Gestire i falsi positivi in Microsoft Sentinel

Le regole di analisi di Microsoft Sentinel segnalano quando si verifica un evento sospetto nella rete. Nessuna regola di analisi è perfetta ed è necessario ottenere alcuni falsi positivi che richiedono la gestione. Questo articolo descrive come gestire i falsi positivi, usando l'automazione o modificando le regole di analisi pianificate.

Falsi positivi cause e prevenzione

Anche in una regola di analisi compilata correttamente, i falsi positivi spesso derivano da entità specifiche come utenti o indirizzi IP che devono essere esclusi dalla regola.

Gli scenari comuni includono:

  • Le normali attività da parte di determinati utenti, in genere entità servizio, mostrano un modello che sembra sospetto.
  • L'attività di analisi della sicurezza intenzionale proveniente da indirizzi IP noti viene rilevata come dannosa.
  • Una regola che esclude gli indirizzi IP privati deve anche escludere alcuni indirizzi IP interni che non sono privati.

Questo articolo descrive due metodi per evitare falsi positivi:

  • Le regole di automazione creano eccezioni senza modificare le regole di analisi.
  • Le modifiche alle regole di analisi pianificate consentono eccezioni più dettagliate e permanenti.

Nella tabella seguente vengono descritte le caratteristiche di ogni metodo:

metodo Characteristic
Regole di automazione
  • Può essere applicato a diverse regole di analisi.
  • Mantenere un audit trail. Eccezioni immediatamente e chiusura automatica degli eventi imprevisti creati, registrando il motivo della chiusura e dei commenti.
  • Vengono spesso generati dagli analisti.
  • Consentire l'applicazione di eccezioni per un periodo di tempo limitato. Ad esempio, il lavoro di manutenzione potrebbe attivare falsi positivi che al di fuori dell'intervallo di tempo di manutenzione sarebbero veri eventi imprevisti.
Modifiche alle regole di analisi
  • Consenti espressioni booleane avanzate ed eccezioni basate su subnet.
  • È possibile usare watchlist per centralizzare la gestione delle eccezioni.
  • In genere è necessaria l'implementazione da parte dei tecnici del Centro operazioni di sicurezza (SOC).
  • Sono la soluzione più flessibile e completa falsa positiva, ma sono più complesse.

Aggiungere eccezioni usando le regole di automazione

Il modo più semplice per aggiungere un'eccezione consiste nell'aggiungere una regola di automazione quando viene visualizzato un evento imprevisto falso positivo.

Per aggiungere una regola di automazione per gestire un falso positivo:

  1. In Microsoft Sentinel, in Eventi imprevisti, selezionare l'evento imprevisto per cui si vuole creare un'eccezione.

  2. Selezionare Crea regola di automazione.

  3. Nella barra laterale Crea nuova regola di automazione modificare facoltativamente il nuovo nome della regola per identificare l'eccezione, anziché solo il nome della regola di avviso.

  4. In Condizioni aggiungere facoltativamente altri nomidi regola di Analisi a cui applicare l'eccezione. Selezionare la casella a discesa contenente il nome della regola di analisi e selezionare altre regole di analisi dall'elenco.

  5. La barra laterale presenta le entità specifiche nell'evento imprevisto corrente che potrebbero aver causato il falso positivo. Mantenere i suggerimenti automatici o modificarli per ottimizzare l'eccezione. Ad esempio, è possibile modificare una condizione in un indirizzo IP da applicare a un'intera subnet.

    Screenshot showing how to create an automation rule for an incident in Microsoft Sentinel.

  6. Dopo aver soddisfatto le condizioni, è possibile continuare a definire le operazioni che la regola esegue:

    Screenshot showing how to finish creating and applying an automation rule in Microsoft Sentinel.

    • La regola è già configurata per chiudere un evento imprevisto che soddisfi i criteri di eccezione.
    • È possibile mantenere il motivo di chiusura specificato così come è oppure modificarlo se un altro motivo è più appropriato.
    • È possibile aggiungere un commento all'evento imprevisto chiuso automaticamente che spiega l'eccezione. Ad esempio, è possibile specificare che l'evento imprevisto ha avuto origine da attività amministrative note.
    • Per impostazione predefinita, la regola è impostata per scadere automaticamente dopo 24 ore. Questa scadenza potrebbe essere quella desiderata e riduce la probabilità di errori falsi negativi. Se si desidera un'eccezione più lunga, impostare Scadenza regola su un secondo momento.
  7. Se si desidera, è possibile aggiungere altre azioni. Ad esempio, è possibile aggiungere un tag all'evento imprevisto oppure eseguire un playbook per inviare un messaggio di posta elettronica o una notifica o per eseguire la sincronizzazione con un sistema esterno.

  8. Selezionare Applica per attivare l'eccezione.

Suggerimento

È anche possibile creare una regola di automazione da zero, senza iniziare da un evento imprevisto. Selezionare Automazione dal menu di spostamento a sinistra di Microsoft Sentinel e quindi selezionare Crea>nuova regola. Altre informazioni sulle regole di automazione.

