Usare le regole di analisi del rilevamento anomalie in Microsoft Sentinel

Importante

I rilevamenti personalizzati sono ora il modo migliore per creare nuove regole in Microsoft Sentinel Microsoft Defender XDR SIEM. Con i rilevamenti personalizzati, è possibile ridurre i costi di inserimento, ottenere rilevamenti in tempo reale illimitati e trarre vantaggio dall'integrazione senza problemi con dati, funzioni e azioni di correzione Defender XDR con il mapping automatico delle entità. Per altre informazioni, leggere questo blog.

la funzionalità di anomalie personalizzabile di Microsoft Sentinel offre modelli di anomalie predefiniti per un valore immediato predefinito. Questi modelli di anomalie sono stati sviluppati per essere affidabili usando migliaia di origini dati e milioni di eventi, ma questa funzionalità consente anche di modificare facilmente le soglie e i parametri per le anomalie all'interno dell'interfaccia utente. Le regole di anomalia sono abilitate o attivate per impostazione predefinita, quindi genereranno anomalie predefinite. È possibile trovare ed eseguire query su queste anomalie nella tabella Anomalie nella sezione Log .

Importante

Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.

Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.

Visualizzare modelli di regole anomalie personalizzabili

È ora possibile trovare le regole anomalie visualizzate in una griglia nella scheda Anomalie della pagina Analisi .

1. Per gli utenti del portale di Microsoft Defender, selezionare Microsoft Sentinel > Configuration > Analytics dal menu di spostamento Microsoft Defender.

   Per gli utenti di Microsoft Sentinel nel portale di Azure, selezionare Analisi dal menu di spostamento Microsoft Sentinel.

2. Nella pagina Analisi selezionare la scheda Anomalie .

3. Per filtrare l'elenco in base a uno o più dei criteri seguenti, selezionare Aggiungi filtro e scegliere di conseguenza.

   • Stato : se la regola è abilitata o disabilitata.

   • Tattiche : MITRE ATT&tattiche del framework CK coperte dall'anomalia.

   • Tecniche : MITRE ATT&tecniche del framework CK coperte dall'anomalia.

   • Origini dati : tipo di log che devono essere inseriti e analizzati per definire l'anomalia.

4. Selezionare una regola e visualizzare le informazioni seguenti nel riquadro dei dettagli:

   • La descrizione illustra il funzionamento dell'anomalia e i dati necessari.

   • Le tattiche e le tecniche sono le tattiche e le tecniche del framework MITRE ATT&CK coperte dall'anomalia.

   • I parametri sono gli attributi configurabili per l'anomalia.

   • Threshold è un valore configurabile che indica il grado in cui un evento deve essere insolito prima della creazione di un'anomalia.

   • La frequenza delle regole è il tempo tra i processi di elaborazione dei log che trovano le anomalie.

   • Lo stato della regola indica se la regola viene eseguita in modalità di produzione o di anteprima (staging) se abilitata.

   • La versione anomala mostra la versione del modello usata da una regola. Se si vuole modificare la versione usata da una regola già attiva, è necessario ricreare la regola.

Le regole fornite con Microsoft Sentinel non possono essere modificate o eliminate. Per personalizzare una regola, è prima necessario creare un duplicato della regola e quindi personalizzare il duplicato. Vedere le istruzioni complete.

Nota

Perché è presente un pulsante Modifica se la regola non può essere modificata?

Anche se non è possibile modificare la configurazione di una regola di anomalia predefinita, è possibile eseguire due operazioni:

1. È possibile attivare o disattivare lo stato della regola tra Produzione e Anteprima.

2. È possibile inviare commenti e suggerimenti a Microsoft sull'esperienza con anomalie personalizzabili.

Valutare la qualità delle anomalie

È possibile vedere le prestazioni di una regola di anomalia esaminando un esempio delle anomalie create da una regola nell'ultimo periodo di 24 ore.

1. Per gli utenti di Microsoft Sentinel nel portale di Azure, selezionare Analisi dal menu di spostamento Microsoft Sentinel.

   Per gli utenti del portale di Microsoft Defender, selezionare Microsoft Sentinel > Configuration > Analytics dal menu di spostamento Microsoft Defender.

2. Nella pagina Analisi selezionare la scheda Anomalie .

3. Selezionare la regola da valutare e copiarne l'ID dalla parte superiore del riquadro dei dettagli a destra.

4. Dal menu di spostamento Microsoft Sentinel selezionare Log.

5. Se nella parte superiore viene visualizzata una raccolta Query , chiuderla.

6. Selezionare la scheda Tabelle nel riquadro sinistro della pagina Log .

7. Impostare il filtro Intervallo di temposu Ultime 24 ore.

8. Copiare la query Kusto seguente e incollarla nella finestra della query (dove è indicato "Digitare la query qui o..."):

   Anomalies 
   | where RuleId contains "<RuleId>"
   

   Incollare l'ID regola copiato sopra al posto delle <RuleId> virgolette.

