Bekerja dengan aturan analitik deteksi anomali di Microsoft Azure Sentinel
Fitur anomali SOC-ML Microsoft Azure Sentinel menyediakan templat anomali bawaan untuk nilai langsung siap pakai. Templat anomali ini dikembangkan untuk menjadi kuat dengan menggunakan ribuan sumber data dan jutaan peristiwa, tetapi fitur ini juga memungkinkan Anda untuk mengubah ambang dan parameter untuk anomali dengan mudah dalam antarmuka pengguna. Aturan anomali difungsikan, atau diaktifkan, secara default, sehingga akan menghasilkan anomali di-luar-kotak. Anda dapat menemukan dan mengkueri anomali ini di dalam tabel Anomali, di bagian Log.
Penting
Microsoft Sentinel sekarang tersedia secara umum dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Lihat templat aturan anomali yang dapat disesuaikan
Sekarang Anda dapat menemukan aturan anomali yang ditampilkan di kisi dalam tab Anomali, di halaman Analitik.
Untuk pengguna Microsoft Azure Sentinel di portal Azure, pilih Analitik dari menu navigasi Microsoft Azure Sentinel.
Untuk pengguna platform operasi keamanan terpadu di portal Pertahanan Microsoft, pilih Microsoft Sentinel > Configuration > Analytics dari menu navigasi Pertahanan Microsoft.
Di halaman Analitik, pilih tab Anomali.
Untuk memfilter daftar menurut satu atau beberapa kriteria berikut, pilih Tambahkan filter dan pilih yang sesuai.
Status - apakah perangkat kembar diaktifkan, atau dinonaktifkan.
Taktik - taktik kerangka kerja MITRE ATT&CK yang dicakup oleh anomali.
Teknik - teknik kerangka kerja MITRE ATT&CK yang dicakup oleh anomali.
Sumber data - jenis log yang perlu diserap dan dianalisis agar anomali dapat ditentukan.
Pilih aturan dan tampilkan informasi berikut di panel detail:
Deskripsi menjelaskan cara kerja anomali dan data yang diperlukan.
Taktik dan teknik adalah taktik dan teknik kerangka kerja MITRE ATT&CK yang dicakup oleh anomali.
Parameter adalah atribut yang dapat dikonfigurasi untuk anomali.
Ambang adalah nilai yang dapat dikonfigurasi yang menunjukkan sejauh mana suatu peristiwa harus tidak biasa sebelum anomali dibuat.
Frekuensi aturan adalah waktu antara tugas pemrosesan log yang menemukan anomali.
Status aturan memberi tahu Anda apakah aturan berjalan di dalam mode Produksi atau Flighting (staging) saat diaktifkan.
Versi anomali menunjukkan versi templat yang digunakan oleh aturan. Jika ingin mengubah versi yang digunakan oleh aturan yang sudah aktif, Anda harus membuat ulang aturan tersebut.
Aturan yang disertakan dengan Azure Sentinel di luar kotak tidak dapat diedit, atau dihapus. Untuk menyesuaikan sebuah aturan, Anda harus terlebih dahulu membuat duplikat aturan, kemudian menyesuaikan duplikat. Lihat instruksi lengkap.
Catatan
Mengapa ada tombol Edit jika aturan tidak dapat diedit?
Meskipun Anda tidak dapat mengubah konfigurasi aturan anomali di luar kotak, Anda dapat melakukan dua hal:
Anda dapat mengalihkan aturan status aturan antara Produksi dan Flighting.
Anda dapat mengirimkan umpan balik ke Microsoft mengenai pengalaman Anda dengan anomali yang dapat disesuaikan.
Menilai kualitas anomali
Anda dapat melihat seberapa baik performa aturan anomali dengan meninjau sampel anomali yang dibuat oleh aturan selama periode 24 jam terakhir.
Untuk pengguna Microsoft Azure Sentinel di portal Azure, pilih Analitik dari menu navigasi Microsoft Azure Sentinel.
Untuk pengguna platform operasi keamanan terpadu di portal Pertahanan Microsoft, pilih Microsoft Sentinel > Configuration > Analytics dari menu navigasi Pertahanan Microsoft.
Di halaman Analitik, pilih tab Anomali.
Pilih aturan yang ingin Anda nilai, dan salin ID aturan dari bagian atas panel detail di sebelah kanan.
Dari menu navigasi Microsoft Sentinel, pilih Log.
Jika galeri Kueri muncul di bagian atas, tutup galeri tersebut.
Pilih tab Tabel di panel kiri bilah Log.
Setel filter Rentang waktu ke 24 jam terakhir.
