Anomáliadetektálási elemzési szabályok használata a Microsoft Sentinelben

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A Microsoft Sentinel testre szabható anomáliák funkciója beépített anomáliákat biztosít az azonnali értéken kívülre. Ezeket az anomáliasablonokat úgy fejlesztették ki, hogy több ezer adatforrás és több millió esemény használatával hatékonyak legyenek, de ez a funkció lehetővé teszi az anomáliák küszöbértékeinek és paramétereinek egyszerű módosítását a felhasználói felületen. Az anomáliadetektív szabályok alapértelmezés szerint engedélyezve vagy aktiválva vannak, így a rendellenességek kívülről jönnek létre. Ezeket az anomáliákat a Naplók szakaszban található Anomáliák táblában találja meg és kérdezheti le.

Fontos

A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Testre szabható anomáliaszabály-sablonok megtekintése

Az Elemzés lap Anomáliák lapján mostantól a rácson megjelenő anomáliadetektálási szabályok találhatók.

1. A Microsoft Sentinel felhasználóinak az Azure Portalon válassza az Elemzés lehetőséget a Microsoft Sentinel navigációs menüjében.

   A Microsoft Defender portál egyesített biztonsági üzemeltetési platformjának felhasználói a Microsoft Defender navigációs menüjében válassza a Microsoft Sentinel > Configuration > Analytics lehetőséget.

2. Az Elemzés lapon válassza az Anomáliák lapot.

3. Ha a listát az alábbi feltételek közül egy vagy több szerint szeretné szűrni, válassza a Szűrő hozzáadása lehetőséget, és válassza ennek megfelelően.

   • Állapot – a szabály engedélyezve vagy letiltva.

   • Taktikák – az anomália által lefedett MITRE ATT&CK-keretrendszer-taktikák.

   • Technikák – az anomália által lefedett MITRE ATT&CK keretrendszertechnikák.

   • Adatforrások – az a naplók típusa, amelyeket be kell venni és elemezni kell az anomália meghatározásához.

4. Válasszon ki egy szabályt, és tekintse meg a következő információkat a részletek panelen:

   • A leírás ismerteti az anomália működését és a szükséges adatokat.

   • A taktikák és technikák a MITRE ATT&CK keretrendszer taktikái és az anomália által lefedett technikák.

   • A paraméterek az anomália konfigurálható attribútumai.

   • A küszöbérték egy konfigurálható érték, amely azt jelzi, hogy az eseménynek milyen mértékben kell szokatlannak lennie a rendellenesség létrehozása előtt.

   • A szabály gyakorisága az anomáliákat kereső naplófeldolgozási feladatok közötti idő.

   • A szabály állapota azt jelzi, hogy a szabály éles vagy flighting (átmeneti) módban fut-e, ha engedélyezve van.

   • Az anomália verziója a szabály által használt sablon verzióját jeleníti meg. Ha módosítani szeretné egy már aktív szabály által használt verziót, újra létre kell hoznia a szabályt.

A Microsoft Sentinel mezőn kívülre kerülő szabályok nem szerkeszthetők és nem törölhetők. A szabály testreszabásához először létre kell hoznia a szabály másolatát, majd testre kell szabnia az ismétlődést. Tekintse meg a teljes utasításokat.

Feljegyzés

Miért van Szerkesztés gomb, ha a szabály nem szerkeszthető?

Bár nem módosíthatja a beépített anomáliaszabály konfigurációját, két dolgot tehet:

1. A szabály szabályállapotát válthatja az éles környezet és a repülés között.

2. Visszajelzést küldhet a Microsoftnak a testre szabható rendellenességekkel kapcsolatos tapasztalatairól.

Az anomáliák minőségének értékelése

A szabály által az elmúlt 24 órában létrehozott anomáliák mintájának áttekintésével láthatja, hogy egy anomáliák milyen jól teljesítenek.

1. A Microsoft Sentinel felhasználóinak az Azure Portalon válassza az Elemzés lehetőséget a Microsoft Sentinel navigációs menüjében.

   A Microsoft Defender portál egyesített biztonsági üzemeltetési platformjának felhasználói a Microsoft Defender navigációs menüjében válassza a Microsoft Sentinel > Configuration > Analytics lehetőséget.

2. Az Elemzés lapon válassza az Anomáliák lapot.

3. Jelölje ki a kiértékelni kívánt szabályt, és másolja az azonosítóját a részletek panel tetejéről jobbra.

4. A Microsoft Sentinel navigációs menüjében válassza a Naplók lehetőséget.

5. Ha felül megjelenik egy Lekérdezések gyűjtemény, zárja be.

6. Válassza a Táblák lapot a Naplók lap bal oldali ablaktábláján.

7. Állítsa az Időtartomány szűrőt az elmúlt 24 órára.

