Praca z regułami analizy wykrywania anomalii w usłudze Microsoft Sentinel
Funkcja anomalii możliwych do dostosowania w usłudze Microsoft Sentinel udostępnia wbudowane szablony anomalii dla natychmiastowej wartości gotowej do użycia. Te szablony anomalii zostały opracowane tak, aby były niezawodne przy użyciu tysięcy źródeł danych i milionów zdarzeń, ale ta funkcja umożliwia również zmianę progów i parametrów anomalii w interfejsie użytkownika. Reguły anomalii są domyślnie włączone lub aktywowane, więc będą generować anomalie gotowe do użycia. Te anomalie można znaleźć i wykonać zapytania w tabeli Anomalie w sekcji Dzienniki .
Ważne
Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Wyświetlanie dostosowywalnych szablonów reguł anomalii
Teraz możesz znaleźć reguły anomalii wyświetlane w siatce na karcie Anomalie na stronie Analiza .
W przypadku użytkowników usługi Microsoft Sentinel w witrynie Azure Portal wybierz pozycję Analiza z menu nawigacji usługi Microsoft Sentinel.
W przypadku użytkowników ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender wybierz pozycję Analiza konfiguracji > usługi Microsoft Sentinel > z menu nawigacji usługi Microsoft Defender.
Na stronie Analiza wybierz kartę Anomalie.
Aby filtrować listę według co najmniej jednego z poniższych kryteriów, wybierz pozycję Dodaj filtr i wybierz odpowiednio.
Stan — czy reguła jest włączona, czy wyłączona.
Taktyka — taktyka struktury MITRE ATT&CK objęta anomalią.
Techniki — techniki struktury MITRE ATT&CK objęte anomalią.
Źródła danych — typ dzienników, które należy pozyskać i przeanalizować, aby anomalia została zdefiniowana.
Wybierz regułę i wyświetl następujące informacje w okienku szczegółów:
Opis wyjaśnia, jak działa anomalia i wymagane dane.
Taktyka i techniki to taktyka i techniki struktury MITRE ATT&CK objęte anomalią.
Parametry to konfigurowalne atrybuty anomalii.
Próg to konfigurowalna wartość wskazująca stopień, w jakim zdarzenie musi być nietypowe przed utworzeniem anomalii.
Częstotliwość reguł to czas między zadaniami przetwarzania dzienników, które znajdują anomalie.
Stan reguły informuje, czy reguła jest uruchamiana w trybie produkcyjnym lub przejściowym po włączeniu.
Wersja anomalii pokazuje wersję szablonu, który jest używany przez regułę. Jeśli chcesz zmienić wersję używaną przez regułę, która jest już aktywna, musisz ponownie utworzyć regułę.
Nie można edytować ani usuwać reguł, które pochodzą z usługi Microsoft Sentinel. Aby dostosować regułę, należy najpierw utworzyć duplikat reguły, a następnie dostosować duplikat. Zapoznaj się z pełnymi instrukcjami.
Uwaga
Dlaczego istnieje przycisk Edytuj, jeśli nie można edytować reguły?
Chociaż nie można zmienić konfiguracji wbudowanej reguły anomalii, możesz wykonać dwie czynności:
Możesz przełączyć stan reguły reguły między środowiskiem produkcyjnym i flighting.
Możesz przesłać opinię do firmy Microsoft na temat Twoich doświadczeń z dostosowywalnymi anomaliami.
Ocena jakości anomalii
Możesz zobaczyć, jak dobrze działa reguła anomalii, przeglądając przykład anomalii utworzonych przez regułę w ciągu ostatnich 24 godzin.
W przypadku użytkowników usługi Microsoft Sentinel w witrynie Azure Portal wybierz pozycję Analiza z menu nawigacji usługi Microsoft Sentinel.
W przypadku użytkowników ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender wybierz pozycję Analiza konfiguracji > usługi Microsoft Sentinel > z menu nawigacji usługi Microsoft Defender.
Na stronie Analiza wybierz kartę Anomalie.
Wybierz regułę, którą chcesz ocenić, i skopiuj jej identyfikator w górnej części okienka szczegółów po prawej stronie.
Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Dzienniki.
Jeśli w górnej części pojawi się galeria zapytań, zamknij ją.
Wybierz kartę Tabele w lewym okienku strony Dzienniki .
Ustaw filtr Zakres czasu na Wartość Ostatnie 24 godziny.
Skopiuj poniższe zapytanie Kusto i wklej je w oknie zapytania (gdzie jest wyświetlany komunikat "Wpisz zapytanie tutaj lub..."):
Anomalies | where RuleId contains "<RuleId>"Wklej skopiowany powyżej identyfikator reguły zamiast
<RuleId>znaków cudzysłowu.Wybierz Uruchom.
Jeśli masz pewne wyniki, możesz zacząć oceniać jakość anomalii. Jeśli nie masz wyników, spróbuj zwiększyć zakres czasu.
Rozwiń wyniki dla każdej anomalii, a następnie rozwiń pole AnomalyReasons . Dzięki temu dowiesz się, dlaczego anomalia została wyzwolona.
"rozsądność" lub "użyteczność" anomalii może zależeć od warunków środowiska, ale częstą przyczyną reguły anomalii w celu wygenerowania zbyt wielu anomalii jest to, że próg jest zbyt niski.
Dostrajanie reguł anomalii
Chociaż reguły anomalii są zaprojektowane pod kątem maksymalnej skuteczności z pudełka, każda sytuacja jest unikatowa, a czasami reguły anomalii muszą być dostrojone.
Ponieważ nie można edytować oryginalnej aktywnej reguły, musisz najpierw zduplikować aktywną regułę anomalii, a następnie dostosować kopię.
Oryginalna reguła anomalii będzie działać, dopóki nie zostanie ona wyłączona lub usunięta.
Jest to zgodnie z projektem, aby umożliwić porównanie wyników wygenerowanych przez oryginalną konfigurację i nową. Zduplikowane reguły są domyślnie wyłączone. Można tworzyć tylko jedną dostosowaną kopię dowolnej reguły anomalii. Próba wykonania drugiej kopii zakończy się niepowodzeniem.
Aby zmienić konfigurację reguły anomalii, wybierz regułę z listy na karcie Anomalie .
Kliknij prawym przyciskiem myszy w dowolnym miejscu w wierszu reguły lub kliknij lewym przyciskiem myszy wielokropek (...) na końcu wiersza, a następnie wybierz polecenie Duplikuj z menu kontekstowego.
Na liście zostanie wyświetlona nowa reguła z następującymi cechami:
- Nazwa reguły będzie taka sama jak oryginalna, z dołączonym do końca ciągiem " - Customized".
- Stan reguły będzie wyłączony.
- Wskaźnik FLGT pojawi się na początku wiersza, aby wskazać, że reguła jest w trybie flighting.
Aby dostosować tę regułę, wybierz regułę i wybierz pozycję Edytuj w okienku szczegółów lub z menu kontekstowego reguły.
Reguła zostanie otwarta w kreatorze reguł analizy. W tym miejscu możesz zmienić parametry reguły i jej próg. Parametry, które można zmienić, różnią się w zależności od typu anomalii i algorytmu.
Możesz wyświetlić podgląd wyników zmian w okienku Podgląd wyników. Wybierz identyfikator anomalii w podglądzie wyników, aby zobaczyć, dlaczego model uczenia maszynowego identyfikuje tę anomalię.
Włącz dostosowaną regułę, aby wygenerować wyniki. Niektóre zmiany mogą wymagać ponownego uruchomienia reguły, więc musisz poczekać na jej zakończenie i wrócić, aby sprawdzić wyniki na stronie dzienników. Niestandardowa reguła anomalii jest domyślnie uruchamiana w trybie Flighting (testowanie). Oryginalna reguła domyślnie działa w trybie produkcyjnym .
Aby porównać wyniki, wróć do tabeli Anomalies w dziennikach , aby ocenić nową regułę tak jak poprzednio, zamiast tego użyj następującego zapytania, aby wyszukać anomalie wygenerowane przez oryginalną regułę, a także zduplikowaną regułę.
Anomalies | where AnomalyTemplateId contains "<RuleId>"Wklej identyfikator reguły skopiowany z oryginalnej reguły zamiast
<RuleId>między cudzysłowami. WartośćAnomalyTemplateIdzarówno w oryginalnych, jak i zduplikowanych regułach jest identyczna z wartościąRuleIdw oryginalnej regule.
Jeśli wyniki dostosowanej reguły są zadowalające, możesz wrócić do karty Anomalie , wybrać dostosowaną regułę, wybrać przycisk Edytuj , a następnie na karcie Ogólne przełączyć ją z Flighting na Production. Oryginalna reguła zostanie automatycznie zmieniona na Flighting , ponieważ nie można jednocześnie mieć dwóch wersji tej samej reguły w środowisku produkcyjnym.
Następne kroki
W tym dokumencie przedstawiono sposób pracy z dostosowywalnymi regułami analizy wykrywania anomalii w usłudze Microsoft Sentinel.
- Uzyskaj podstawowe informacje na temat możliwych do dostosowania anomalii.
- Wyświetl dostępne typy anomalii w usłudze Microsoft Sentinel.
- Zapoznaj się z innymi typami reguł analizy.