Condividi tramite

Ottenere consigli per l'ottimizzazione delle regole di analisi in Microsoft Sentinel

  • Articolo

Importante

L'ottimizzazione del rilevamento è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per le condizioni legali aggiuntive applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o altrimenti non ancora rilasciate nella disponibilità generale.

L'ottimizzazione delle regole di rilevamento delle minacce nel siem può essere un processo difficile, delicato e continuo di bilanciamento tra ottimizzare la copertura del rilevamento delle minacce e ridurre al minimo i tassi falsi positivi. Microsoft Sentinel semplifica e semplifica questo processo usando l'apprendimento automatico per analizzare miliardi di segnali provenienti dalle origini dati, nonché le risposte agli eventi imprevisti nel tempo, dedurre i modelli e fornire raccomandazioni e informazioni utili che possono ridurre significativamente il sovraccarico di ottimizzazione e consentire di concentrarsi sul rilevamento e sulla risposta alle minacce effettive.

Le raccomandazioni e le informazioni dettagliate per l'ottimizzazione sono ora integrate nelle regole di analisi. Questo articolo spiega cosa mostrano queste informazioni dettagliate e come implementare le raccomandazioni.

Visualizzare informazioni dettagliate sulle regole e consigli per l'ottimizzazione

Per verificare se Microsoft Sentinel include raccomandazioni di ottimizzazione per una delle regole di analisi, selezionare Analisi dal menu di spostamento di Microsoft Sentinel.

Tutte le regole con raccomandazioni visualizzeranno un'icona a forma di lampadina, come illustrato di seguito:

Screenshot dell'elenco delle regole di analisi con l'indicatore di raccomandazione.

Modificare la regola per visualizzare le raccomandazioni insieme alle altre informazioni dettagliate. Verranno visualizzati insieme nella scheda Imposta logica della regola di analisi guidata, sotto la visualizzazione Simulazione risultati .

Screenshot dell'ottimizzazione delle informazioni dettagliate nella regola di analisi.

Tipi di informazioni dettagliate

La visualizzazione Ottimizzazione delle informazioni dettagliate è costituita da diversi riquadri che è possibile scorrere o scorrere rapidamente, ognuno dei quali mostra qualcosa di diverso. L'intervallo di tempo - 14 giorni - per il quale vengono visualizzate le informazioni dettagliate viene visualizzato nella parte superiore del frame.

  1. Il primo riquadro delle informazioni dettagliate visualizza alcune informazioni statistiche, ovvero il numero medio di avvisi per evento imprevisto, il numero di eventi imprevisti aperti e il numero di eventi imprevisti chiusi, raggruppati per classificazione (vero/falso positivo). Queste informazioni dettagliate consentono di determinare il carico su questa regola e di comprendere se è necessaria un'ottimizzazione, ad esempio se è necessario regolare le impostazioni di raggruppamento.

    Screenshot delle informazioni dettagliate sull'efficienza delle regole.

    Queste informazioni dettagliate sono il risultato di una query di Log Analytics. Selezionando Avvisi medi per evento imprevisto verrà visualizzata la query in Log Analytics che ha generato le informazioni dettagliate. Selezionando Apri eventi imprevisti verrà visualizzato il pannello Eventi imprevisti .

  2. Il secondo riquadro delle informazioni dettagliate consiglia di escludere un elenco di entità . Queste entità sono altamente correlate agli eventi imprevisti chiusi e classificati come falsi positivi. Selezionare il segno più accanto a ogni entità elencata per escluderlo dalla query nelle esecuzioni future di questa regola.

    Screenshot della raccomandazione per l'esclusione di entità.

    Questa raccomandazione è prodotta dai modelli avanzati di data science e machine learning di Microsoft. L'inclusione di questo riquadro nella visualizzazione Delle informazioni dettagliate sull'ottimizzazione dipende dalla presenza di raccomandazioni da visualizzare.

  3. Il terzo riquadro delle informazioni dettagliate mostra le quattro entità mappate più frequenti in tutti gli avvisi generati da questa regola. Per ottenere risultati, è necessario configurare il mapping delle entità nella regola. Queste informazioni possono essere utili per essere consapevoli di tutte le entità che stanno "accarezzando i contenuti in evidenza" e attirando l'attenzione da altre entità. È possibile gestire queste entità separatamente in una regola diversa oppure decidere che si tratta di falsi positivi o di disturbo diverso ed escluderli dalla regola.

    Screenshot delle informazioni dettagliate sulle entità principali.

    Queste informazioni dettagliate sono il risultato di una query di Log Analytics. Selezionando una delle entità verrà visualizzata la query in Log Analytics che ha prodotto le informazioni dettagliate.

Passaggi successivi

Per altre informazioni, vedere: