Aanpasbare afwijkingen gebruiken om bedreigingen in Microsoft Sentinel te detecteren

Wat zijn aanpasbare afwijkingen?

Met aanvallers en verdedigers die voortdurend vechten voor voordeel in de cyberbeveiligingswapensrace, vinden aanvallers altijd manieren om detectie te omzeilen. Aanvallen leiden echter nog steeds tot ongebruikelijk gedrag in de systemen die worden aangevallen. De aanpasbare, op machine learning gebaseerde afwijkingen van Microsoft Sentinel kunnen dit gedrag identificeren met analyseregelsjablonen die direct vanuit het vak kunnen worden gebruikt. Hoewel afwijkingen niet noodzakelijkerwijs schadelijk of zelfs verdacht gedrag zelf aangeven, kunnen ze worden gebruikt om detecties, onderzoeken en opsporing van bedreigingen te verbeteren:

• Aanvullende signalen om de detectie te verbeteren: beveiligingsanalisten kunnen afwijkingen gebruiken om nieuwe bedreigingen te detecteren en bestaande detecties effectiever te maken. Een enkele anomalie is geen sterk signaal van schadelijk gedrag, maar een combinatie van verschillende afwijkingen op verschillende punten in de kill chain stuurt een duidelijk bericht. Beveiligingsanalisten kunnen bestaande detectiewaarschuwingen nauwkeuriger maken door ze te conditioneren op de identificatie van afwijkend gedrag.

• Bewijs tijdens onderzoeken: beveiligingsanalisten kunnen ook afwijkingen gebruiken tijdens onderzoeken om een schending te bevestigen, nieuwe paden te vinden voor het onderzoeken en de mogelijke impact ervan te beoordelen. Deze efficiëntie vermindert de tijd die beveiligingsanalisten besteden aan onderzoeken.

• Het begin van proactieve opsporing van bedreigingen: Bedreigingsjagers kunnen afwijkingen gebruiken als context om te bepalen of hun query's verdacht gedrag hebben ontdekt. Wanneer het gedrag verdacht is, wijzen de afwijkingen ook naar mogelijke paden voor verdere opsporing. Deze aanwijzingen van afwijkingen verminderen zowel de tijd om een bedreiging te detecteren als de kans om schade te veroorzaken.

Afwijkingen kunnen krachtige hulpmiddelen zijn, maar ze zijn berucht luidruchtig. Ze vereisen meestal veel te veel te veel afstemming voor specifieke omgevingen of complexe naverwerking. Aanpasbare anomaliesjablonen worden afgestemd door het data science-team van Microsoft Sentinel om out-of-the-box-waarde te bieden. Als u ze verder wilt afstemmen, is het proces eenvoudig en is geen kennis van machine learning vereist. De drempelwaarden en parameters voor veel van de afwijkingen kunnen worden geconfigureerd en afgestemd via de al bekende gebruikersinterface voor analyseregels. De prestaties van de oorspronkelijke drempelwaarde en parameters kunnen worden vergeleken met de nieuwe drempelwaarden in de interface en zo nodig verder worden afgestemd tijdens een testfase of flighting. Zodra de anomalie voldoet aan de prestatiedoelstellingen, kan de anomalie met de nieuwe drempelwaarde of parameters worden gepromoveerd naar productie met een klik op een knop. Met microsoft Sentinel aanpasbare afwijkingen kunt u het voordeel krijgen van anomaliedetectie zonder dat u hard hoeft te werken.

UEBA-afwijkingen

Sommige anomaliedetecties van Microsoft Sentinel zijn afkomstig van de UEBA-engine (User and Entity Behavior Analytics), die afwijkingen detecteert op basis van het historische gedrag van elke entiteit in verschillende omgevingen. Het basislijngedrag van elke entiteit wordt ingesteld op basis van zijn eigen historische activiteiten, die van de peers en die van de organisatie als geheel. Afwijkingen kunnen worden geactiveerd door de correlatie van verschillende kenmerken, zoals actietype, geolocatie, apparaat, resource, ISP en meer.

Volgende stappen

In dit document hebt u geleerd hoe u kunt profiteren van aanpasbare afwijkingen in Microsoft Sentinel.

• Meer informatie over het weergeven, maken, beheren en verfijnen van anomalieregels.
• Meer informatie over UEBA (User and Entity Behavior Analytics).
• Bekijk de lijst met momenteel ondersteunde afwijkingen.
• Meer informatie over andere typen analyseregels.