Få finjusteringsanbefalinger til dine analyseregler i Microsoft Sentinel

Vigtigt!

Brugerdefinerede registreringer er nu den bedste måde at oprette nye regler på tværs af Microsoft Sentinel SIEM-Microsoft Defender XDR. Med brugerdefinerede registreringer kan du reducere omkostningerne til indtagelse, få ubegrænsede registreringer i realtid og drage fordel af problemfri integration med Defender XDR data, funktioner og afhjælpningshandlinger med automatisk enhedstilknytning. Du kan få flere oplysninger ved at læse denne blog.

Vigtigt!

Justering af registrering er i øjeblikket i PRØVEVERSION. Se de supplerende vilkår for anvendelse for Microsoft Azure-prøveversioner for at få yderligere juridiske vilkår, der gælder for Azure funktioner, der er i beta, prøveversion eller på anden måde endnu ikke er offentligt tilgængelige.

Finjustering af regler for trusselsregistrering i din SIEM kan være en vanskelig, delikat og kontinuerlig proces til at balancere mellem maksimering af dækningen af trusselsregistrering og minimering af falske positive rater. Microsoft Sentinel forenkler og strømliner denne proces ved hjælp af maskinel indlæring til at analysere milliarder af signaler fra dine datakilder samt dine svar på hændelser over tid, udlede mønstre og give dig handlingsrettede anbefalinger og indsigt, der kan reducere justeringsomkostningerne væsentligt og give dig mulighed for at fokusere på at registrere og reagere på faktiske trusler.

Justering af anbefalinger og indsigt er nu indbygget i dine analyseregler. I denne artikel forklares det, hvad disse indsigter viser, og hvordan du kan implementere anbefalingerne.

Få vist regelindsigt og justering af anbefalinger

Hvis du vil se, om Microsoft Sentinel har nogen anbefalinger til justering af dine analyseregler, skal du vælge Analytics i navigationsmenuen Microsoft Sentinel.

Alle regler, der har anbefalinger, viser et elpærikon som vist her:

Skærmbillede af liste over analyseregler med anbefalingsindikator.

Rediger reglen for at få vist anbefalingerne sammen med de andre indsigter. De vises sammen under fanen Angiv regellogik i guiden til analyseregel under visningen til simulering af resultater .

Skærmbillede af justering af indsigt i analyseregel.

Typer af indsigt

Visningen Tuning Insights består af flere ruder, som du kan rulle eller stryge gennem, og som hver især viser dig noget andet. Den tidsramme – 14 dage – hvor indsigterne vises, vises øverst i rammen.

  1. I den første indsigtsrude vises nogle statistiske oplysninger – det gennemsnitlige antal beskeder pr. hændelse, antallet af åbne hændelser og antallet af lukkede hændelser grupperet efter klassificering (sand/falsk positiv). Denne indsigt hjælper dig med at finde ud af belastningen af denne regel og forstå, om der kræves justering – f.eks. om grupperingsindstillingerne skal justeres.

    Skærmbillede af indsigt i regeleffektivitet.

    Denne indsigt er resultatet af en Log Analytics-forespørgsel. Hvis du vælger Gennemsnitlige beskeder pr. hændelse , føres du til den forespørgsel i Log Analytics, der gav indsigten. Hvis du vælger Åbne hændelser , føres du til bladet Hændelser .

  2. Den anden indsigtsrude anbefaler, at du får vist en liste over enheder, der skal udelades. Disse enheder er i høj grad korreleret med hændelser, som du lukkede og klassificerede som falske positive. Vælg plustegnet ud for hvert angivet objekt for at udelade det fra forespørgslen i fremtidige udførelser af denne regel.

    Skærmbillede af anbefaling af objektudeladelse.

    Denne anbefaling er udarbejdet af Microsofts avancerede modeller til datavidenskab og maskinel indlæring. Medtagelsen af denne rude i visningen Tuning Insights afhænger af, at der er nogen anbefalinger, der skal vises.

  3. Den tredje indsigtsrude viser de fire oftest viste tilknyttede objekter på tværs af alle beskeder, der er oprettet af denne regel. Objekttilknytningen skal konfigureres i reglen, for at denne indsigt kan give resultater. Denne indsigt kan hjælpe dig med at blive opmærksom på alle enheder, der "hogging spotlight" og trække opmærksomhed væk fra andre. Det kan være en god idé at håndtere disse enheder separat i en anden regel, eller du kan beslutte, at de er falske positiver eller på anden måde støj, og udelukke dem fra reglen.

    Skærmbillede af indsigt i de vigtigste enheder.

    Denne indsigt er resultatet af en Log Analytics-forespørgsel. Når du vælger en af objekterne, kommer du til den forespørgsel i Log Analytics, der gav indsigten.

Næste trin

Du kan finde flere oplysninger under:

  • Last updated on