Udostępnij za pośrednictwem

Uzyskiwanie zaleceń dotyczących dostrajania reguł analizy w usłudze Microsoft Sentinel

  • Artykuł

Ważne

Dostrajanie wykrywania jest obecnie dostępne w wersji zapoznawczej. Zapoznaj się z dodatkowymi warunkami użytkowania dla wersji zapoznawczych platformy Microsoft Azure , aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Dostrajanie reguł wykrywania zagrożeń w rozwiązaniu SIEM może być trudnym, delikatnym i ciągłym procesem równoważenia między maksymalizacją pokrycia wykrywania zagrożeń a minimalizacją wyników fałszywie dodatnich. Usługa Microsoft Sentinel upraszcza i usprawnia ten proces, korzystając z uczenia maszynowego do analizowania miliardów sygnałów ze źródeł danych, a także odpowiedzi na zdarzenia w czasie, deducing wzorców i udostępniając praktyczne rekomendacje i szczegółowe informacje, które mogą znacznie obniżyć obciążenie dostrajania i umożliwić skoncentrowanie się na wykrywaniu i reagowaniu na rzeczywiste zagrożenia.

Dostrajanie zaleceń i szczegółowych informacji jest teraz wbudowane w reguły analizy. W tym artykule wyjaśniono, co pokazują te szczegółowe informacje i jak można zaimplementować zalecenia.

Wyświetlanie szczegółowych informacji o regułach i rekomendacji dotyczących dostrajania

Aby sprawdzić, czy usługa Microsoft Sentinel ma jakiekolwiek zalecenia dotyczące dostrajania dla dowolnych reguł analitycznych, wybierz pozycję Analiza z menu nawigacji usługi Microsoft Sentinel.

Wszystkie reguły z zaleceniami będą wyświetlać ikonę żarówki, jak pokazano poniżej:

Zrzut ekranu przedstawiający listę reguł analizy ze wskaźnikiem rekomendacji.

Edytuj regułę, aby wyświetlić zalecenia wraz z innymi szczegółowymi informacjami. Będą one wyświetlane razem na karcie Ustawianie logiki reguły kreatora reguł analizy poniżej ekranu Symulacja wyników .

Zrzut ekranu przedstawiający dostrajanie szczegółowych informacji w regule analizy.

Typy szczegółowych informacji

Ekran Dostrajanie szczegółowych informacji składa się z kilku okienek, które można przewijać lub szybko przesuwać, z których każdy pokazuje coś innego. Przedział czasu — 14 dni — dla którego wyświetlane są szczegółowe informacje, jest wyświetlany w górnej części ramki.

  1. W pierwszym okienku szczegółowych informacji są wyświetlane pewne informacje statystyczne — średnia liczba alertów na zdarzenie, liczba otwartych zdarzeń i liczba zamkniętych zdarzeń pogrupowanych według klasyfikacji (wartość true/false positive). Te szczegółowe informacje ułatwiają ustalenie obciążenia tej reguły i zrozumienie, czy jest wymagane dostrajanie — na przykład w przypadku konieczności dostosowania ustawień grupowania.

    Zrzut ekranu przedstawiający szczegółowe informacje o wydajności reguł.

    Ta analiza jest wynikiem zapytania usługi Log Analytics. Wybranie pozycji Średnie alerty na zdarzenie spowoduje przejście do zapytania w usłudze Log Analytics, które wygenerowało szczegółowe informacje. Wybranie pozycji Otwarte zdarzenia spowoduje przejście do bloku Incydenty .

  2. Drugie okienko szczegółowych informacji zaleca wykluczenie listy jednostek . Te jednostki są wysoce skorelowane ze zdarzeniami, które zostały zamknięte i sklasyfikowane jako fałszywie dodatnie. Wybierz znak plus obok każdej wymienionej jednostki, aby wykluczyć ją z zapytania w przyszłych wykonaniach tej reguły.

    Zrzut ekranu przedstawiający zalecenie dotyczące wykluczania jednostek.

    To zalecenie jest tworzone przez zaawansowane modele nauki o danych i uczenia maszynowego firmy Microsoft. Włączenie tego okienka do wyświetlania szczegółowych informacji o dostrajaniu zależy od wyświetlania żadnych zaleceń.

  3. W trzecim okienku szczegółowych informacji są wyświetlane cztery najczęściej wyświetlane zamapowane jednostki we wszystkich alertach generowanych przez tę regułę. Aby te szczegółowe informacje wygenerowały wyniki, należy skonfigurować mapowanie jednostek. Te szczegółowe informacje mogą pomóc w zapoznaniu się z wszelkimi jednostkami, które "hogging the spotlight" i zwracają uwagę z dala od innych. Możesz chcieć obsługiwać te jednostki oddzielnie w innej regule lub zdecydować, że są to wyniki fałszywie dodatnie lub inny szum, i wykluczyć je z reguły.

    Zrzut ekranu przedstawiający szczegółowe informacje o najważniejszych jednostkach.

    Ta analiza jest wynikiem zapytania usługi Log Analytics. Wybranie dowolnej jednostki spowoduje przejście do zapytania w usłudze Log Analytics, które wygenerowało szczegółowe informacje.

Następne kroki

Aby uzyskać więcej informacji, zobacz: