Wykrywanie zagrożeń w usłudze Microsoft Sentinel przy użyciu dostosowywalnych anomalii

Co to są dostosowywalne anomalie?

Atakujący i obrońcy nieustannie walczą o przewagę w wyścigu zbrojeń cyberbezpieczeństwa, a atakujący zawsze znajdują sposoby unikania wykrywania. Nieuchronnie jednak ataki nadal powodują nietypowe zachowanie w atakowanych systemach. Dostosowywalne anomalie oparte na uczeniu maszynowym w usłudze Microsoft Sentinel mogą identyfikować to zachowanie za pomocą szablonów reguł analitycznych, które można umieścić w odpowiednim czasie. Chociaż anomalie nie muszą wskazywać złośliwego lub nawet podejrzanego zachowania samodzielnie, mogą one służyć do ulepszania wykrywania, badania i wyszukiwania zagrożeń:

• Dodatkowe sygnały umożliwiające poprawę wykrywania: analitycy zabezpieczeń mogą używać anomalii do wykrywania nowych zagrożeń i zwiększyć skuteczność istniejących wykryć. Pojedyncza anomalia nie jest silnym sygnałem złośliwego zachowania, ale połączenie kilku anomalii w różnych punktach łańcucha zabić wysyła jasny komunikat. Analitycy zabezpieczeń mogą zwiększyć dokładność istniejących alertów wykrywania, konfigurując je w celu identyfikacji nietypowego zachowania.

• Dowody podczas badań: analitycy zabezpieczeń mogą również używać anomalii podczas badania, aby pomóc potwierdzić naruszenie, znaleźć nowe ścieżki do jego zbadania i ocenić jego potencjalny wpływ. Te efektywność skracają czas, jaki analitycy zabezpieczeń poświęcają na badania.

• Początek proaktywnych polowań na zagrożenia: Łowcy zagrożeń mogą używać anomalii jako kontekstu, aby określić, czy ich zapytania odkryły podejrzane zachowanie. Gdy zachowanie jest podejrzane, anomalie wskazują również potencjalne ścieżki do dalszego wyszukiwania zagrożeń. Te wskazówki dostarczane przez anomalie skracają zarówno czas wykrywania zagrożenia, jak i jego szansę na szkodę.

Anomalie mogą być zaawansowanymi narzędziami, ale są notorycznie hałaśliwe. Zazwyczaj wymagają dużo żmudnego dostrajania dla określonych środowisk lub złożonego przetwarzania końcowego. Dostosowywalne szablony anomalii są dostrojone przez zespół ds. nauki o danych usługi Microsoft Sentinel w celu zapewnienia gotowej wartości. Jeśli chcesz je dostroić dalej, proces jest prosty i nie wymaga znajomości uczenia maszynowego. Progi i parametry dla wielu anomalii można skonfigurować i dostosować za pomocą już znanego interfejsu użytkownika reguły analizy. Wydajność oryginalnego progu i parametrów można porównać z nowymi w interfejsie i dostroić w razie potrzeby podczas testowania lub testowania, fazy lotu. Gdy anomalia spełnia cele wydajności, anomalia z nowym progiem lub parametrami można awansować do środowiska produkcyjnego za pomocą kliknięcia przycisku. Możliwość dostosowywania anomalii w usłudze Microsoft Sentinel umożliwia uzyskanie korzyści z wykrywania anomalii bez ciężkiej pracy.

Anomalie UEBA

Niektóre wykrycia anomalii w usłudze Microsoft Sentinel pochodzą z aparatu analizy zachowań użytkowników i jednostek (UEBA), który wykrywa anomalie w oparciu o podstawowe zachowanie historyczne każdej jednostki w różnych środowiskach. Zachowanie punktu odniesienia każdej jednostki jest ustawiane zgodnie z własnymi działaniami historycznymi, ich elementami równorzędnymi i całościami organizacji. Anomalie mogą być wyzwalane przez korelację różnych atrybutów, takich jak typ akcji, lokalizacja geograficzna, urządzenie, zasób, usługodawca internetowym i inne.

Następne kroki

W tym dokumencie przedstawiono sposób korzystania z możliwych do dostosowania anomalii w usłudze Microsoft Sentinel.

• Dowiedz się, jak wyświetlać , tworzyć i dostosowywać reguły anomalii oraz zarządzać nimi.
• Dowiedz się więcej o analizie zachowań użytkowników i jednostek (UEBA).
• Zobacz listę aktualnie obsługiwanych anomalii.
• Dowiedz się więcej o innych typach reguł analizy.