Usare le regole di analisi del rilevamento anomalie in Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

La funzionalità di anomalie personalizzabili di Microsoft Sentinel fornisce modelli di anomalie integrati per un valore immediato predefinito. Questi modelli di anomalie sono stati sviluppati per essere affidabili usando migliaia di origini dati e milioni di eventi, ma questa funzionalità consente anche di modificare le soglie e i parametri per le anomalie facilmente all'interno dell'interfaccia utente. Le regole di anomalia sono abilitate o attivate per impostazione predefinita, quindi genereranno anomalie predefinite. È possibile trovare ed eseguire query su queste anomalie nella tabella Anomalie nella sezione Log.

Importante

Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Visualizzare modelli di regole di anomalia personalizzabili

È ora possibile trovare le regole di anomalia visualizzate in una griglia nella scheda Anomalie nella pagina Analytics.

1. Per gli utenti di Microsoft Sentinel nel portale di Azure, selezionare Analytics dal menu di spostamento di Microsoft Sentinel.

   Per gli utenti della piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender, selezionare Microsoft Sentinel > Configurazione > Analytics dal menu di spostamento di Microsoft Defender.

2. Nella pagina Analisi selezionare la scheda Anomalie.

3. Per filtrare l'elenco in base a uno o più dei criteri seguenti, selezionare Aggiungi filtro e scegliere di conseguenza.

   • Stato: se la regola è attivata o disattivata.

   • Tattiche: le tattiche del framework MITRE ATT&CK coperte dall'anomalia.

   • Tecniche: le tecniche del framework MITRE ATT&CK coperte dall'anomalia.

   • Origini dati: tipo di log che devono essere inseriti e analizzati per la definizione dell'anomalia.

4. Selezionare una regola e visualizzare le informazioni seguenti nel riquadro dei dettagli:

   • Descrizione illustra il funzionamento dell'anomalia e i dati necessari.

   • Tattiche e tecniche: le tattiche e le tecniche del framework MITRE ATT&CK coperte dall'anomalia.

   • Parametri sono gli attributi configurabili per l'anomalia.

   • Soglia è un valore configurabile che indica il grado in cui un evento deve essere insolito prima che venga creata un'anomalia.

   • Frequenza della regola è l'intervallo di tempo tra i processi di elaborazione dei log che trovano le anomalie.

   • Stato della regola indica se la regola viene eseguita in Produzione o modalità Distribuzione di versioni di anteprima (gestione temporanea) quando abilitata.

   • Versione dell'anomalia mostra la versione del modello usata da una regola. Se si vuole modificare la versione usata da una regola già attiva, è necessario ricreare la regola.

Le regole fornite con Microsoft Sentinel non possono essere modificate o eliminate. Per personalizzare una regola, è prima necessario creare un duplicato della regola e quindi personalizzare il duplicato. Vedere le istruzioni complete.

Nota

Perché è presente un pulsante Modifica se la regola non può essere modificata?

Anche se non è possibile modificare la configurazione di una regola di anomalia predefinita, è possibile eseguire due operazioni:

1. È possibile attivare o disattivare lo stato della regola della regola tra Produzione e Distribuzione di versioni di anteprima.

2. È possibile inviare commenti e suggerimenti a Microsoft sull'esperienza con anomalie personalizzabili.

Valutare la qualità delle anomalie

È possibile verificare le prestazioni di ogni regola di anomalia esaminando un campione delle anomalie create dalla regola nelle ultime 24 ore.

1. Per gli utenti di Microsoft Sentinel nel portale di Azure, selezionare Analytics dal menu di spostamento di Microsoft Sentinel.

   Per gli utenti della piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender, selezionare Microsoft Sentinel > Configurazione > Analytics dal menu di spostamento di Microsoft Defender.

2. Nella pagina Analisi selezionare la scheda Anomalie.

3. Selezionare la regola da valutare e copiarne l'ID nella parte superiore del riquadro dei dettagli a destra.

4. Nel menu di spostamento di Microsoft Sentinel selezionare Log.

5. Se una raccolta Query viene visualizzata sopra la parte superiore, chiuderla.

6. Selezionare la scheda Tabelle nel riquadro sinistro della pagina Log.

7. Impostare il filtro Intervallo di tempo su Ultime 24 ore.

8. Copiare la query Kusto riportata di seguito e incollarla nella finestra della query (in "Digitare qui la query..."):

   Anomalies 
   | where RuleId contains "<RuleId>"
   

   Incollare l'ID regola copiato in precedenza al posto di <RuleId> tra virgolette.

9. Selezionare Esegui.

Quando si hanno alcuni risultati, è possibile iniziare a valutare la qualità delle anomalie. Se non si hanno risultati, provare ad aumentare l'intervallo di tempo.

Espandere i risultati per ogni anomalia e quindi espandere il campo AnomalyReasons. Nel campo sarà indicato il motivo per cui l'anomalia è stata attivata.

La "ragionevolezza" o l'"utilità" di un'anomalia possono dipendere dalle condizioni dell'ambiente, ma un motivo comune per cui una regola di anomalia produce un numero eccessivo di anomalie è una soglia è troppo bassa.

Ottimizzare le regole delle anomalie

Anche se le regole di anomalia sono definite per garantire la massima efficacia predefinita, ogni situazione è univoca e a volte è necessario ottimizzare le regole di anomalie.

Poiché non è possibile modificare una regola attiva originale, è prima necessario duplicare una regola di anomalia attiva e quindi personalizzare la copia.

La regola di anomalia originale rimarrà in esecuzione fino a quando non viene disabilitata o eliminata.

Questo comportamento è una caratteristica di progettazione che mira a offrire l'opportunità di confrontare i risultati generati dalla configurazione originale e dalla nuova configurazione. Le regole duplicate sono disabilitate per impostazione predefinita. È possibile creare una sola copia personalizzata di una determinata regola di anomalia. I tentativi di eseguire una seconda copia avranno esito negativo.

1. Per modificare la configurazione di una regola di anomalie, selezionare la regola dall'elenco nella scheda Anomalie.

2. Fare clic con il pulsante destro del mouse in un punto qualsiasi della riga della regola oppure fare clic con i puntini di sospensione (...) alla fine della riga, quindi selezionare Duplica dal menu di scelta rapida.

   Nell'elenco verrà visualizzata una nuova regola con le caratteristiche seguenti:

   • Il nome della regola sarà uguale all'originale, con " - Personalizzato" aggiunto alla fine.
   • Lo stato della regola verrà Disabilitato.
   • Il badge FLGT verrà visualizzato all'inizio della riga per indicare che la regola è in modalità di anteprima.

3. Per personalizzare questa regola, selezionare la regola e selezionare Modifica nel riquadro dei dettagli o dal menu di scelta rapida della regola.

4. La regola viene aperta nella Procedura guidata per la regola di analisi. È possibile modificare i parametri della regola e la soglia. I parametri che possono essere modificati variano per ogni tipo di anomalia e algoritmo.

   È possibile visualizzare in anteprima i risultati delle modifiche nel riquadro di anteprima dei risultati. Selezionare un ID anomalie nell'anteprima dei risultati per vedere perché il modello di Machine Learning identifica tale anomalia.

5. Abilitare la regola personalizzata per generare i risultati. Poiché alcune delle modifiche potrebbero richiedere una nuova esecuzione della regola, è necessario attendere il completamento della regola e tornare a controllare i risultati nella pagina Log. La regola di anomalia personalizzata viene eseguita in modalità Distribuzione di versioni di anteprima (test) per impostazione predefinita. Per impostazione predefinita, la regola originale continua a essere eseguita in modalità Produzione.

6. Per confrontare i risultati, tornare alla tabella Anomalie in Log per valutare la nuova regola come prima di, usare invece la query seguente per cercare le anomalie generate dalla regola originale e la regola duplicata.

   Anomalies 
   | where AnomalyTemplateId contains "<RuleId>"
   

   Incollare l'ID regola copiato dalla regola originale al posto di <RuleId> tra virgolette. Il valore di AnomalyTemplateId nelle regole originali e duplicate è identico al valore di RuleId nella regola originale.

Se si è soddisfatti dei risultati per la regola personalizzata, è possibile tornare alla scheda Anomalie, selezionare la regola personalizzata, selezionare il pulsante Modifica e nella scheda Generale passare da Distribuzione di versioni di anteprima a Produzione. La regola originale verrà modificata automaticamente in Distribuzione di versioni di anteprima poiché non è possibile avere due versioni della stessa regola nell'ambiente di produzione contemporaneamente.

Passaggi successivi

In questo documento si è appreso come usare regole di analisi del rilevamento anomalie personalizzabili in Microsoft Sentinel.

• Ottenere alcune informazioni di base sulle anomalie personalizzabili.
• Visualizzare i tipi di anomalie disponibili in Microsoft Sentinel.
• Esplorare altri tipi di regole di analisi.