Aggiungere eccezioni modificando le regole di analisi

Un'altra opzione per l'implementazione delle eccezioni consiste nel modificare la query della regola di analisi. È possibile includere le eccezioni direttamente nella regola o preferibilmente, quando possibile, usare un riferimento a un watchlist. È quindi possibile gestire l'elenco di eccezioni nell'elenco di controllo.

Modificare la query

Per modificare le regole di analisi esistenti, selezionare Automazione dal menu di spostamento a sinistra di Microsoft Sentinel. Selezionare la regola da modificare e quindi selezionare Modifica in basso a destra per aprire la Procedura guidata regole di analisi.

Per istruzioni dettagliate sull'uso della Procedura guidata regole di analisi per creare e modificare le regole di analisi, vedere Creare regole di analisi personalizzate per rilevare le minacce.

Per implementare un'eccezione in un preambolo tipico di una regola, è possibile aggiungere una condizione simile where IPAddress !in ('<ip addresses>') all'inizio della query della regola. Questa riga esclude indirizzi IP specifici dalla regola.

let timeFrame = 1d;
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| where IPAddress !in ('10.0.0.8', '192.168.12.1')
...

Questo tipo di eccezione non è limitato agli indirizzi IP. È possibile escludere utenti specifici usando il UserPrincipalName campo o escludere app specifiche usando AppDisplayName.

È anche possibile escludere più attributi. Ad esempio, per escludere gli avvisi dall'indirizzo 10.0.0.8 IP o dall'utente user@microsoft.com, usare:

| where IPAddress !in ('10.0.0.8')
| where UserPrincipalName != 'user@microsoft.com'

Per implementare un'eccezione con granularità più fine quando applicabile e ridurre la probabilità di falsi negativi, è possibile combinare gli attributi. L'eccezione seguente si applica solo se entrambi i valori vengono visualizzati nello stesso avviso:

| where IPAddress != '10.0.0.8' and UserPrincipalName != 'user@microsoft.com'

Escludere le subnet

L'esclusione degli intervalli IP usati da un'organizzazione richiede l'esclusione della subnet. Nell'esempio seguente viene illustrato come escludere le subnet.

L'operatore ipv4_lookup è un operatore di arricchimento, non un operatore di filtro. La where isempty(network) riga esegue effettivamente il filtro controllando gli eventi che non mostrano una corrispondenza.

let subnets = datatable(network:string) [ "111.68.128.0/17", "5.8.0.0/19", ...];
let timeFrame = 1d;
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| evaluate ipv4_lookup(subnets, IPAddress, network, return_unmatched = true)
| where isempty(network)
...

Usare watchlist per gestire le eccezioni

È possibile usare un watchlist per gestire l'elenco di eccezioni esterne alla regola stessa. Se applicabile, questa soluzione presenta i vantaggi seguenti:

  • Un analista può aggiungere eccezioni senza modificare la regola, che meglio segue le procedure consigliate SOC.
  • Lo stesso watchlist può essere applicato a diverse regole, abilitando la gestione centrale delle eccezioni.

L'uso di un watchlist è simile all'uso di un'eccezione diretta. Usare _GetWatchlist('<watchlist name>') per chiamare l'elenco di controllo:

let timeFrame = 1d;
let logonDiff = 10m;
let allowlist = (_GetWatchlist('ipallowlist') | project IPAddress);
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| where IPAddress !in (allowlist)
...

È anche possibile filtrare le subnet usando un watchlist. Ad esempio, nel codice di esclusione delle subnet precedenti è possibile sostituire la definizione delle datatable subnet con un watchlist:

let subnets = _GetWatchlist('subnetallowlist');

Esempio: Gestire le eccezioni per la soluzione Microsoft Sentinel per le applicazioni SAP®

La soluzione Microsoft Sentinel per le applicazioni SAP® offre funzioni che è possibile usare per escludere utenti o sistemi dall'attivazione degli avvisi.

  • Escludere gli utenti. Usare la funzione SAPUsersGetVIP per:

    • Chiamare i tag per gli utenti da escludere dall'attivazione degli avvisi. Contrassegnare gli utenti nell'elenco di controllo SAP_User_Config , usando asterischi (*) come caratteri jolly per contrassegnare tutti gli utenti con una sintassi di denominazione specificata.
    • Elencare ruoli e/o profili SAP specifici da escludere dall'attivazione degli avvisi.
  • Escludere i sistemi. Usare le funzioni che supportano il parametro SelectedSystemRoles per determinare che solo tipi specifici di sistemi attivano avvisi, inclusi solo i sistemi di produzione, solo i sistemi UAT o entrambi.

Per altre informazioni, vedere La soluzione Microsoft Sentinel per informazioni di riferimento sui dati delle applicazioni SAP®.

Passaggi successivi

Per altre informazioni, vedi: