Usare modelli di regole analitiche per il rilevamento anomalie

  • 3 minuti

Utenti malintenzionati e sistemi di protezione sono in continua competizione nell'ambito della cybersecurity e gli utenti malintenzionati sono sempre alla ricerca di modi per evitare il rilevamento. Inevitabilmente, tuttavia, gli attacchi continueranno a produrre comportamenti insoliti nei sistemi attaccati. Le anomalie personalizzabili basate su Machine Learning di Microsoft Sentinel sono in grado di identificare questi comportamenti con modelli di regole di analisi che possono essere applicati immediatamente. Sebbene le anomalie non indichino necessariamente la presenza di comportamenti dannosi o sospetti, possono essere usate per migliorare i rilevamenti, le indagini e la ricerca delle minacce:

  • Segnali aggiuntivi per migliorare il rilevamento: gli analisti di sicurezza possono usare le anomalie per rilevare nuove minacce e rendere più efficaci i rilevamenti esistenti. Una singola anomalia non è un segnale significativo di comportamento dannoso, ma se l'anomalia si somma ad altre anomalie che si verificano in punti diversi della kill chain, il loro effetto cumulativo è molto più significativo. Gli analisti di sicurezza possono migliorare anche i rilevamenti esistenti trasformando il comportamento insolito identificato tramite le anomalie in una condizione di attivazione degli avvisi.

  • Evidenza durante le indagini: gli analisti di sicurezza possono usare le anomalie anche durante le indagini per confermare una violazione, trovare nuovi percorsi per l'indagine e valutare il potenziale impatto. Queste efficienze riducono il tempo dedicato dagli analisti di sicurezza alle indagini.

  • Inizio di ricerche delle minacce proattive: le ricerche delle minacce possono usare le anomalie come contesto per determinare se le query hanno individuato un comportamento sospetto. Quando il comportamento è sospetto, le anomalie puntano anche a percorsi potenziali per un'ulteriore ricerca. Questi indizi forniti dalle anomalie riducono il tempo necessario per rilevare una minaccia e la sua possibilità di causare danni.

Le anomalie possono essere strumenti potenti, ma sono notoriamente poco significative. In genere richiedono un'ottimizzazione molto impegnativa per specifici ambienti o una post-elaborazione complessa. I modelli di anomalia personalizzabili di Microsoft Sentinel sono ottimizzati dal team di data science per offrire valore immediato. Tuttavia, se è necessario ottimizzarli ulteriormente, il processo è semplice e non richiede alcuna conoscenza di Machine Learning. Le soglie e i parametri di molte anomalie possono essere configurati e ottimizzati tramite l'interfaccia utente delle regole di analisi già nota. Le prestazioni delle soglie e dei parametri originali possono essere confrontate alle nuove prestazioni all'interno dell'interfaccia e possono essere ulteriormente ottimizzate in base alle esigenze durante una fase di test o di distribuzione di versioni di anteprima. Quando l'anomalia soddisfa gli obiettivi di prestazioni, l'anomalia con la nuova soglia o i nuovi parametri può essere promossa all'ambiente di produzione facendo clic su un pulsante. Le anomalie personalizzabili di Microsoft Sentinel consentono di ottenere il vantaggio delle anomalie in modo facile.

Usare le regole di analisi di rilevamento anomalie

La funzionalità delle anomalie personalizzabili di Microsoft Sentinel offre modelli di anomalie predefiniti per un valore immediato. Questi modelli di anomalie sono stati sviluppati per essere affidabili usando migliaia di origini dati e milioni di eventi, ma questa funzionalità consente anche di modificare le soglie e i parametri per le anomalie facilmente all'interno dell'interfaccia utente. Le regole delle anomalie devono essere attivate prima della generazione delle anomalie disponibili nella tabella Anomalie nella sezione Log.

  1. Dal menu di spostamento di Microsoft Sentinel selezionare Analisi.

  2. Nella pagina Analisi selezionare la scheda Modelli di regola.

  3. Filtrare l'elenco per i modelli di anomalia:

    • Selezionare il filtro Tipo di regola, quindi l'elenco a discesa visualizzato di seguito.

    • Deselezionare Seleziona tutto, quindi contrassegnare l'anomalia.

    • Se necessario, selezionare la parte superiore dell'elenco a discesa per comprimerlo, quindi selezionare OK.

Attivare le regole delle anomalie

Quando si seleziona uno dei modelli di regola, verranno visualizzate le informazioni seguenti nel riquadro dei dettagli, insieme a un pulsante Crea regola:

  • Descrizione illustra il funzionamento dell'anomalia e i dati necessari.

  • Origini dati indica il tipo dei log che devono essere inseriti per essere analizzati.

  • Tattiche e tecniche sono le tattiche e le tecniche del framework MITRE ATT&CK coperte dall'anomalia.

  • Parametri sono gli attributi configurabili per l'anomalia.

  • Soglia è un valore configurabile che indica il grado in cui un evento deve essere insolito prima che venga creata un'anomalia.

  • Frequenza della regola è l'intervallo di tempo tra i processi di elaborazione dei log che trovano le anomalie.

  • Versione dell'anomalia mostra la versione del modello usata da una regola. Se si vuole modificare la versione usata da una regola già attiva, è necessario ricreare la regola.

  • Ultimo aggiornamento del modello è la data di modifica della versione dell'anomalia.

Per attivare una regola, seguire questa procedura:

  • Scegliere un modello di regola che non sia già contrassegnato come IN USO. Selezionare il pulsante Crea regola per aprire la procedura guidata di creazione della regola.

    La procedura guidata sarà leggermente diversa per ogni modello di regola, ma include tre passaggi o schede: Generale, Configurazione, Revisione e creazione.

    Non è possibile modificare alcun valore nella procedura guidata; è necessario innanzi tutto creare e attivare la regola.

  • Scorrere le schede, attendere il messaggio "Convalida superata" nella scheda Revisione e creazione e selezionare il pulsante Crea.

    È possibile creare una sola regola attiva da ogni modello. Dopo aver completato la procedura guidata, viene creata una regola di anomalia attiva nella scheda Regole attive e il modello (nella scheda Modelli di regola) verrà contrassegnato come IN USO.

Dopo aver attivato la regola di anomalia, le anomalie rilevate verranno archiviate nella tabella Anomalie nella sezione Log dell'area di lavoro di Microsoft Sentinel.

Ogni regola di anomalia ha un periodo di training e le anomalie verranno visualizzate nella tabella solo dopo il periodo di training. Il periodo di training è indicato nella descrizione di ogni regola di anomalia.

Valutare la qualità delle anomalie

È possibile verificare le prestazioni di ogni regola di anomalia esaminando un campione delle anomalie create dalla regola nelle ultime 24 ore.

  • Dal menu di spostamento di Microsoft Sentinel selezionare Analisi.

  • Nella pagina Analisi controllare che sia selezionata la scheda Regole attive.

  • Filtrare l'elenco per le regole delle anomalie (come illustrato sopra).

  • Selezionare la regola da valutare e copiare il nome della regola dalla parte superiore del riquadro dei dettagli a destra.

  • Dal menu di spostamento di Microsoft Sentinel selezionare Log.

  • Se viene visualizzata una raccolta Query nella parte superiore, chiuderla.

  • Selezionare la scheda Tabelle nel riquadro a sinistra della pagina Log.

  • Impostare il filtro Intervallo di tempo su Ultime 24 ore.

  • Copiare la query Kusto riportata di seguito e incollarla nella finestra della query (in "Digitare qui la query..."):

Anomalies 
| where AnomalyTemplateName contains "________________________________"

Paste the rule name you copied above in place of the underscores between the quotation marks.
  • Selezionare Esegui.

Quando si hanno alcuni risultati, è possibile iniziare a valutare la qualità delle anomalie. Se non si hanno risultati, provare ad aumentare l'intervallo di tempo.

Espandere i risultati per ogni anomalia e quindi espandere il campo Motivi anomalia. Nel campo sarà indicato il motivo per cui l'anomalia è stata attivata.

La "ragionevolezza" o l'"utilità" di un'anomalia possono dipendere dalle condizioni dell'ambiente, ma un motivo comune per cui una regola di anomalia produce un numero eccessivo di anomalie è una soglia è troppo bassa.

Ottimizzare le regole delle anomalie

Sebbene le regole delle anomalie siano progettate per garantire immediatamente la massima efficacia, ogni situazione è unica e a volte le regole delle anomalie devono essere ottimizzate.

Poiché non è possibile modificare una regola attiva originale, è prima necessario duplicare una regola di anomalia attiva e quindi personalizzare la copia.

La regola di anomalia originale rimarrà in esecuzione fino a quando non viene disabilitata o eliminata.

Questo comportamento è una caratteristica di progettazione che mira a offrire l'opportunità di confrontare i risultati generati dalla configurazione originale e dalla nuova configurazione. Le regole duplicate sono disabilitate per impostazione predefinita. È possibile creare una sola copia personalizzata di una determinata regola di anomalia. I tentativi di eseguire una seconda copia avranno esito negativo.

  • Per modificare la configurazione di una regola di anomalia, selezionare la regola di anomalia nella scheda Regole attive.

  • Fare clic con il pulsante destro del mouse in qualsiasi punto della riga della regola oppure fare clic sui puntini di sospensione (...) alla fine della riga, quindi selezionare Duplicazione.

  • Il nome della nuova copia della regola avrà il suffisso " - Personalizzata". Per personalizzare la regola, selezionare la regola e selezionare Modifica.

  • La regola viene aperta nella Procedura guidata per la regola di analisi. È possibile modificare i parametri della regola e la soglia. I parametri che possono essere modificati variano per ogni tipo di anomalia e algoritmo.

  • È possibile visualizzare in anteprima i risultati delle modifiche nel riquadro Anteprima risultati. Selezionare un ID anomalia nell'anteprima dei risultati per individuare il motivo per cui il modello di Machine Learning identifica l'anomalia.

  • Abilitare la regola personalizzata per generare i risultati. Poiché alcune delle modifiche potrebbero richiedere una nuova esecuzione della regola, è necessario attendere il completamento della regola e tornare a controllare i risultati nella pagina Log. La regola di anomalia personalizzata viene eseguita in modalità Distribuzione di versioni di anteprima (test) per impostazione predefinita. La regola originale continua a essere eseguita in modalità Produzione per impostazione predefinita.

  • Per confrontare i risultati, tornare alla tabella Anomalie nella pagina Log per valutare la nuova regola, cercare solo le righe con il nome della regola originale e il nome della regola duplicata con il suffisso " - Personalizzata" aggiunto nella colonna AnomalyTemplateName.

    Se i risultati della regola personalizzata sono soddisfacenti, è possibile tornare alla scheda Regole attive, selezionare la regola personalizzata, selezionare il pulsante Modifica e nella scheda Generale passare da Distribuzione di versioni di anteprima a Produzione. La regola originale passerà automaticamente alla modalità Distribuzione di versioni di anteprima poiché non è possibile avere contemporaneamente due versioni della stessa regola nell'ambiente di produzione.