Ottenere raccomandazioni di ottimizzazione per le regole di analisi in Microsoft Sentinel

Importante

I rilevamenti personalizzati sono ora il modo migliore per creare nuove regole in Microsoft Sentinel Microsoft Defender XDR SIEM. Con i rilevamenti personalizzati, è possibile ridurre i costi di inserimento, ottenere rilevamenti in tempo reale illimitati e trarre vantaggio dall'integrazione senza problemi con dati, funzioni e azioni di correzione Defender XDR con il mapping automatico delle entità. Per altre informazioni, leggere questo blog.

Importante

L'ottimizzazione del rilevamento è attualmente disponibile in ANTEPRIMA. Per altre condizioni legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate in disponibilità generale, vedere le Condizioni aggiuntive per l'utilizzo per Microsoft Azure Previews.

L'ottimizzazione delle regole di rilevamento delle minacce nel SIEM può essere un processo difficile, delicato e continuo di bilanciamento tra la massimizzazione della copertura di rilevamento delle minacce e la riduzione al minimo delle percentuali di falsi positivi. Microsoft Sentinel semplifica e semplifica questo processo usando machine learning per analizzare miliardi di segnali provenienti dalle origini dati, nonché le risposte agli eventi imprevisti nel tempo, riducendo i modelli e fornendo consigli e informazioni utili che possono ridurre significativamente il sovraccarico di ottimizzazione e consentire di concentrarsi sul rilevamento e sulla risposta alle minacce effettive.

Le raccomandazioni e le informazioni dettagliate sull'ottimizzazione sono ora integrate nelle regole di analisi. Questo articolo spiega cosa mostrano queste informazioni dettagliate e come implementare le raccomandazioni.

Visualizzare informazioni dettagliate sulle regole e consigli sull'ottimizzazione

Per verificare se Microsoft Sentinel dispone di raccomandazioni di ottimizzazione per una delle regole di analisi, selezionare Analisi dal menu di spostamento Microsoft Sentinel.

Tutte le regole con raccomandazioni visualizzeranno un'icona a lampadina, come illustrato di seguito:

Screenshot dell'elenco delle regole di analisi con l'indicatore di raccomandazione.

Modificare la regola per visualizzare le raccomandazioni insieme alle altre informazioni dettagliate. Verranno visualizzati insieme nella scheda Imposta logica regola della procedura guidata della regola di analisi, sotto la visualizzazione Simulazione risultati .

Screenshot dell'ottimizzazione delle informazioni dettagliate nella regola di analisi.

Tipi di informazioni dettagliate

La visualizzazione Informazioni dettagliate di ottimizzazione è costituita da diversi riquadri che è possibile scorrere o scorrere rapidamente, ognuno dei quali mostra qualcosa di diverso. L'intervallo di tempo - 14 giorni - per cui vengono visualizzate le informazioni dettagliate viene visualizzato nella parte superiore del frame.

  1. Il primo riquadro informazioni dettagliate visualizza alcune informazioni statistiche: il numero medio di avvisi per evento imprevisto, il numero di eventi imprevisti aperti e il numero di eventi imprevisti chiusi, raggruppati per classificazione (vero/falso positivo). Queste informazioni dettagliate consentono di determinare il carico su questa regola e comprendere se è necessaria un'ottimizzazione, ad esempio se è necessario modificare le impostazioni di raggruppamento.

    Screenshot delle informazioni dettagliate sull'efficienza delle regole.

    Queste informazioni dettagliate sono il risultato di una query di Log Analytics. Selezionando Avvisi medi per evento imprevisto si accederà alla query in Log Analytics che ha prodotto le informazioni dettagliate. Se si seleziona Apri eventi imprevisti , verrà visualizzato il pannello Eventi imprevisti .

  2. Il secondo riquadro informazioni dettagliate consiglia di escludere un elenco di entità . Queste entità sono altamente correlate agli eventi imprevisti chiusi e classificati come falsi positivi. Selezionare il segno più accanto a ogni entità elencata per escluderlo dalla query nelle esecuzioni future di questa regola.

    Screenshot della raccomandazione di esclusione di entità.

    Questa raccomandazione è prodotta dai modelli avanzati di data science e Machine Learning di Microsoft. L'inclusione di questo riquadro nella visualizzazione Informazioni dettagliate sull'ottimizzazione dipende da eventuali raccomandazioni da visualizzare.

  3. Il terzo riquadro informazioni dettagliate mostra le quattro entità mappate più frequentemente visualizzate in tutti gli avvisi generati da questa regola. Il mapping delle entità deve essere configurato nella regola per consentire a queste informazioni dettagliate di produrre risultati. Queste informazioni potrebbero aiutare a prendere coscienza di tutte le entità che stanno "attirando l'attenzione" e allontanando l'attenzione da altre entità. È possibile gestire queste entità separatamente in una regola diversa oppure si potrebbe decidere che si tratta di falsi positivi o in altro modo di disturbo ed escluderle dalla regola.

    Screenshot delle informazioni dettagliate sulle entità principali.

    Queste informazioni dettagliate sono il risultato di una query di Log Analytics. Se si seleziona una delle entità, si accederà alla query in Log Analytics che ha prodotto le informazioni dettagliate.

Passaggi successivi

Per ulteriori informazioni, vedere:

  • Last updated on