Share via

Získání podrobných doporučení pro analytická pravidla ve službě Microsoft Sentinel

  • Článek

Důležité

Ladění detekce je aktuálně ve verzi PREVIEW. Další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, ve verzi Preview nebo jinak ještě nejsou obecně dostupné, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview .

Vyladění pravidel detekce hrozeb v systému SIEM může být složitý, citlivý a nepřetržitý proces vyvažování mezi maximalizací pokrytí detekce hrozeb a minimalizací míry falešně pozitivních výsledků. Microsoft Sentinel tento proces zjednodušuje a zjednodušuje tím, že pomocí strojového učení analyzuje miliardy signálů z vašich zdrojů dat a také reakce na incidenty v průběhu času, odsazuje vzorce a poskytuje užitečná doporučení a přehledy, které vám můžou výrazně snížit režii při ladění a umožní vám zaměřit se na zjišťování skutečných hrozeb a reagovat na ně.

V pravidlech analýzy jsou teď integrovaná doporučení a přehledy pro ladění. Tento článek vysvětluje, co tyto přehledy ukazují a jak můžete implementovat doporučení.

Zobrazení přehledů pravidel a doporučení pro ladění

Pokud chcete zjistit, jestli má Služba Microsoft Sentinel nějaké doporučení pro ladění pro některá z vašich analytických pravidel, vyberte v navigační nabídce služby Microsoft Sentinel možnost Analýza .

U všech pravidel s doporučeními se zobrazí ikona žárovky, jak je znázorněno tady:

Snímek obrazovky se seznamem analytických pravidel s indikátorem doporučení

Upravte pravidlo tak, aby se zobrazila doporučení spolu s dalšími přehledy. Zobrazí se společně na kartě Nastavit logiku pravidla v průvodci analytickým pravidlem pod zobrazením simulace výsledků .

Snímek obrazovky s laděním přehledů v analytickém pravidlu

Typy přehledů

Zobrazení Přehledy pro ladění se skládá z několika podoken, kterými se můžete posouvat nebo procházet potáhnutím prstem, přičemž každé zobrazuje něco jiného. Časový rámec (14 dnů), pro který se zobrazují přehledy, se zobrazuje v horní části rámce.

  1. V prvním podokně přehledu se zobrazí některé statistické informace – průměrný počet výstrah na incident, počet otevřených incidentů a počet uzavřených incidentů seskupených podle klasifikace (pravdivě/falešně pozitivní). Tento přehled vám pomůže zjistit zatížení tohoto pravidla a zjistit, jestli se vyžaduje nějaké ladění – například jestli je potřeba upravit nastavení seskupení.

    Snímek obrazovky s přehledem efektivity pravidel

    Tento přehled je výsledkem dotazu Log Analytics. Výběrem možnosti Average alerts per incident (Průměrná upozornění na incident) přejdete k dotazu v Log Analytics, ze kterého byl přehled vytvořen. Výběrem možnosti Otevřít incidenty přejdete do okna Incidenty .

  2. Druhé podokno přehledů vám doporučí seznam entit , které se mají vyloučit. Tyto entity velmi korelují s incidenty, které jste uzavřeli a klasifikovali jako falešně pozitivní. Výběrem znaménka plus vedle každé uvedené entity ji vyloučíte z dotazu při budoucích spuštěních tohoto pravidla.

    Snímek obrazovky s doporučením k vyloučení entit

    Toto doporučení vytváří pokročilé modely datové vědy a strojového učení od Microsoftu. Zahrnutí tohoto podokna do zobrazení Přehledy pro ladění závisí na tom, že se zobrazí nějaká doporučení.

  3. Třetí podokno přehledů zobrazuje čtyři nejčastěji se objevující mapované entity napříč všemi výstrahami vytvořenými tímto pravidlem. Pro tento přehled musí být pro pravidlo nakonfigurované mapování entit, aby se vygenerovaly nějaké výsledky. Tento přehled vám může pomoct seznámit se s entitami, které "vytěsávají hlavní pozornost" a od sebe odklánějí pozornost od ostatních. Tyto entity můžete chtít zpracovat samostatně v jiném pravidle, nebo se můžete rozhodnout, že se jedná o falešně pozitivní nebo jinak šum, a vyloučit je z pravidla.

    Snímek obrazovky s přehledem hlavních entit

    Tento přehled je výsledkem dotazu Log Analytics. Výběrem některé z entit přejdete k dotazu v Log Analytics, ze kterého byl přehled vytvořen.

Další kroky

Další informace naleznete v tématu: