Usare anomalie personalizzabili per rilevare le minacce in Microsoft Sentinel

  • Articolo

Quali sono le anomalie personalizzabili?

Utenti malintenzionati e sistemi di protezione sono in continua competizione nell'ambito della cybersecurity e gli utenti malintenzionati sono sempre alla ricerca di modi per evitare il rilevamento. Inevitabilmente, tuttavia, gli attacchi comportano ancora comportamenti insoliti nei sistemi attaccati. Le anomalie personalizzabili basate su Machine Learning di Microsoft Sentinel sono in grado di identificare questi comportamenti con modelli di regole di analisi che possono essere applicati immediatamente. Sebbene le anomalie non indichino necessariamente la presenza di comportamenti dannosi o sospetti, possono essere usate per migliorare i rilevamenti, le indagini e la ricerca delle minacce:

  • Segnali aggiuntivi per migliorare il rilevamento: gli analisti di sicurezza possono usare le anomalie per rilevare nuove minacce e rendere più efficaci i rilevamenti esistenti. Una singola anomalia non è un segnale forte di comportamenti dannosi, ma una combinazione di diverse anomalie in punti diversi della catena di kill invia un messaggio chiaro. Gli analisti della sicurezza possono rendere gli avvisi di rilevamento esistenti più accurati impostandoli sull'identificazione del comportamento anomalo.

  • Evidenza durante le indagini: gli analisti di sicurezza possono usare le anomalie anche durante le indagini per confermare una violazione, trovare nuovi percorsi per l'indagine e valutare il potenziale impatto. Queste efficienze riducono il tempo dedicato dagli analisti di sicurezza alle indagini.

  • L'inizio della ricerca proattiva delle minacce: i cacciatori di minacce possono usare anomalie come contesto per determinare se le query hanno scoperto comportamenti sospetti. Quando il comportamento è sospetto, le anomalie puntano anche a percorsi potenziali per un'ulteriore ricerca. Questi indizi forniti dalle anomalie riducono il tempo necessario per rilevare una minaccia e la sua possibilità di causare danni.

Le anomalie possono essere strumenti potenti, ma sono notoriamente rumorosi. In genere richiedono un sacco di ottimizzazione noiosa per ambienti specifici o post-elaborazione complessa. I modelli di anomalia personalizzabili sono ottimizzati dal team di data science di Microsoft Sentinel per fornire un valore risolto. Se è necessario ottimizzarli ulteriormente, il processo è semplice e non richiede alcuna conoscenza dell'apprendimento automatico. Le soglie e i parametri di molte anomalie possono essere configurati e ottimizzati tramite l'interfaccia utente delle regole di analisi già nota. Le prestazioni delle soglie e dei parametri originali possono essere confrontate alle nuove prestazioni all'interno dell'interfaccia e possono essere ulteriormente ottimizzate in base alle esigenze durante una fase di test o di distribuzione di versioni di anteprima. Quando l'anomalia soddisfa gli obiettivi di prestazioni, l'anomalia con la nuova soglia o i nuovi parametri può essere promossa all'ambiente di produzione facendo clic su un pulsante. Le anomalie personalizzabili di Microsoft Sentinel consentono di ottenere il vantaggio del rilevamento anomalie senza il duro lavoro.

Anomalie UEBA

Alcuni rilevamenti anomalie di Microsoft Sentinel provengono dal motore UEBA (User and Entity Behavior Analytics), che rileva le anomalie in base al comportamento cronologico di base di ogni entità in vari ambienti. Il comportamento di base di ogni entità viene impostato in base alle proprie attività cronologiche, a quelle dei peer e a quelle dell'intera organizzazione. Le anomalie possono essere attivate dalla correlazione di attributi diversi, ad esempio tipo di azione, posizione geografica, dispositivo, risorsa, ISP e altro ancora.

Passaggi successivi

In questo documento si è appreso come sfruttare le anomalie personalizzabili in Microsoft Sentinel.