Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Vlastní detekce teď představuje nejlepší způsob, jak vytvářet nová pravidla napříč Microsoft Defender XDR Microsoft Sentinel SIEM. S vlastními detekcemi můžete snížit náklady na příjem dat, získat neomezený počet detekcí v reálném čase a využívat výhod bezproblémové integrace s Defender XDR daty, funkcemi a nápravnými akcemi s automatickým mapováním entit. Další informace najdete v tomto blogu.
Důležité
Ladění detekce je aktuálně ve verzi PREVIEW. Další právní podmínky, které se vztahují na Azure funkce, které jsou v beta verzi, preview nebo jinak ještě nejsou obecně dostupné, najdete v doplňkových podmínkách použití pro Microsoft Azure Preview.
Vyladění pravidel detekce hrozeb ve vašem systému SIEM může být složitý, delikátní a nepřetržitý proces vyrovnávání mezi maximalizací pokrytí detekce hrozeb a minimalizací falešně pozitivních hodnot. Microsoft Sentinel tento proces zjednodušuje a zefektivňuje pomocí strojového učení k analýze miliard signálů z vašich zdrojů dat a také k reakcím na incidenty v průběhu času, odvodit vzory a poskytnout vám užitečná doporučení a přehledy, které vám můžou výrazně snížit režii při ladění a umožní vám zaměřit se na zjišťování skutečných hrozeb a reakce na ně.
Doporučení a přehledy pro ladění jsou teď integrované v pravidlech analýzy. Tento článek vysvětluje, co tyto přehledy ukazují a jak můžete doporučení implementovat.
Zobrazení přehledů pravidel a doporučení k ladění
Pokud chcete zjistit, jestli Microsoft Sentinel má nějaká doporučení k ladění pro některá z vašich analytických pravidel, vyberte v navigační nabídce Microsoft Sentinel možnost Analýza.
U všech pravidel, která obsahují doporučení, se zobrazí ikona žárovky, jak je znázorněno tady:
Upravte pravidlo tak, aby se doporučení zobrazovala společně s dalšími přehledy. Zobrazí se společně na kartě Nastavit logiku pravidla průvodce analytickým pravidlem pod zobrazením simulace výsledků .
Typy přehledů
Zobrazení Přehledy pro ladění se skládá z několika podoken, ve kterých se můžete posouvat nebo procházet potáhnutím prstem, přičemž každé zobrazuje něco jiného. Časový rámec 14 dnů, pro který se zobrazují přehledy, se zobrazuje v horní části rámce.
První podokno přehledu zobrazuje statistické informace – průměrný počet výstrah na incident, počet otevřených incidentů a počet uzavřených incidentů seskupených podle klasifikace (true/false positive). Tento přehled vám pomůže zjistit zatížení tohoto pravidla a zjistit, jestli se vyžaduje nějaké ladění – například jestli je potřeba upravit nastavení seskupení.
Tento přehled je výsledkem dotazu Log Analytics. Výběrem možnosti Průměrná upozornění na incident se dostanete k dotazu v Log Analytics, který přehled vytvořil. Výběrem možnosti Otevřít incidenty přejdete do okna Incidenty .
Druhé podokno přehledů vám doporučí seznam entit, které se mají vyloučit. Tyto entity velmi korelují s incidenty, které jste uzavřeli a klasifikovali jako falešně pozitivní. Výběrem symbolu plus vedle každé uvedené entity ji vyloučíte z dotazu při budoucích spuštěních tohoto pravidla.
Toto doporučení je vytvořeno pokročilými modely datových věd a strojového učení od Microsoftu. Zahrnutí tohoto podokna do zobrazení Přehledy ladění závisí na tom, že se zobrazí nějaká doporučení.
Třetí podokno přehledů zobrazuje čtyři nejčastěji se objevující mapované entity napříč všemi výstrahami vytvořenými tímto pravidlem. Mapování entit musí být nakonfigurované v pravidle pro tento přehled, aby se vytvořily jakékoli výsledky. Tento přehled vám může pomoct seznámit se s entitami, které "upoutávají pozornost" a odpoutávají pozornost od ostatních. Tyto entity můžete chtít zpracovat samostatně v jiném pravidle, nebo se můžete rozhodnout, že se jedná o falešně pozitivní nebo jinak šum, a vyloučit je z pravidla.
Tento přehled je výsledkem dotazu Log Analytics. Výběrem některé z entit přejdete k dotazu v Log Analytics, který vytvořil přehled.
Další kroky
Další informace najdete tady: