Menggunakan anomali yang dapat disesuaikan untuk mendeteksi ancaman di Microsoft Sentinel

Apa itu anomali yang dapat disesuaikan?

Dengan penyerang dan bek terus berjuang untuk keuntungan dalam perlombaan senjata keamanan cyber, penyerang selalu menemukan cara untuk menghindari deteksi. Namun, tak pelak, serangan masih mengakibatkan perilaku yang tidak biasa dalam sistem diserang. Anomali berbasis pembelajaran mesin yang dapat disesuaikan dari Microsoft Sentinel dapat mengidentifikasi perilaku ini dengan templat aturan analitik yang dapat dikerjakan langsung dari kotak. Meskipun anomali tidak selalu menunjukkan perilaku jahat atau bahkan mencurigakan sendiri, anomali dapat digunakan untuk meningkatkan deteksi, penyelidikan, dan perburuan ancaman:

• Sinyal tambahan untuk meningkatkan deteksi: Analis keamanan dapat menggunakan anomali untuk mendeteksi ancaman baru dan membuat deteksi yang ada menjadi lebih efektif. Satu anomali bukanlah sinyal kuat dari perilaku berbahaya, tetapi kombinasi beberapa anomali di titik yang berbeda pada rantai pembunuhan mengirimkan pesan yang jelas. Analis keamanan dapat membuat peringatan deteksi yang ada lebih akurat dengan mengondisikannya pada identifikasi perilaku anomali.

• Bukti selama investigasi: Analis keamanan juga dapat menggunakan anomali selama investigasi untuk membantu mengonfirmasi pelanggaran, menemukan jalur baru untuk menyelidiki pelanggaran, dan menilai potensi dampak pelanggaran. Efisiensi ini mengurangi waktu yang dihabiskan analis keamanan untuk penyelidikan.

• Awal perburuan ancaman proaktif: Pemburu ancaman dapat menggunakan anomali sebagai konteks untuk membantu menentukan apakah kueri mereka mengungkap perilaku mencurigakan. Saat perilaku mencurigakan, anomali juga menunjuk ke arah jalur potensial untuk berburu lebih lanjut. Petunjuk ini yang diberikan oleh anomali mengurangi waktu untuk mendeteksi ancaman dan kesempatannya untuk menyebabkan bahaya.

Anomali bisa menjadi alat yang kuat, tetapi mereka sangat berisik. Mereka biasanya membutuhkan banyak penyetelan yang melelahkan untuk lingkungan tertentu, atau pasca-pemrosesan yang kompleks. Templat anomali yang dapat disesuaikan disetel oleh tim ilmu data Microsoft Sentinel untuk memberikan nilai siap pakai. Jika Anda perlu menyetelnya lebih lanjut, prosesnya sederhana dan tidak memerlukan pengetahuan tentang pembelajaran mesin. Ambang dan parameter untuk banyak anomali dapat dikonfigurasi dan disempurnakan melalui antarmuka pengguna aturan analitik yang sudah akrab. Performa ambang dan parameter asli dapat dibandingkan dengan yang baru dalam antarmuka dan disetel lebih lanjut seperlunya selama fase pengujian, atau penerbangan. Setelah anomali memenuhi tujuan performa, anomali dengan ambang atau parameter baru dapat dipromosikan ke produksi dengan mengklik tombol. Anomali yang dapat disesuaikan Microsoft Azure Sentinel memungkinkan Anda mendapatkan manfaat deteksi anomali tanpa kerja keras.

Anomali UEBA

Beberapa deteksi anomali Microsoft Sentinel berasal dari mesin Analitik Perilaku Pengguna dan Entitas (UEBA), yang mendeteksi anomali berdasarkan perilaku historis garis besar setiap entitas di berbagai lingkungan. Perilaku garis besar setiap entitas diatur sesuai dengan aktivitas historisnya sendiri, serekannya, dan mereka yang ada di organisasi secara keseluruhan. Anomali dapat dipicu oleh korelasi atribut yang berbeda seperti jenis tindakan, lokasi geografis, perangkat, sumber daya, ISP, dan banyak lagi.

Langkah berikutnya

Dalam dokumen ini, Anda mempelajari cara memanfaatkan anomali yang dapat disesuaikan di Microsoft Sentinel.

• Pelajari cara melihat, membuat, mengelola, dan menyempurnakan aturan anomali.
• Pelajari tentang Analitik Perilaku Pengguna dan Entitas (UEBA).
• Lihat daftar anomali yang saat ini didukung.
• Pelajari tentang jenis aturan analitik lainnya.