Salin kueri Kusto di bawah dan tempel di jendela kueri (di mana tertulis "Ketik kueri Anda di sini atau..."):
Anomalies | where RuleId contains "<RuleId>"
Tempel ID aturan yang telah Anda salin di atas sebagai pengganti
<RuleId>
di antara tanda kutip.Pilih Jalankan.
Ketika Anda memiliki beberapa hasil, Anda dapat mulai menilai kualitas anomali. Jika Anda tidak mendapatkan hasil, coba tingkatkan rentang waktu.
Perluas hasil untuk setiap anomali, lalu luaskan bidang AnomalyReasons. Ini akan memberi tahu Anda penyebab terjadinya anomali.
Kewajaran atau "kegunaan" anomali mungkin bergantung pada kondisi lingkungan Anda, tetapi alasan umum aturan anomali menghasilkan terlalu banyak anomali adalah ambangnya terlalu rendah.
Menyetel aturan anomali
Sementara aturan anomali direkayasa untuk efektivitas maksimum di luar kotak, setiap situasi adalah unik dan terkadang aturan anomali perlu disetel.
Karena Anda tidak dapat mengedit aturan aktif asli, Anda harus terlebih dahulu menduplikasi aturan anomali aktif, lalu menyesuaikan salinannya.
Aturan anomali asli akan terus berjalan hingga Anda menonaktifkan atau menghapusnya.
Ini dirancang, untuk memberi Anda kesempatan untuk membandingkan hasil yang dihasilkan oleh konfigurasi asli dan yang baru. Aturan duplikat dinonaktifkan secara default. Anda hanya dapat membuat satu salinan khusus dari aturan anomali yang diberikan. Upaya untuk membuat salinan kedua akan gagal.
Untuk mengubah konfigurasi sebuah aturan anomali, pilih aturan anomali di dalam tab Anomali.
Klik-kanan di mana saja pada baris aturan, atau klik-kiri elipsis (...) di akhir baris, lalu klik Duplikat dari menu konteks.
Aturan yang baru akan muncul di dalam daftar, dengan karakteristik berikut ini:
- Nama aturan akan sama dengan aslinya, dengan " - Disesuaikan" ditambahkan ke akhir.
- Status aturan akan Dinonaktifkan.
- Lencana FLGT akan muncul di awal baris untuk menunjukkan bahwa aturan berada dalam mode Flighting.
Untuk menyesuaikan aturan ini, pilih aturan dan pilih Edit di dalam panel detail, atau dari menu konteks aturan.
Aturan terbuka di wizard aturan Analitik. Di sini Anda dapat mengubah parameter aturan dan ambang batasnya. Parameter yang dapat diubah bervariasi dengan setiap jenis anomali dan algoritme.
Anda dapat melihat pratinjau hasil perubahan Anda di Panel pratinjau hasil. Klik ID Anomali di pratinjau hasil untuk melihat mengapa model ML mengidentifikasi anomali tersebut.
Aktifkan aturan yang disesuaikan untuk menghasilkan hasil. Beberapa perubahan Anda mungkin memerlukan aturan untuk dijalankan kembali, jadi Anda harus menunggu sampai selesai dan kembali untuk memeriksa hasilnya di halaman log. Aturan anomali terkustomisasi berjalan dalam mode Penerbangan (pengujian) secara default. Aturan asli terus berjalan dalam mode Produksi secara default.
Untuk membandingkan hasilnya, kembali ke tabel Anomali di Log untuk menilai aturan baru seperti sebelumnya, hanya gunakan kueri berikut ini sebagai gantinya untuk mencari anomali yang dihasilkan oleh aturan asli, serta aturan duplikat.
Anomalies | where AnomalyTemplateId contains "<RuleId>"
Tempel ID aturan yang telah Anda salin dari aturan asli sebagai pengganti
<RuleId>
di antara tanda kutip. NilaiAnomalyTemplateId
di dalam aturan asli, dan duplikat identik dengan nilaiRuleId
di dalam aturan yang asli.
Jika Anda puas dengan hasil untuk aturan yang disesuaikan, Anda dapat kembali ke tab Anomali, klik aturan yang disesuaikan, klik tombol Edit dan di tab Umum mengalihkannya dari Flighting ke Produksi. Aturan asli akan otomatis berubah menjadi Flighting karena Anda tidak dapat memiliki dua versi aturan yang sama dalam produksi secara bersamaan.
Langkah berikutnya
Dalam dokumen ini, Anda mempelajari cara bekerja dengan aturan analitik deteksi anomali yang dapat disesuaikan di Microsoft Azure Sentinel.
- Dapatkan beberapa informasi latar belakang tentang anomali yang dapat disesuaikan.
- Lihat jenis-jenis anomali yang tersedia di Microsoft Sentinel.
- Jelajahi jenis aturan analitik lainnya.