Creazione di una regola di rilevamento basata su ricerca

Modifica in linea

Le regole di rilevamento basate sulla ricerca vengono eseguite regolarmente, il che può comportare nuovi avvisi che possono diventare parte di un caso. Durante la creazione della regola, definire la regola con un nome e una descrizione e impostare la severità della regola. Quindi, configurare la regola immettendo KQL. La configurazione include l'impostazione di un periodo di lookback e una pianificazione per l'esecuzione della regola e l'esecuzione della query per visualizzare i risultati di esempio. È anche possibile aggiungere le associazioni MITRE ATT & CK alla regola ed eventuali note rilevanti sulla regola che altri utenti potrebbero dover comprendere.

Informazioni su questa attività

Per completare questa attività, è necessario essere un amministratore.

La query richiede KQL. In qualsiasi momento durante la creazione della regola, è possibile salvare la regola come bozza prima di salvarla come regola.

Importante: per mantenere prestazioni ottimali, non è possibile creare più di 15 regole di rilevamento basate sulla ricerca da eseguire con una frequenza compresa tra 30 e 60 secondi. È inoltre possibile disabilitare le regole o pianificare l'esecuzione delle regole con una frequenza che va da 4 minuti a 14 giorni.

Procedura

  1. Nella scheda Rilevamento , nella barra dei menu del report, fare clic su Crea regola > Basata su ricerca.
  2. Definire la regola
    1. Immettere un nome univoco e una descrizione.
    2. Impostare il raggruppamento di risultati. Quando è abilitata, tutti gli avvisi che risultano da un'esecuzione di query sono correlati nello stesso candidato del caso. Il valore predefinito è Abilitato.
    3. Impostare la severità per gli avvisi creati. Il valore predefinito è Basso.
      Importante: se la severità non è abbastanza elevata, l'avviso risultante potrebbe non finire in un caso, specialmente se il servizio di arricchimento non trova alcun motivo per fornire all'avviso un punteggio ad alto rischio.
    4. Fare clic su Avanti.
  3. Configurare la regola immettendo la query KQL nel programma di creazione di query e quindi completare la seguente procedura.
    1. Impostare una pianificazione per l'esecuzione della regola di query
      Predefinito
      Una regola basata sulla ricerca impostata sul valore predefinito viene eseguita ogni 4 minuti o 14 giorni. Impostare il periodo di lookback per determinare l'ora di creazione degli eventi che devono essere analizzati dalla query. Il periodo di lookback può essere uguale o superiore alla frequenza di esecuzione della regola per evitare lacune di copertura.
      Quasi in tempo reale
      Le regole quasi in tempo reale vengono eseguite ogni 30-60 secondi. Impostare il periodo di lookback per determinare il tempo di archiviazione degli eventi che devono essere analizzati dalla query. Il periodo di retroazione è impostato sulla stessa durata della frequenza di esecuzione della regola per evitare interruzioni di copertura. Per mantenere le prestazioni ottimali del sistema, esiste un limite di 15 regole quasi in tempo reale abilitate per tenant.
    2. Impostare la frequenza di esecuzione della regola.
    3. Impostare il periodo di lookback per stabilire l'ora di creazione degli eventi che devono essere analizzati dalla query. Il periodo di lookback è compreso tra 30 secondi e 14 giorni.
      Suggerimento: se il periodo di retrospettiva è uguale o superiore alla frequenza, potrebbe verificarsi una duplicazione dei risultati.
    4. Impostare una data e un'ora per avviare l'esecuzione della regola.
    5. Imposta un ritardo di inserimento per quanto tempo la regola attende prima di iniziare l'esecuzione. L'impostazione di un ritardo fornisce il tempo per l'inserimento degli eventi e impedisce la perdita di eventi durante l'esecuzione della regola.
      Importante: il ritardo di inserimento non si applica se si seleziona l'opzione di pianificazione Near real-time .
    6. Fare clic su Convalida query per visualizzare un esempio dei primi 50 risultati che la query potrebbe restituire.
    7. Facoltativo: se la query utilizza colonne che non corrispondono a una proprietà comprensibile per il prodotto, ad esempio la ridenominazione di src_ip in SourceIP= src_ip, è possibile associare le modifiche a una proprietà comprensibile per il prodotto. Le colonne non riconosciute nella query vengono memorizzate come testo all'interno del payload. Le proprietà associate vengono visualizzate nelle ricerche di un caso e i valori vengono considerati nel processo di correlazione e di arricchimento dell'avviso.
      Suggerimento: per aumentare le informazioni rilevanti disponibili per l'analisi, aggiungere ulteriori colonne di query dalle stesse propriet ... Parent nella sezione Associazione propriet ... di avviso . I dati dagli avvisi risultanti possono contribuire a un caso. Per visualizzare il modo in cui il prodotto ha associato automaticamente le colonne di query selezionate, impostare Mostra associazioni automatiche su On.
    8. Impostare una pianificazione dal calendario e una frequenza di esecuzione della regola di query.
    9. Fare clic su Avanti.
  4. Facoltativo: nel passo Supplemento , aggiungere le informazioni sulla regola.
    1. Impostare lo Stato regola. Il valore predefinito è Abilitato.
      Se si disabilita una regola, questa non viene attivata da un evento o da un avviso, né viene inclusa nei calcoli della mappa di calore MITRE ATT & CK.
    2. Fare clic sull'icona Modifica per aggiungere le associazioni MITRE ATT & CK. Per ulteriori informazioni, consultare Personalizzazione delle associazioni MITRE nelle regole analitiche basate sulla ricerca.
    3. Aggiungi note per la regola.
    4. Fare clic su Avanti.
  5. Nel passo di revisione , esaminare i dettagli della regola e fare clic su Salva.