析規則建立自訂告警,則應確保規則的實體對應正確完成
- Bookmarks — 包含頁面上顯示的特定實體的任何bookmark。
- Activities— 與實體相關的顯著事件的總結。
實體洞察(Entity Insights)
實體洞察是 Microsoft 安全研究人員定義的查詢,可協助資安人員更有效率、更有效地進行調查。這些洞察作為實體頁面的一部分呈現,並以表格資料和圖表的形式提供有關主機和使用者的有價值的安全資訊。這裡擁有資訊意味著不必繞道 Log Analytics。這些洞察包括有關登入、群組新增、異常事件等的資料,並包括用於偵測異常行為的進階ML 演算法。這些洞察基於以下資料類型:
- Syslog
- SecurityEvent
- Audit Logs
- Sign-in Logs
- Office Activity
- BehaviorAnalytics (UEBA)
實體行為資訊
實體行為頁面可讓我們搜尋實體或從已顯示的實體清單中進行選擇。選擇後,將顯示實體頁面,其中包含告警和活動的資訊和時間表事件調查圖包括洞察選項。洞察顯示來自實體行為資料的資訊。
實體頁面設計為多種使用情境的一部分,可從活動管理、調查圖、bookmark或直接從 Microsoft Sentinel 主選單中實體行為分析(Entity behavior analytics)下的實體搜尋頁面存取。
使用異常偵測分析規則模板
隨著攻擊者和防禦者在網路安全軍備競賽中不斷爭奪優勢,攻擊者總是在尋找逃避偵測的方法。但不可避免的是,攻擊仍然會導致受攻擊的系統出現異常行為。 Microsoft Sentinel 的可自訂、基於機器學習的異常可以透過開箱即用的分析規則範本來識別這種行為。雖然異常本身並不一定表示惡意甚至可疑行為,但它們可用於改善偵測、調查和威脅搜尋:
- 改善偵測的其他資料:資安人員可以使用異常情況來偵測新威脅並使現有偵測更加有效。單一異常並不是惡意行為的強烈訊號,但當與kill chain上不同點發生的多個異常結合時,它們的累積效應會更強。資安人員還可以透過將異常識別的異常行為作為觸發告警的條件來增強現有檢測。
- 調查期間的證據:資安人員還可以在調查期間使用異常情況來幫助確認違規行為、找到新的調查途徑並評估其潛在影響。這些效率減少了資安人員花在調查上的時間。
- 主動威脅搜尋的開始:威脅搜尋者可以使用異常作為整體脈絡來幫助確定他們的查詢是否發現了可疑行為。當行為可疑時,異常現象也會指出進一步搜尋的潛在路徑。異常提供的這些線索減少了偵測威脅的時間及其造成傷害的機會。
異常(Anomalies)可能是強大的工具,但它們的噪音卻是出了名的大。它們通常需要針對特定環境或複雜的後續處理進行大量繁瑣的調整。 Microsoft Sentinel 可自訂異常範本由微軟的資料科學團隊進行調整,以提供開箱即用的價值,但如果我們需要進一步調整它們,該過程很簡單,並且不需要機器學習知識。許多異常的閾值和參數可以透過已經熟悉的分析規則使用者介面進行配置和微調。原始閾值和參數的效能可以與介面中的新閾值和參數進行比較,並在測試或使用階段根據需要進一步調整。一旦異常(Anomalies)滿足效能目標,只需點擊按鈕即可將具有新閾值或參數的異常升級到生產環境。
使用異常偵測分析規則
Microsoft Sentinel 的可自訂異常功能提供內建異常模板,可立即提供開箱即用的價值。這些異常模板透過使用數千個資料來源和數百萬個事件而開發,但此功能還使我們能夠在使用者介面中輕鬆更改異常的閾值和參數。異常規則必須先啟動才能產生異常,可以在「Logs」部分的「Anomalies table」中找到這些異常。
- From the Microsoft Sentinel navigation menu, select Analytics.
- On the Analytics page, select the Rule templates tab.
- Filter the list for Anomaly templates:
- Select the Rule type filter, then the drop-down list that appears below.
- Unmark Select all, then mark Anomaly.
- If necessary, select the top of the drop-down list to retract it, then select OK.
