Poikkeamien tunnistamisen analytiikkasääntöjen käsitteleminen Microsoft Sentinel

Tärkeää

Mukautetut tunnistuksia ovat nyt paras tapa luoda uusia sääntöjä siem Microsoft Sentinel Microsoft Defender XDR. Mukautettujen tunnistusten avulla voit pienentää käsittelykustannuksia, saada rajoittamattoman reaaliaikaisen tunnistamisen ja hyötyä saumattomasta integroinnista Defender XDR tietojen, funktioiden ja korjaustoimintojen kanssa automaattisella entiteettikartoituksella. Lisätietoja on tässä blogissa.

Microsoft Sentinel mukautettavissa olevat poikkeamat -ominaisuus tarjoaa valmiita poikkeamamalleja heti käyttövalmiille arvoille. Nämä poikkeamamallit kehitettiin luotettaviksi käyttämällä tuhansia tietolähteitä ja miljoonia tapahtumia, mutta tämän ominaisuuden avulla voit myös muuttaa poikkeamien raja-arvoja ja parametreja helposti käyttöliittymässä. Poikkeamasäännöt ovat oletusarvoisesti käytössä tai käytössä, joten ne luovat poikkeamia. Voit etsiä ja kysellä näitä poikkeamia Poikkeamat-taulukosta Lokit-osiosta.

Tärkeää

31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa.

Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta.

Mukautettavien poikkeamien sääntömallien tarkasteleminen

Voit nyt etsiä poikkeamasäännöt, jotka näkyvät ruudukossa Analytiikka-sivunPoikkeamat-välilehdessä.

1. Microsoft Defender portaalin käyttäjien kohdalla valitse Microsoft Sentinel > Configuration > Analytics Microsoft Defender siirtymisvalikosta.

   Valitse Azure-portaali Microsoft Sentinel käyttäjille Analytiikka Microsoft Sentinel siirtymisvalikosta.

2. Valitse Analytiikka-sivullaPoikkeamat-välilehti .

3. Jos haluat suodattaa luettelon yhden tai useamman seuraavan ehdon mukaan, valitse Lisää suodatin ja valitse se vastaavasti.

   • Status – Onko sääntö käytössä vai poistettu käytöstä.

   • Taktiikat - MITRE ATT&poikkeaman kattamat CK-kehystaktiikat.

   • Tekniikat – MITRE ATT&poikkeamien kattamia CK-kehystekniikoita.

   • Tietolähteet – niiden lokien tyyppi, jotka on otettava käyttöön ja analysoitava, jotta poikkeama voidaan määrittää.

4. Valitse sääntö ja tarkastele seuraavia tietoja tietoruudussa:

   • Kuvaus selittää, miten poikkeama toimii ja mitä tietoja se vaatii.

   • Taktiikat ja tekniikat ovat MITRE ATT&CK-kehystaktiikoita ja poikkeamien kattamia tekniikoita.

   • Parametrit ovat poikkeaman määritettävissä olevia määritteitä.

   • Threshold on määritettävissä oleva arvo, joka ilmaisee, missä määrin tapahtuman on oltava epätavallinen ennen poikkeaman luomista.

   • Säännön tiheys on aika, joka kuluu poikkeamien löytäviin lokinkäsittelytöihin.

   • Säännön tila kertoo, suoritetaanko sääntö tuotantotilassa vai väliversiotilassa , kun se on käytössä.

   • Poikkeamaversio näyttää säännön käyttämän mallin version. Jos haluat muuttaa jo aktiivisena olevan säännön käyttämää versiota, sinun on luotava sääntö uudelleen.

Sääntöjä, jotka tulevat Microsoft Sentinel ruudusta, ei voi muokata tai poistaa. Jos haluat mukauttaa sääntöä, sinun on ensin luotava säännön kaksoiskappale ja mukautettava sitten kaksoiskappaletta. Katso täydelliset ohjeet.

Huomautus

Miksi Muokkaa-painike on olemassa, jos sääntöä ei voi muokata?

Vaikka et voi muuttaa käyttövalmiin poikkeamasäännön määritystä, voit tehdä kaksi asiaa:

1. Voit vaihtaa säännön tilantuotannon ja väliversion välillä.

2. Voit lähettää Microsoftille palautetta kokemuksestasi, joka liittyy mukautettaviin poikkeavuuksiin.

Poikkeamien laadun arviointi

Näet, miten hyvin poikkeamasääntö toimii, tarkastelemalla otosta säännön luomista poikkeamista viimeisen 24 tunnin ajalta.

1. Valitse Azure-portaali Microsoft Sentinel käyttäjille Analytiikka Microsoft Sentinel siirtymisvalikosta.

   Microsoft Defender portaalin käyttäjien kohdalla valitse Microsoft Sentinel > Configuration > Analytics Microsoft Defender siirtymisvalikosta.

2. Valitse Analytiikka-sivullaPoikkeamat-välilehti .

3. Valitse sääntö, jonka haluat arvioida, ja kopioi sen tunnus oikealla olevan tietoruudun yläreunasta.

4. Valitse Microsoft Sentinel siirtymisvalikosta Lokit.

5. Jos Kyselyt-valikoima avautuu ylimpänä, sulje se.

6. Valitse Lokit-sivun vasemmanpuoleisen ruudun Taulukot-välilehti.

7. Määritä Aika-alueen suodattimeksi Viimeiset 24 tuntia.

8. Kopioi Kusto-kysely alapuolelle ja liitä se kyselyikkunaan (jossa lukee "Kirjoita kysely tähän tai..."):

   Anomalies 
   | where RuleId contains "<RuleId>"
   

   Liitä yllä kopioimasi säännön tunnus lainausmerkkien <RuleId> väliin.