8. Másolja ki az alábbi Kusto-lekérdezést, és illessze be a lekérdezési ablakba (ahol a "Írja be a lekérdezést ide vagy..."):

   Anomalies 
   | where RuleId contains "<RuleId>"
   

   Illessze be a fent másolt szabályazonosítót az idézőjelek közé <RuleId> .

9. Válassza a Futtatás lehetőséget.

Ha van néhány eredménye, elkezdheti felmérni az anomáliák minőségét. Ha nem rendelkezik eredménnyel, próbálja meg növelni az időtartományt.

Bontsa ki az egyes anomáliák eredményeit, majd bontsa ki az AnomalyReasons mezőt. Ez meg fogja mondani, hogy miért aktiválódott az anomália.

Az anomália "ésszerűsége" vagy "hasznossága" függhet a környezet állapotától, de az anomáliára vonatkozó szabály gyakori oka, hogy túl sok anomáliát eredményez, az, hogy a küszöbérték túl alacsony.

Anomáliák szabályainak finomhangolása

Bár az anomáliára vonatkozó szabályok a maximális hatékonyság érdekében vannak kialakítva, minden helyzet egyedi, és néha az anomáliára vonatkozó szabályokat kell hangolni.

Mivel az eredeti aktív szabály nem szerkeszthető, először meg kell duplikálnia egy aktív anomáliaszabályt, majd testre kell szabnia a másolatot.

Az eredeti anomáliaszabály addig fut, amíg le nem tiltja vagy nem törli.

Ennek célja, hogy lehetőséget biztosítson az eredeti konfiguráció és az új által létrehozott eredmények összehasonlítására. Az ismétlődő szabályok alapértelmezés szerint le vannak tiltva. Egy adott anomáliaszabályból csak egy egyéni másolatot készíthet. A második másolási kísérlet sikertelen lesz.

1. Az anomáliaszabály konfigurációjának módosításához válassza ki a szabályt az Anomáliák lap listájából.

2. Kattintson a jobb gombbal a szabály sorának tetszőleges pontjára, vagy kattintson a sor végén található három pontra (...), majd válassza a Helyi menü Ismétlődő elemét .

   A listában megjelenik egy új szabály, amely a következő jellemzőkkel rendelkezik:

   • A szabály neve megegyezik az eredetivel, a végéhez hozzáfűzve pedig a " – Testre szabott".
   • A szabály állapota le lesz tiltva.
   • Az FLGT jelvény a sor elején jelenik meg, amely jelzi, hogy a szabály Flighting módban van.

3. A szabály testreszabásához válassza ki a szabályt, és válassza a Szerkesztés lehetőséget a részletek panelen vagy a szabály helyi menüjében.

4. A szabály megnyílik az Elemzési szabály varázslóban. Itt módosíthatja a szabály paramétereit és küszöbértékét. A módosítható paraméterek az egyes anomáliák típusától és algoritmusaitól függően változnak.

   A módosítások eredményeinek előnézetét az Eredmények előnézeti panelen tekintheti meg. Az eredmények előnézetében válassza ki az anomáliaazonosítót, hogy az ML-modell miért azonosítja ezt az anomáliát.

5. Engedélyezze a testre szabott szabályt az eredmények létrehozásához. Egyes módosítások esetén előfordulhat, hogy a szabály újrafuttatására van szükség, ezért várnia kell, amíg befejeződik, és vissza kell térnie, hogy ellenőrizze az eredményeket a naplók oldalán. A testre szabott anomáliaszabály alapértelmezés szerint Flighting (tesztelés) módban fut. Az eredeti szabály alapértelmezés szerint továbbra is éles módban fut.

6. Az eredmények összehasonlításához térjen vissza a Naplók Anomáliák táblájához, és értékelje az új szabályt a korábbiakhoz hasonlóan, csak az alábbi lekérdezéssel keresse meg az eredeti szabály és az ismétlődő szabály által generált anomáliákat.

   Anomalies 
   | where AnomalyTemplateId contains "<RuleId>"
   

   Illessze be az eredeti szabályból <RuleId> kimásolt szabályazonosítót az idézőjelek helyett. Az eredeti és az ismétlődő szabályok értéke AnomalyTemplateId megegyezik az eredeti szabály értékével RuleId .

Ha elégedett a testre szabott szabály eredményeivel, visszatérhet az Anomáliák lapra, kiválaszthatja a testre szabott szabályt, a Szerkesztés gombot, és az Általános lapon válthat a Flightingról az Éles gépre. Az eredeti szabály automatikusan flightingra változik, mivel ugyanazon szabály két verziója egyszerre nem használható éles környezetben.

Következő lépések

Ebben a dokumentumban megtanulhatta, hogyan dolgozhat testre szabható anomáliadetektálási elemzési szabályokkal a Microsoft Sentinelben.

• A testre szabható anomáliákkal kapcsolatos háttérinformációk.
• Tekintse meg az elérhető anomáliákat a Microsoft Sentinelben.
• Egyéb elemzési szabálytípusok megismerése.