啟動異常規則
當您選擇規則範本(rule templates)之一時,我們將在詳細資料窗格中看到以下資訊以及「Create rule」按鈕:
- Description解釋了異常的工作原理及其所需的資料。
- Data sources指示需要擷取以便分析的日誌類型。
- Tactics and techniques是異常所涵蓋的MITRE ATT&CK框架戰術和技術。
- 參數(Parameters)是異常的可配置屬性。
- 閾值(Threshold)是一個可配置值,指示在創建異常之前事件必須異常的程度。
- 規則頻率(Rule frequency)是發現異常的日誌處理作業之間的時間。
- 異常版本(Anomaly version)顯示規則使用的範本的版本。如果想要變更已處於活動狀態的規則所使用的版本,則必須重新建立該規則。
- Template last updated是異常版本變更的日期。
完成以下步驟來啟動規則:
- 選擇尚未標記為「IN USE」的規則範本。選擇建立規則按鈕以開啟規則建立精靈。每個規則範本的精靈會略有不同,但它有三個步驟或標籤:常規(General)、配置(Configuration)、檢視和建立(Review and Create)。我們無法變更精靈中的任何值;首先必須建立並啟動規則
- 等待「Review and create」標籤上出現「Validation passed」訊息,然後選擇「建立」按鈕。我們只能從每個範本建立一個活動規則。完成精靈後,將在「活動規則」標籤中建立活動的異常規則,並且模板(在「Rule templates tab」中)將被標記為「IN USE」。
啟動異常規則後,偵測到的異常將儲存在 Microsoft Sentinel 工作區日誌部分的異常表中。
每個異常規則都有一個訓練期,直到該訓練期過後異常才會出現在表格中。我們可以在每個異常規則的描述中找到訓練週期。
評估異常的品質
可以透過查看過去 24 小時內規則建立的異常範例來了解異常規則的執行情況。
- From the Microsoft Sentinel navigation menu, select Analytics.
- On the Analytics page, check that the Active rules tab is selected.
- Filter the list for Anomaly rules (as above).
- Select the rule you want to assess, and copy its name from the top of the details pane to the right.
- From the Microsoft Sentinel navigation menu, select Logs.
- If a Queries gallery pops up over the top, close it.
- Select the Tables tab on the left pane of the Logs page.
- Set the Time range filter to Last 24 hours.
- Copy the Kusto query below and paste it in the query window (where it says “Type your query here or…”):
Anomalies
| where AnomalyTemplateName contains "________________________________"
Paste the rule name you copied above in place of the underscores between the quotation marks.- Select Run.
當取得一些結果時,可以開始評估異常的品質。如果沒有結果,請嘗試增加時間範圍。展開每個異常的結果,然後展開 AnomalyReasons 欄位。這將告我們為什麼異常會被觸發。異常的「合理性」或「有用性」可能取決於環境條件,但異常規則產生過多異常的常見原因是閾值太低。
微調異常規則
雖然異常規則的設計是為了最大程度地發揮開箱即用的作用,但每種情況都是獨一無二的,有時需要調整異常規則。由於我們無法編輯原始活動規則,因此必須先複製活動異常規則,然後自訂副本。原始異常規則將繼續運行,直到您停用或刪除它。
這是設計使然,讓您有機會比較原始配置和新配置產生的結果。預設情況下禁用重複規則。只能為任何給定的異常規則製作一份自訂副本。嘗試製作第二份副本將會失敗。
若要變更異常規則的配置,請在活動規則標籤中選擇異常規則。右鍵單擊規則行上的任意位置,或左鍵單擊行末尾的省略號 (…),然後選擇“複製”。
規則的新副本的規則名稱中將帶有後綴“-Customized”。若要實際自訂此規則,請選擇此規則並選擇編輯。此規則將在 Analytics 規則精靈中開啟。您可以在此處變更規則的參數及其閾值。可以更改的參數因異常類型和演算法而異。
可以在結果預覽窗格中預覽變更的結果。在結果預覽中選擇異常 ID,以了解 ML 模型識別該異常的原因。
啟用自訂規則以產生結果。某些變更可能需要規則再次運行,因此必須等待它完成並返回以檢查日誌頁面上的結果。自訂異常規則預設在 Flighting(測試)模式下運作。預設情況下,原始規則繼續在生產模式下運作。
若要比較結果,請傳回日誌中的異常表,像先前一樣評估新規則,僅尋找具有原始規則名稱和 AnomalyTemplateName 列中附加有「-Customized」的重複規則名稱的row。
如果對自訂規則的結果感到滿意,可以返回Active rules tab,選擇自訂規則,選擇編輯按鈕,然後在General tab上將其從Flighting 切換Production。原始規則將自動變更為“Flighting”,因為不能同時在生產環境中使用相同規則的兩個版本。