9. Selezionare Esegui.

Quando si hanno alcuni risultati, è possibile iniziare a valutare la qualità delle anomalie. Se non si hanno risultati, provare ad aumentare l'intervallo di tempo.

Espandere i risultati per ogni anomalia e quindi espandere il campo AnomalyReasons . Questo ti dirà perché l'anomalia è stata attivata.

La "ragionevolezza" o "utilità" di un'anomalia può dipendere dalle condizioni dell'ambiente, ma un motivo comune per cui una regola di anomalia produce troppe anomalie è che la soglia è troppo bassa.

Ottimizzare le regole di anomalia

Anche se le regole di anomalia sono progettate per garantire la massima efficacia, ogni situazione è univoca e a volte è necessario ottimizzare le regole di anomalia.

Poiché non è possibile modificare una regola attiva originale, è prima necessario duplicare una regola di anomalia attiva e quindi personalizzare la copia.

La regola di anomalia originale continuerà a essere in esecuzione fino a quando non viene disabilitata o eliminata.

Questo è per impostazione predefinita, per offrire l'opportunità di confrontare i risultati generati dalla configurazione originale e quella nuova. Le regole duplicate sono disabilitate per impostazione predefinita. È possibile creare una sola copia personalizzata di una determinata regola di anomalia. I tentativi di eseguire una seconda copia avranno esito negativo.

1. Per modificare la configurazione di una regola di anomalia, selezionare la regola dall'elenco nella scheda Anomalie .

2. Fare clic con il pulsante destro del mouse in un punto qualsiasi della riga della regola oppure fare clic con il pulsante sinistro del mouse sui puntini di sospensione (...) alla fine della riga, quindi scegliere Duplica dal menu di scelta rapida.

   Nell'elenco verrà visualizzata una nuova regola con le caratteristiche seguenti:

   • Il nome della regola sarà lo stesso dell'originale, con " - Personalizzato" aggiunto alla fine.
   • Lo stato della regola sarà Disabilitato.
   • La notifica FLGT verrà visualizzata all'inizio della riga per indicare che la regola è in modalità di anteprima.

3. Per personalizzare questa regola, selezionare la regola e selezionare Modifica nel riquadro dei dettagli o dal menu di scelta rapida della regola.

4. La regola viene aperta nella procedura guidata regola di Analisi. Qui è possibile modificare i parametri della regola e la relativa soglia. I parametri che possono essere modificati variano in base a ogni tipo di anomalia e algoritmo.

   È possibile visualizzare in anteprima i risultati delle modifiche nel riquadro anteprima Risultati. Selezionare un ID anomalie nell'anteprima dei risultati per vedere perché il modello di Machine Learning identifica tale anomalia.

5. Abilitare la regola personalizzata per generare risultati. Alcune modifiche potrebbero richiedere l'esecuzione della regola, quindi è necessario attendere il completamento e tornare a controllare i risultati nella pagina dei log. La regola di anomalia personalizzata viene eseguita in modalità flighting (test) per impostazione predefinita. La regola originale continua a essere eseguita in modalità di produzione per impostazione predefinita.

6. Per confrontare i risultati, tornare alla tabella Anomalies in Logs per valutare la nuova regola come in precedenza, usare solo la query seguente per cercare le anomalie generate dalla regola originale e dalla regola duplicata.

   Anomalies 
   | where AnomalyTemplateId contains "<RuleId>"
   

   Incollare l'ID regola copiato dalla regola originale al posto delle <RuleId> virgolette. Il valore di AnomalyTemplateId nelle regole originali e duplicate è identico al valore di RuleId nella regola originale.

Se si è soddisfatti dei risultati per la regola personalizzata, è possibile tornare alla scheda Anomalie , selezionare la regola personalizzata, selezionare il pulsante Modifica e nella scheda Generale passare da Anteprima a Produzione. La regola originale cambierà automaticamente in Flighting perché non è possibile avere due versioni della stessa regola in produzione contemporaneamente.

Passaggi successivi

In questo documento si è appreso come usare le regole di analisi del rilevamento anomalie personalizzabili in Microsoft Sentinel.

• Ottenere alcune informazioni di base sulle anomalie personalizzabili.
• Visualizzare i tipi di anomalie disponibili in Microsoft Sentinel.
• Esplorare altri tipi di regole di analisi.