Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Vlastní detekce je teď nejlepším způsobem, jak vytvářet nová pravidla napříč Microsoft Defender XDR SIEM služby Microsoft Sentinel. S vlastními detekcemi můžete snížit náklady na příjem dat, získat neomezený počet detekcí v reálném čase a využívat výhod bezproblémové integrace s Defender XDR daty, funkcemi a nápravnými akcemi s automatickým mapováním entit. Další informace najdete v tomto blogu.
Důležité
Ladění detekce je aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.
Pravidla detekce hrozeb ve vašem systému SIEM můžou být složitá, citlivá a souvislá pravidla pro vyrovnávání mezi maximalizací pokrytí detekce hrozeb a minimalizací falešně pozitivních sazeb. Microsoft Sentinel zjednodušuje a zjednodušuje tento proces pomocí strojového učení k analýze miliard signálů z vašich zdrojů dat a také reakcí na incidenty v průběhu času, oddučení vzorů a poskytuje užitečná doporučení a přehledy, které můžou výrazně snížit režijní náklady na ladění a umožňují zaměřit se na detekci a reakci na skutečné hrozby.
Doporučení a postřehy pro optimalizaci jsou nyní integrované v analytických pravidlech. Tento článek vysvětluje, co tyto přehledy ukazují a jak můžete implementovat doporučení.
Zobrazení přehledů pravidel a doporučení pro ladění
Pokud chcete zjistit, jestli má Microsoft Sentinel nějaká doporučení pro ladění pro některá z vašich analytických pravidel, vyberte v navigační nabídce Microsoft Sentinelu možnost Analýza .
Všechna pravidla s doporučeními zobrazí ikonu žárovky, jak je znázorněno tady:
Upravte pravidlo a zobrazte doporučení společně s ostatními přehledy. Zobrazí se společně na kartě Nastavení logiky pravidla v průvodci analytickými pravidly pod zobrazením Simulace výsledků.
Typy přehledů
Zobrazení přehledů ladění se skládá z několika podoken, kterými se můžete posouvat nebo procházet potáhnutím prstem, přičemž každá zobrazuje něco jiného. Časový rámec – 14 dní – po kterou se zobrazují poznatky, je uveden v horní části panelu.
V prvním podokně přehledu se zobrazí některé statistické informace – průměrný počet výstrah na incident, počet otevřených incidentů a počet uzavřených incidentů seskupených podle klasifikace (pravda/falešně pozitivní). Tento přehled vám pomůže zjistit zatížení tohoto pravidla a zjistit, jestli se vyžaduje nějaké ladění – například pokud je potřeba upravit nastavení seskupení.
Tento přehled je výsledkem dotazu Log Analytics. Výběr průměrných upozornění na incident vás provede dotazem v Log Analytics, který vytvořil přehled. Výběrem možnosti Otevřít incidenty přejdete do okna Incidenty .
Druhé podokno přehledů doporučuje, abyste vyloučili seznam entit . Tyto entity jsou vysoce korelované s incidenty, které jste zavřeli a klasifikovali jako falešně pozitivní. Výběrem znaménka plus vedle každé uvedené entity ji vyloučíte z dotazu v budoucích spuštěních tohoto pravidla.
Toto doporučení vytváří pokročilé modely datových věd a strojového učení od Microsoftu. Zahrnutí tohoto podokna do zobrazení Přehledy ladění závisí na tom, zda jsou nějaká doporučení k zobrazení.
Třetí podokno přehledu zobrazuje čtyři nejčastěji zobrazované mapované entity napříč všemi výstrahami vytvořenými tímto pravidlem. Pro správné fungování této analýzy musí být na pravidle nakonfigurováno mapování entit, jinak se neprodukují žádné výsledky. Tento přehled vám může pomoci uvědomit si jakékoli entity, které "stahují na sebe pozornost" a odklánějí ji od ostatních. Tyto entity můžete chtít zpracovat samostatně v jiném pravidle, nebo se můžete rozhodnout, že jsou falešně pozitivní nebo jinak šum, a vyloučit je z pravidla.
Tento přehled je výsledkem dotazu Log Analytics. Výběrem některé z entit přejdete do dotazu v Log Analytics, který vytvořil přehled.
Další kroky
Další informace najdete tady: