Delen via

Aanbevelingen voor het fijn afstemmen van uw analyseregels in Microsoft Sentinel

Belangrijk

Aangepaste detecties is nu de beste manier om nieuwe regels te maken in Microsoft Sentinel SIEM-Microsoft Defender XDR. Met aangepaste detecties kunt u de opnamekosten verlagen, onbeperkte realtime detecties krijgen en profiteren van naadloze integratie met Defender XDR gegevens, functies en herstelacties met automatische entiteitstoewijzing. Lees dit blog voor meer informatie.

Belangrijk

Detectieafstemming is momenteel beschikbaar in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.

Het nauwkeurig afstemmen van regels voor bedreigingsdetectie in uw SIEM kan een moeilijk, gevoelig en continu proces van balans zijn tussen het maximaliseren van uw dekking voor bedreigingsdetectie en het minimaliseren van fout-positieve percentages. Microsoft Sentinel vereenvoudigt en stroomlijnt dit proces door machine learning te gebruiken om miljarden signalen uit uw gegevensbronnen te analyseren, evenals uw reacties op incidenten in de loop van de tijd, patronen te afleiden en u te voorzien van bruikbare aanbevelingen en inzichten die uw afstemmingsoverhead aanzienlijk kunnen verlagen en u kunt zich richten op het detecteren en reageren op werkelijke bedreigingen.

Aanbevelingen en inzichten voor optimalisatie zijn nu ingebouwd in uw analyse-regels. In dit artikel wordt uitgelegd wat deze inzichten laten zien en hoe u de aanbevelingen kunt implementeren.

Regelinzichten en aanbevelingen voor afstemmen weergeven

Als u wilt zien of Microsoft Sentinel aanbevelingen heeft voor het afstemmen van uw analyseregels, selecteert u Analytics in het navigatiemenu van Microsoft Sentinel.

Alle regels met aanbevelingen geven een gloeilamppictogram weer, zoals hier wordt weergegeven:

Schermopname van een lijst met analyseregels met aanbevelingsindicator.

Bewerk de regel om de aanbevelingen samen met de andere inzichten weer te geven. Ze worden samen weergegeven op het tabblad Regellogica instellen van de wizard Analyseregels, onder de weergave resultatensimulatie .

Schermopname van het afstemmen van inzichten in analyseregel.

Typen inzichten

De weergave Van inzichten afstemmen bestaat uit verschillende deelvensters die u kunt schuiven of swipen, elk met iets anders. Het tijdsbestek - 14 dagen - waarvoor de inzichten worden weergegeven, wordt boven aan het frame weergegeven.

  1. In het eerste inzichtvenster worden enkele statistische gegevens weergegeven: het gemiddelde aantal waarschuwingen per incident, het aantal geopende incidenten en het aantal gesloten incidenten, gegroepeerd op classificatie (waar/fout-positief). Dit inzicht helpt u om de belasting op deze regel vast te stellen en te begrijpen of er aanpassingen nodig zijn, bijvoorbeeld als de groeperingsinstellingen moeten worden aangepast.

    Schermopname van inzicht in regelefficiëntie.

    Dit inzicht is het resultaat van een Log Analytics-query. Als u Gemiddeld aantal waarschuwingen per incident selecteert, gaat u naar de query in Log Analytics die het inzicht heeft geproduceerd. Als u Open-incidenten selecteert, wordt u naar de Incidents blade geleid.

  2. In het tweede inzicht-deelvenster wordt aanbevolen om een lijst met entiteiten uit te sluiten. Deze entiteiten zijn sterk gecorreleerd met incidenten die u hebt gesloten en geclassificeerd als vals positief. Selecteer het plusteken naast elke vermelde entiteit om deze uit te sluiten van de query in toekomstige uitvoeringen van deze regel.

    Schermopname van aanbeveling voor entiteitsuitsluiting.

    Deze aanbeveling wordt geproduceerd door de geavanceerde data science- en machine learning-modellen van Microsoft. De opname van dit deelvenster in de weergave Inzichten afstemmen is afhankelijk van of er aanbevelingen zijn om weer te geven.

  3. In het derde inzichtvenster ziet u de vier meest voorkomende toegewezen entiteiten in alle waarschuwingen die door deze regel worden geproduceerd. Entiteitstoewijzing moet worden geconfigureerd in de regel voor dit inzicht resultaten kan opleveren. Dit inzicht kan u helpen zich bewust te worden van alle entiteiten die 'de spotlight opslopen' en de aandacht weg te trekken van andere entiteiten. U kunt deze entiteiten afzonderlijk afhandelen in een andere regel, of u kunt besluiten dat ze false positives of anderszins ruis zijn en deze uit de regel verwijderen.

    Schermopname van inzicht in de belangrijkste entiteiten.

    Dit inzicht is het resultaat van een Log Analytics-query. Als u een van de entiteiten selecteert, gaat u naar de query in Log Analytics die het inzicht heeft geproduceerd.

Volgende stappen

Voor meer informatie, zie:

  • Last updated on