Usare le regole di analisi del rilevamento anomalie in Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

La funzionalità di anomalie personalizzabili di Microsoft Sentinel offre modelli di anomalie predefiniti per un valore immediato predefinito. Questi modelli di anomalie sono stati sviluppati per essere affidabili usando migliaia di origini dati e milioni di eventi, ma questa funzionalità consente anche di modificare le soglie e i parametri per le anomalie facilmente all'interno dell'interfaccia utente. Le regole di anomalia sono abilitate o attivate per impostazione predefinita, quindi genereranno anomalie predefinite. È possibile trovare ed eseguire query su queste anomalie nella tabella Anomalie nella sezione Log .

Importante

Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Visualizzare modelli di regole di anomalia personalizzabili

È ora possibile trovare regole di anomalia visualizzate in una griglia nella scheda Anomalie nella pagina Analisi .

1. Per gli utenti di Microsoft Sentinel nel portale di Azure, selezionare Analisi dal menu di spostamento di Microsoft Sentinel.

   Per gli utenti della piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender, selezionare Microsoft Sentinel > Configuration > Analytics dal menu di spostamento di Microsoft Defender.

2. Nella pagina Analisi selezionare la scheda Anomalie.

3. Per filtrare l'elenco in base a uno o più dei criteri seguenti, selezionare Aggiungi filtro e scegliere di conseguenza.

   • Stato : indica se la regola è abilitata o disabilitata.

   • Tattiche: le tattiche del framework MITRE ATT&CK coperte dall'anomalia.

   • Tecniche : tecniche del framework MITRE ATT&CK coperte dall'anomalia.

   • Origini dati: tipo di log che devono essere inseriti e analizzati per la definizione dell'anomalia.

4. Selezionare una regola e visualizzare le informazioni seguenti nel riquadro dei dettagli:

   • Descrizione illustra il funzionamento dell'anomalia e i dati necessari.

   • Tattiche e tecniche sono le tattiche e le tecniche del framework MITRE ATT&CK coperte dall'anomalia.

   • Parametri sono gli attributi configurabili per l'anomalia.

   • Soglia è un valore configurabile che indica il grado in cui un evento deve essere insolito prima che venga creata un'anomalia.

   • Frequenza della regola è l'intervallo di tempo tra i processi di elaborazione dei log che trovano le anomalie.

   • Lo stato della regola indica se la regola viene eseguita in modalità produzione o in anteprima (gestione temporanea) quando è abilitata.

   • Versione dell'anomalia mostra la versione del modello usata da una regola. Se si vuole modificare la versione usata da una regola già attiva, è necessario ricreare la regola.

Le regole fornite con Microsoft Sentinel non possono essere modificate o eliminate. Per personalizzare una regola, è prima necessario creare un duplicato della regola e quindi personalizzare il duplicato. Vedere le istruzioni complete.

Nota

Perché è presente un pulsante Modifica se la regola non può essere modificata?

Anche se non è possibile modificare la configurazione di una regola di anomalia predefinita, è possibile eseguire due operazioni:

1. È possibile attivare o disattivare lo stato della regola tra Production e Flighting.

2. È possibile inviare commenti e suggerimenti a Microsoft sull'esperienza con anomalie personalizzabili.

Valutare la qualità delle anomalie

È possibile verificare le prestazioni di ogni regola di anomalia esaminando un campione delle anomalie create dalla regola nelle ultime 24 ore.

1. Per gli utenti di Microsoft Sentinel nel portale di Azure, selezionare Analisi dal menu di spostamento di Microsoft Sentinel.

   Per gli utenti della piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender, selezionare Microsoft Sentinel > Configuration > Analytics dal menu di spostamento di Microsoft Defender.

2. Nella pagina Analisi selezionare la scheda Anomalie.

3. Selezionare la regola da valutare e copiarne l'ID nella parte superiore del riquadro dei dettagli a destra.

4. Dal menu di spostamento di Microsoft Sentinel selezionare Log.

5. Se una raccolta Query viene visualizzata sopra la parte superiore, chiuderla.

6. Selezionare la scheda Tabelle nel riquadro sinistro della pagina Log .

7. Impostare il filtro Intervallo di tempo su Ultime 24 ore.

8. Copiare la query Kusto riportata di seguito e incollarla nella finestra della query (in "Digitare qui la query..."):

   Anomalies 
   | where RuleId contains "<RuleId>"
   

   Incollare l'ID regola copiato sopra al posto delle <RuleId> virgolette.

9. Selezionare Esegui.

Quando si hanno alcuni risultati, è possibile iniziare a valutare la qualità delle anomalie. Se non si hanno risultati, provare ad aumentare l'intervallo di tempo.

Espandere i risultati per ogni anomalia e quindi espandere il campo AnomalyReasons . Nel campo sarà indicato il motivo per cui l'anomalia è stata attivata.

La "ragionevolezza" o l'"utilità" di un'anomalia possono dipendere dalle condizioni dell'ambiente, ma un motivo comune per cui una regola di anomalia produce un numero eccessivo di anomalie è una soglia è troppo bassa.

Ottimizzare le regole delle anomalie

Anche se le regole di anomalia sono definite per garantire la massima efficacia predefinita, ogni situazione è univoca e a volte è necessario ottimizzare le regole di anomalie.

Poiché non è possibile modificare una regola attiva originale, è prima necessario duplicare una regola di anomalia attiva e quindi personalizzare la copia.

La regola di anomalia originale rimarrà in esecuzione fino a quando non viene disabilitata o eliminata.

Questo comportamento è una caratteristica di progettazione che mira a offrire l'opportunità di confrontare i risultati generati dalla configurazione originale e dalla nuova configurazione. Le regole duplicate sono disabilitate per impostazione predefinita. È possibile creare una sola copia personalizzata di una determinata regola di anomalia. I tentativi di eseguire una seconda copia avranno esito negativo.

1. Per modificare la configurazione di una regola di anomalie, selezionare la regola dall'elenco nella scheda Anomalie .

2. Fare clic con il pulsante destro del mouse in un punto qualsiasi della riga della regola oppure fare clic con i puntini di sospensione (...) alla fine della riga, quindi scegliere Duplica dal menu di scelta rapida.

   Nell'elenco verrà visualizzata una nuova regola con le caratteristiche seguenti:

   • Il nome della regola sarà uguale all'originale, con " - Personalizzato" aggiunto alla fine.
   • Lo stato della regola sarà Disabilitato.
   • Il badge FLGT verrà visualizzato all'inizio della riga per indicare che la regola è in modalità di anteprima.

3. Per personalizzare questa regola, selezionare la regola e selezionare Modifica nel riquadro dei dettagli oppure dal menu di scelta rapida della regola.

4. La regola viene aperta nella Procedura guidata per la regola di analisi. È possibile modificare i parametri della regola e la soglia. I parametri che possono essere modificati variano per ogni tipo di anomalia e algoritmo.

   È possibile visualizzare in anteprima i risultati delle modifiche nel riquadro Anteprima risultati. Selezionare un ID anomalie nell'anteprima dei risultati per vedere perché il modello di Machine Learning identifica tale anomalia.

5. Abilitare la regola personalizzata per generare i risultati. Poiché alcune delle modifiche potrebbero richiedere una nuova esecuzione della regola, è necessario attendere il completamento della regola e tornare a controllare i risultati nella pagina Log. La regola di anomalia personalizzata viene eseguita in modalità di anteprima (test) per impostazione predefinita. La regola originale continua a essere eseguita in modalità produzione per impostazione predefinita.

6. Per confrontare i risultati, tornare alla tabella Anomalie in Log per valutare la nuova regola come in precedenza, usare solo la query seguente per cercare le anomalie generate dalla regola originale e la regola duplicata.

   Anomalies 
   | where AnomalyTemplateId contains "<RuleId>"
   

   Incollare l'ID regola copiato dalla regola originale al posto delle <RuleId> virgolette. Il valore di AnomalyTemplateId in entrambe le regole originali e duplicate è identico al valore di RuleId nella regola originale.

Se si è soddisfatti dei risultati per la regola personalizzata, è possibile tornare alla scheda Anomalie , selezionare la regola personalizzata, selezionare il pulsante Modifica e nella scheda Generale passare da Flighting a Production. La regola originale cambierà automaticamente in Flighting perché non è possibile avere due versioni della stessa regola nello stesso momento in produzione.

Passaggi successivi

In questo documento si è appreso come usare regole di analisi del rilevamento anomalie personalizzabili in Microsoft Sentinel.

• Ottenere alcune informazioni di base sulle anomalie personalizzabili.
• Visualizzare i tipi di anomalie disponibili in Microsoft Sentinel.
• Esplorare altri tipi di regole di analisi.