Utiliser des modèles de règle analytique de détection d’anomalie

  • 3 minutes

Avec les attaquants et les défenseurs qui luttent constamment pour prendre l’avantage dans la course aux armements de la cybersécurité, les attaquants trouvent toujours des moyens d’échapper à la détection. Inévitablement, toutefois, les attaques entraînent toujours un comportement inhabituel dans les systèmes attaqués. Les anomalies personnalisables basées sur le machine learning de Microsoft Sentinel peuvent identifier ce comportement avec des modèles de règle d’analyse qui peuvent être implémentés sans configuration supplémentaire. Même si les anomalies n’indiquent pas nécessairement un comportement malveillant ou suspect, elles peuvent être utilisées pour améliorer les détections, les investigations et la recherche de menaces :

  • Signaux supplémentaires pour améliorer la détection : les analystes de sécurité peuvent utiliser les anomalies pour détecter les nouvelles menaces et rendre les détections existantes plus efficaces. Une anomalie seule n’est pas un signal fort de comportement malveillant, mais lorsqu’elle est associée à plusieurs anomalies qui se produisent à différents moments de la chaîne de destruction, leur effet cumulatif est bien plus fort. Les analystes de sécurité peuvent également améliorer les détections existantes en faisant en sorte que le comportement inhabituel identifié par les anomalies soit une condition de déclenchement d’alertes.

  • Preuve au cours des investigations : les analystes de sécurité peuvent également utiliser les anomalies au cours des investigations pour vous aider à confirmer une violation, trouver de nouveaux chemins pour l’examiner et évaluer son impact potentiel. Ces gains d’efficacité réduisent le temps que les analystes de sécurité consacrent aux investigations.

  • Le début des recherches proactives de menaces : les chasseurs de menaces peuvent utiliser les anomalies comme contexte afin de déterminer si leurs requêtes ont permis de découvrir un comportement suspect. Lorsque le comportement est suspect, les anomalies pointent également vers des directions à suivre potentielles en vue d’une nouvelle chasse. Ces indices fournis par les anomalies réduisent le temps nécessaire à la détection d’une menace et son risque de nuire.

Les anomalies peuvent être des outils puissants, mais elles sont notoirement bruyantes. Elles nécessitent généralement beaucoup de paramétrages fastidieux pour des environnements spécifiques ou un post-traitement complexe. Les modèles d’anomalies personnalisables de Microsoft Sentinel sont optimisés par notre équipe de science des données pour les rendre prêts à l’emploi, mais si vous devez les optimiser davantage, le processus est simple et ne nécessite aucune connaissance en machine learning. Les seuils et les paramètres de la plupart des anomalies peuvent être configurés et affinés par le biais de l’interface utilisateur de règles d’analyse qui vous est déjà familière. Les performances du seuil et des paramètres d’origine peuvent être comparées aux nouvelles valeurs de l’interface et être réglées en fonction des besoins au cours d’une phase de test ou d’évaluation. Une fois que l’anomalie atteint les objectifs de performance, l’anomalie avec le nouveau seuil ou les nouveaux paramètres peut être promue en production simplement en cliquant sur un bouton. Les anomalies personnalisables de Microsoft Sentinel vous permettent de tirer parti des anomalies sans avoir à effectuer un travail difficile.

Utiliser des règles analytiques de détection d’anomalie

La fonctionnalité d’anomalies personnalisables de Microsoft Sentinel fournit des modèles d’anomalies intégrés pour une valeur immédiate prête à l’emploi. Ces modèles d’anomalies ont été développés pour être robustes en utilisant des milliers de sources de données et des millions d’événements, mais cette fonctionnalité vous permet également de modifier facilement les seuils et les paramètres des anomalies dans l’interface utilisateur. Les règles d’anomalie doivent être activées afin de pouvoir générer des anomalies, que vous trouverez dans la table Anomalies de la section Journaux.

  1. Dans le menu de navigation de Microsoft Sentinel, sélectionnez Analyse.

  2. Sur la page Analytique, sélectionnez l’onglet Modèles de règles.

  3. Filtrez la liste sur les modèles Anomalies :

    • Sélectionnez le filtre Type de règle, puis la liste déroulante qui apparaît dessous.

    • Décochez la case Sélectionner tout, puis sélectionnez Anomalie.

    • Le cas échéant, sélectionnez le haut de la liste déroulante pour la rétracter, puis sélectionnez OK.

Activer les règles d’anomalie

Quand vous sélectionnez l’un des modèles de règles, vous voyez les informations suivantes dans le volet d’informations, ainsi que le bouton Créer une règle :

  • Description explique le fonctionnement de l’anomalie et les données dont elle a besoin.

  • Sources de données indique le type de journaux qui doivent être ingérés afin d’être analysés.

  • Tactiques et techniques sont les tactiques et techniques du framework MITRE ATT&CK couvertes par l’anomalie.

  • Paramètres désigne les attributs configurables pour l’anomalie.

  • Seuil désigne une valeur configurable qui indique le degré auquel un événement doit être inhabituel avant la création d’une anomalie.

  • Fréquence de la règle désigne le temps entre les travaux de traitement des journaux qui recherchent les anomalies.

  • Version d’anomalie indique la version du modèle qui est utilisée par une règle. Si vous souhaitez modifier la version utilisée par une règle qui est déjà active, vous devez recréer la règle.

  • Dernière mise à jour du modèle correspond à la date à laquelle la version d’anomalie a été modifiée.

Procédez comme suit pour activer une règle :

  • Choisissez un modèle de règle qui n’est pas déjà étiqueté EN COURS D’UTILISATION. Sélectionnez le bouton Créer une règle pour ouvrir l’Assistant Création de règles.

    L’Assistant sera légèrement différent pour chaque modèle de règles, mais il comporte trois étapes ou onglets : Général, Configuration et Vérifier et créer.

    Vous ne pouvez modifier aucune des valeurs dans l’Assistant ; vous devez d’abord créer et activer la règle.

  • Parcourez les onglets, attendez le message « Validation réussie » sur l’onglet Vérifier et créer et sélectionnez le bouton Créer.

    Vous ne pouvez créer qu’une seule règle active à partir de chaque modèle. Une fois l’Assistant terminé, une règle d’anomalie active est créée sous l’onglet Règles actives, et le modèle (sous l’onglet Modèles de règles) est marqué EN COURS D’UTILISATION.

Une fois la règle d’anomalie activée, les anomalies détectées sont stockées dans la table Anomalies de la section Journaux de votre espace de travail Microsoft Sentinel.

Chaque règle d’anomalie a une période d’entraînement, et les anomalies n’apparaîtront dans la table qu’à la fin de cette période d’entraînement. Vous trouverez la période de formation dans la description de chaque règle d’anomalie.

Évaluer la qualité des anomalies

Vous pouvez voir l’efficacité d’une règle d’anomalie en examinant un échantillon des anomalies créées par la règle au cours des dernières 24 heures.

  • Dans le menu de navigation de Microsoft Sentinel, sélectionnez Analytique.

  • Sur la page Analytique, vérifiez que l’onglet Règles actives est sélectionné.

  • Filtrez la liste sur les règles Anomalie (comme ci-dessus).

  • Sélectionnez la règle que vous souhaitez évaluer et copiez son nom en haut du volet d’informations à droite.

  • Dans le menu de navigation de Microsoft Sentinel, sélectionnez Journaux.

  • Si une galerie Requêtes apparaît en haut, fermez-la.

  • Sélectionnez l’onglet Tables dans le volet gauche de la page Journaux.

  • Définissez le filtre Intervalle de temps sur Dernières 24 heures.

  • Copiez la requête Kusto ci-dessous et collez-la dans la fenêtre de requête (où il est indiqué « Saisissez votre requête ici ou… ») :

Anomalies 
| where AnomalyTemplateName contains "________________________________"

Paste the rule name you copied above in place of the underscores between the quotation marks.
  • Sélectionnez Exécuter.

Lorsque vous obtenez quelques résultats, vous pouvez commencer à évaluer la qualité des anomalies. Si vous n’avez pas de résultats, essayez d’augmenter l’intervalle de temps.

Développez les résultats de chaque anomalie, puis développez le champ AnomalyReasons. Il vous indique la raison pour laquelle l’anomalie s’est déclenchée.

Le caractère « raisonnable » ou « utile » d’une anomalie peut dépendre des conditions de votre environnement, mais une raison courante pour laquelle une règle d’anomalie produit un trop grand nombre d’anomalies est que le seuil est trop bas.

Ajuster les règles d’anomalie

Bien que les règles d’anomalie soient conçues pour une efficacité maximale dès leur création, chaque situation est unique et les règles d’anomalie doivent parfois être ajustées.

Comme vous ne pouvez pas modifier une règle active originale, vous devez d’abord dupliquer une règle d’anomalie active, puis personnaliser la copie.

La règle d’anomalie originale continuera de fonctionner jusqu’à ce que vous la désactiviez ou la supprimiez.

Cela est prévu pour vous donner la possibilité de comparer les résultats générés par la configuration d’origine et la nouvelle. Les règles dupliquées sont désactivées par défaut. Vous ne pouvez faire qu’une seule copie personnalisée d’une règle d’anomalie donnée. Les tentatives de création d’une deuxième copie échoueront.

  • Pour modifier la configuration d’une règle d’anomalie, sélectionnez la règle d’anomalie dans l’onglet Règles actives.

  • Cliquez avec le bouton droit n’importe où sur la ligne de la règle, ou cliquez sur le bouton de sélection (…) à la fin de la ligne, puis sélectionnez Dupliquer.

  • La nouvelle copie de la règle aura le suffixe « - Personnalisé » dans le nom de la règle. Pour personnaliser cette règle, sélectionnez-la, puis sélectionnez Modifier.

  • La règle s’ouvre dans l’Assistant Règle d’analyse. Vous pouvez y modifier les paramètres de la règle et son seuil. Les paramètres qui peuvent être modifiés varient selon le type d’anomalie et l’algorithme.

  • Vous pouvez afficher un aperçu des résultats à la suite de vos modifications dans le volet Aperçu des résultats. Sélectionnez un ID d’anomalie dans l’aperçu des résultats pour voir pourquoi le modèle ML identifie cette anomalie.

  • Activez la règle personnalisée pour générer des résultats. Certaines de vos modifications peuvent nécessiter une nouvelle exécution de la règle. Vous devez donc attendre qu’elle se termine et revenir en arrière pour vérifier les résultats sur la page Journaux. La règle d’anomalie personnalisée s’exécute par défaut en mode Flighting (test). Par défaut , la règle originale continue à s’exécuter en mode Production.

  • Pour comparer les résultats, revenez à la table Anomalies dans Journaux pour évaluer la nouvelle règle comme précédemment. Recherchez uniquement les lignes avec le nom de la règle originale et le nom de la règle dupliquée avec « - Personnalisé » ajouté à celui-ci dans la colonne AnomalyTemplateName.

    Si vous êtes satisfait des résultats de la règle personnalisée, vous pouvez revenir à l’onglet Règles actives, sélectionner la règle personnalisée, puis le bouton Modifier et, sous l’onglet Général, faire basculer la règle du mode Flighting au mode Production. La règle originale passera automatiquement en mode Flighting, car vous ne pouvez pas avoir deux versions de la même règle en production en même temps.