9. Valitse Suorita.

Kun sinulla on joitakin tuloksia, voit alkaa arvioida poikkeamien laatua. Jos sinulla ei ole tuloksia, yritä suurentaa aikaväliä.

Laajenna kunkin poikkeaman tulokset ja laajenna sitten AnomalyReasons-kenttä . Tämä kertoo, miksi poikkeama käynnistyi.

Poikkeaman "kohtuullisuus" tai "hyödyllisyys" voi riippua ympäristösi olosuhteista, mutta yleinen syy siihen, että poikkeamasääntö tuottaa liian monta poikkeamaa, on se, että kynnys on liian alhainen.

Poikkeamien sääntöjen hienosäätäminen

Vaikka poikkeamasäännöt on suunniteltu mahdollisimman tehokkaaksi, jokainen tilanne on ainutlaatuinen ja joskus poikkeamasäännöt on viritettävä.

Koska et voi muokata alkuperäistä aktiivista sääntöä, sinun on ensin kaksoiskappalettava aktiivinen poikkeamasääntö ja mukautettava sitten kopiota.

Alkuperäinen poikkeamasääntö on käynnissä, kunnes joko poistat sen käytöstä tai poistat sen.

Tämä on suunniteltu, jotta voit vertailla alkuperäisen ja uuden määrityksen luomia tuloksia. Sääntöjen kaksoiskappaleet on oletusarvoisesti poistettu käytöstä. Voit tehdä vain yhden mukautetun kopion mistä tahansa poikkeamasäännöstä. Toisen kopion luontiyritys epäonnistuu.

1. Jos haluat muuttaa poikkeamasäännön määritystä, valitse sääntö Poikkeamat-välilehden luettelosta.

2. Napsauta hiiren kakkospainikkeella mitä tahansa säännön rivin kohtaa tai napsauta rivin lopussa olevaa kolmea pistettä (...) hiiren kakkospainikkeella ja valitse sitten pikavalikosta Kaksoiskappale .

   Luettelossa näkyy uusi sääntö, jolla on seuraavat ominaisuudet:

   • Säännön nimi on sama kuin alkuperäinen, ja sen loppuun liitetään "- Mukautettu".
   • Säännön tila on Poistettu käytöstä.
   • Rivin alussa näkyy FLGT-merkki, joka ilmaisee, että sääntö on väliversiotilassa.

3. Jos haluat mukauttaa tätä sääntöä, valitse sääntö ja valitse Muokkaa tiedot-ruudussa tai säännön pikavalikosta.

4. Sääntö avautuu ohjatussa analytiikkasäännön luomisessa. Tässä voit muuttaa säännön parametreja ja sen raja-arvoa. Muutettavat parametrit vaihtelevat kunkin poikkeamatyypin ja algoritmin mukaan.

   Voit esikatsella tekemiesi muutosten tuloksia Tulosten esikatselu -ruudussa. Valitse poikkeamatunnus tulosten esikatselusta nähdäksesi, miksi koneoppimismalli tunnistaa poikkeaman.

5. Ota mukautettu sääntö käyttöön tulosten luomiseksi. Jotkin muutoksesi saattavat edellyttää säännön suorittamista uudelleen, joten sinun on odotettava sen valmistumista ja palattava tarkistamaan tulokset lokisivulla. Mukautettu poikkeamasääntö suoritetaan oletusarvoisesti väliversiotilassa (testaus). Alkuperäinen sääntö toimii oletusarvoisesti tuotantotilassa.

6. Jos haluat vertailla tuloksia, palaa Lokit-kohdan Poikkeamat-taulukkoon, jossa voit arvioida uutta sääntöä aiemmin, ja käytä sen sijaan seuraavaa kyselyä alkuperäisen säännön luomien poikkeamien ja säännön kaksoiskappaleiden etsimiseen.

   Anomalies 
   | where AnomalyTemplateId contains "<RuleId>"
   

   Liitä alkuperäisestä säännöstä kopioimasi säännön tunnus lainausmerkkien <RuleId> väliin. -arvo AnomalyTemplateId sekä alkuperäisissä säännöissä että päällekkäissäännöissä on identtinen alkuperäisen säännön arvon RuleId kanssa.

Jos olet tyytyväinen mukautetun säännön tuloksiin, voit palata Poikkeamat-välilehteen, valita mukautetun säännön, valita Muokkaa-painikkeen ja vaihtaa sen Yleiset-välilehdessä väliversiostatuotantoon. Alkuperäinen sääntö muuttuu automaattisesti flighting-säännöksi , koska samasta säännöstä ei voi olla tuotannossa kahta versiota samanaikaisesti.

Seuraavat vaiheet

Tässä asiakirjassa olet oppinut käyttämään mukautettavia poikkeamien tunnistamisen analytiikkasääntöjä Microsoft Sentinel.

• Hanki taustatietoja mukautetettävista poikkeamista.
• Tarkastele Microsoft Sentinel käytettävissä olevia poikkeamatyyppejä.
• Tutustu muihin analytiikan sääntötyyppeihin.