Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
I rilevamenti personalizzati sono ora il modo migliore per creare nuove regole in Microsoft Sentinel Microsoft Defender XDR SIEM. Con i rilevamenti personalizzati, è possibile ridurre i costi di inserimento, ottenere rilevamenti in tempo reale illimitati e trarre vantaggio dall'integrazione senza problemi con dati, funzioni e azioni di correzione Defender XDR con il mapping automatico delle entità. Per altre informazioni, leggere questo blog.
Che cosa sono le anomalie personalizzabili?
Con gli utenti malintenzionati e i difensori che si battono costantemente per ottenere un vantaggio nella corsa agli armamenti della cybersecurity, gli utenti malintenzionati sono sempre alla ricerca di modi per eludere il rilevamento. Inevitabilmente, tuttavia, gli attacchi comportano ancora un comportamento insolito nei sistemi che vengono attaccati. le anomalie personalizzabili basate su Machine Learning di Microsoft Sentinel possono identificare questo comportamento con modelli di regole di analisi che possono essere impostati immediatamente. Anche se le anomalie non indicano necessariamente comportamenti dannosi o sospetti da soli, possono essere usate per migliorare rilevamenti, indagini e ricerca delle minacce:
Segnali aggiuntivi per migliorare il rilevamento: gli analisti della sicurezza possono usare le anomalie per rilevare nuove minacce e rendere più efficaci i rilevamenti esistenti. Una singola anomalia non è un segnale forte di comportamento dannoso, ma una combinazione di diverse anomalie in diversi punti della kill chain invia un messaggio chiaro. Gli analisti della sicurezza possono rendere più accurati gli avvisi di rilevamento esistenti condizionandoli sull'identificazione di comportamenti anomali.
Prove durante le indagini: gli analisti della sicurezza possono anche usare anomalie durante le indagini per confermare una violazione, trovare nuovi percorsi per analizzarla e valutarne il potenziale impatto. Queste efficienze riducono il tempo dedicato dagli analisti della sicurezza alle indagini.
L'inizio della ricerca proattiva delle minacce: i cacciatori di minacce possono usare le anomalie come contesto per determinare se le query hanno rilevato comportamenti sospetti. Quando il comportamento è sospetto, le anomalie puntano anche a potenziali percorsi per un'ulteriore ricerca. Questi indizi forniti dalle anomalie riducono sia il tempo per rilevare una minaccia che la possibilità di causare danni.
Le anomalie possono essere strumenti potenti, ma sono notoriamente rumorose. In genere richiedono un'ottimizzazione noiosa per ambienti specifici o una post-elaborazione complessa. I modelli di anomalie personalizzabili vengono ottimizzati dal team di data science di Microsoft Sentinel per fornire un valore predefinito. Se è necessario ottimizzarli ulteriormente, il processo è semplice e non richiede alcuna conoscenza di Machine Learning. Le soglie e i parametri per molte anomalie possono essere configurati e ottimizzati tramite l'interfaccia utente della regola di analisi già nota. Le prestazioni della soglia e dei parametri originali possono essere confrontate con quelle nuove all'interno dell'interfaccia e ulteriormente ottimizzate in base alle esigenze durante una fase di test o di volo. Una volta che l'anomalia soddisfa gli obiettivi di prestazioni, l'anomalia con la nuova soglia o i nuovi parametri può essere promossa alla produzione con il clic di un pulsante. Microsoft Sentinel anomalie personalizzabili consentono di ottenere il vantaggio del rilevamento delle anomalie senza il duro lavoro.
Anomalie UEBA
Alcuni dei rilevamenti di anomalie di Microsoft Sentinel provengono dal motore UEBA (User and Entity Behavior Analytics), che rileva le anomalie in base al comportamento cronologico di base di ogni entità in vari ambienti. Il comportamento di base di ogni entità viene impostato in base alle proprie attività storiche, a quelle dei peer e a quelle dell'intera organizzazione. Le anomalie possono essere attivate dalla correlazione di attributi diversi, ad esempio tipo di azione, posizione geografica, dispositivo, risorsa, ISP e altro ancora.
Passaggi successivi
In questo documento si è appreso come sfruttare le anomalie personalizzabili in Microsoft Sentinel.
- Informazioni su come visualizzare, creare, gestire e ottimizzare le regole delle anomalie.
- Informazioni su User and Entity Behavior Analytics (UEBA).
- Vedere l'elenco delle anomalie attualmente supportate.
- Informazioni su altri tipi di regole di analisi.