Testre szabható anomáliák használata a Fenyegetések észleléséhez a Microsoft Sentinelben

Mik azok a testre szabható anomáliák?

A támadók és a védők folyamatosan harcolnak az előnyökért a kiberbiztonsági fegyverkezési versenyben, a támadók mindig megtalálják a módját, hogy elkerüljék az észlelést. A támadások elkerülhetetlenül mégis szokatlan viselkedést eredményeznek a megtámadott rendszerekben. A Microsoft Sentinel testre szabható, gépi tanuláson alapuló anomáliái ezt a viselkedést elemzési szabálysablonokkal azonosíthatják, amelyek közvetlenül a dobozból is használhatók. Bár az anomáliák önmagukban nem feltétlenül jeleznek rosszindulatú vagy akár gyanús viselkedést, az észlelések, a vizsgálatok és a fenyegetéskeresés javítására használhatók:

• További jelek az észlelés javítására: A biztonsági elemzők anomáliákkal észlelhetik az új fenyegetéseket, és hatékonyabbá tehetik a meglévő észleléseket. Egyetlen anomália nem erős jele a rosszindulatú viselkedésnek, de a leölési lánc különböző pontjain található számos rendellenesség kombinációja egyértelmű üzenetet küld. A biztonsági elemzők a rendellenes viselkedés azonosításának kondicionálásával pontosabbá tehetik a meglévő észlelési riasztásokat.

• Bizonyítékok a vizsgálatok során: A biztonsági elemzők a vizsgálatok során anomáliákat is használhatnak a jogsértés megerősítéséhez, új vizsgálati útvonalak megtalálásához és lehetséges hatásának felméréséhez. Ezek a hatékonyság csökkentik a biztonsági elemzők vizsgálatokkal töltött idejét.

• A proaktív veszélyforrás-keresések kezdete: A fenyegetésvadászok anomáliákat használhatnak kontextusként annak meghatározásához, hogy a lekérdezéseik gyanús viselkedést tártak-e fel. Ha a viselkedés gyanús, az anomáliák a további vadászat lehetséges útvonalai felé is mutatnak. Ezek az anomáliák által biztosított nyomok csökkentik a fenyegetés észlelésének idejét és annak esélyét, hogy kárt okozzanak.

Az anomáliák hatékony eszközök lehetnek, de hírhedten zajosak. Ezek általában sok unalmas hangolást igényelnek adott környezetekhez vagy összetett utófeldolgozáshoz. A testre szabható anomáliasablonokat a Microsoft Sentinel adatelemzési csapata hangolja be, hogy a beépített értékeket biztosítsa. Ha tovább kell hangolnia őket, a folyamat egyszerű, és nem igényel gépi tanulást. Számos anomália küszöbértékei és paraméterei konfigurálhatók és finomhangolhatók a már jól ismert elemzési szabály felhasználói felületén keresztül. Az eredeti küszöbérték és paraméterek teljesítménye összehasonlítható az interfészen belüli újakkal, és szükség szerint tovább finomhangolható egy tesztelési vagy repülési fázis során. Miután az anomália megfelel a teljesítménnyel kapcsolatos célkitűzéseknek, az új küszöbértékkel vagy paraméterekkel rendelkező anomália egy gombnyomással előléptethető éles környezetbe. A Microsoft Sentinel testre szabható rendellenességei lehetővé teszik az anomáliadetektálás előnyeit a kemény munka nélkül.

UEBA-anomáliák

A Microsoft Sentinel anomáliadetektálásai egy része a User and Entity Behavior Analytics (UEBA) motorból származik, amely az egyes entitások alaptörténeti viselkedése alapján észleli az anomáliákat különböző környezetekben. Minden entitás alapkonfigurációs viselkedése a saját előzménytevékenységei, a társai és a szervezet egésze szerint van beállítva. Az anomáliákat különböző attribútumok, például művelettípus, földrajzi hely, eszköz, erőforrás, internetszolgáltató stb. korrelációja válthatja ki.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan használhatja ki a testre szabható anomáliákat a Microsoft Sentinelben.

• Megtudhatja, hogyan tekintheti meg, hozhatja létre, kezelheti és finomhangolhatja az anomáliaszabályokat.
• További információ a felhasználó- és entitásviselkedés-elemzésről (UEBA).
• Tekintse meg a jelenleg támogatott anomáliák listáját.
• További információ az elemzési szabályok egyéb típusairól.