Praca z regułami analizy wykrywania anomalii w Microsoft Sentinel

Ważna

Wykrywanie niestandardowe jest teraz najlepszym sposobem tworzenia nowych reguł w Microsoft Sentinel Microsoft Defender XDR SIEM. Dzięki wykrywaniu niestandardowemu można zmniejszyć koszty pozyskiwania, uzyskać nieograniczoną liczbę wykrywania w czasie rzeczywistym i korzystać z bezproblemowej integracji z Defender XDR danych, funkcji i akcji korygowania z automatycznym mapowaniem jednostek. Aby uzyskać więcej informacji, przeczytaj ten blog.

Funkcja dostosowywalnych anomalii Microsoft Sentinel udostępnia wbudowane szablony anomalii dla natychmiastowej wartości. Te szablony anomalii zostały opracowane tak, aby były niezawodne przy użyciu tysięcy źródeł danych i milionów zdarzeń, ale ta funkcja umożliwia również łatwe zmienianie progów i parametrów anomalii w interfejsie użytkownika. Reguły anomalii są domyślnie włączane lub aktywowane, więc będą generować anomalie. Te anomalie można znaleźć i wykonać względem nich zapytania w tabeli Anomalies (Anomalie ) w sekcji Dzienniki .

Ważna

Po 31 marca 2027 r. Microsoft Sentinel nie będą już obsługiwane w Azure Portal i będą dostępne tylko w portalu Microsoft Defender. Wszyscy klienci korzystający z Microsoft Sentinel w Azure Portal zostaną przekierowane do portalu usługi Defender i będą używać Microsoft Sentinel tylko w portalu usługi Defender.

Jeśli nadal używasz Microsoft Sentinel w Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia płynnego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez Microsoft Defender.

Wyświetlanie dostosowywalnych szablonów reguł anomalii

Reguły anomalii wyświetlane w siatce można teraz znaleźć na karcie Anomalie na stronie Analiza .

1. Dla użytkowników portalu Microsoft Defender wybierz pozycję Microsoft Sentinel > Configuration > Analytics z menu nawigacji Microsoft Defender.

   Dla użytkowników Microsoft Sentinel w Azure Portal wybierz pozycję Analiza z menu nawigacji Microsoft Sentinel.

2. Na stronie Analiza wybierz kartę Anomalie .

3. Aby przefiltrować listę według co najmniej jednego z następujących kryteriów, wybierz pozycję Dodaj filtr i wybierz odpowiednio.

   • Stan — czy reguła jest włączona, czy wyłączona.

   • Taktyka — taktyka struktury MITRE ATT&CK objęta anomalią.

   • Techniki — techniki struktury MITRE ATT&CK objęte anomalią.

   • Źródła danych — typ dzienników, które należy pozyskiwać i analizować w celu zdefiniowania anomalii.

4. Wybierz regułę i wyświetl następujące informacje w okienku szczegółów:

   • Opis objaśnia sposób działania anomalii i wymaganych danych.

   • Taktyka i techniki to taktyka i techniki struktury MITRE ATT&CK objęte anomalią.

   • Parametry są konfigurowalnymi atrybutami anomalii.

   • Próg to konfigurowalna wartość, która wskazuje stopień, w jakim zdarzenie musi być nietypowe przed utworzeniem anomalii.

   • Częstotliwość reguł to czas między zadaniami przetwarzania dzienników, które znajdują anomalie.

   • Stan reguły informuje, czy reguła jest uruchamiana w trybie produkcyjnym , czy tymczasowym po włączeniu.

   • Wersja anomalii pokazuje wersję szablonu używaną przez regułę. Jeśli chcesz zmienić wersję używaną przez regułę, która jest już aktywna, musisz ponownie utworzyć regułę.

Nie można edytować ani usuwać reguł dołączonych do Microsoft Sentinel. Aby dostosować regułę, należy najpierw utworzyć duplikat reguły, a następnie dostosować duplikat. Zobacz pełne instrukcje.

Uwaga

Dlaczego istnieje przycisk Edytuj, jeśli nie można edytować reguły?

Chociaż nie można zmienić konfiguracji wbudowanej reguły anomalii, możesz wykonać dwie czynności:

1. Stan reguły można przełączać między środowiskiem produkcyjnym a lotem.

2. Możesz przesłać opinię do firmy Microsoft na temat środowiska z dostosowywalnymi anomaliami.

Ocena jakości anomalii

Możesz sprawdzić, jak dobrze działa reguła anomalii, przeglądając przykład anomalii utworzonych przez regułę w ciągu ostatnich 24 godzin.

1. Dla użytkowników Microsoft Sentinel w Azure Portal wybierz pozycję Analiza z menu nawigacji Microsoft Sentinel.

   Dla użytkowników portalu Microsoft Defender wybierz pozycję Microsoft Sentinel > Configuration > Analytics z menu nawigacji Microsoft Defender.

2. Na stronie Analiza wybierz kartę Anomalie .

3. Wybierz regułę, którą chcesz ocenić, i skopiuj jej identyfikator w górnej części okienka szczegółów po prawej stronie.

4. Z menu nawigacji Microsoft Sentinel wybierz pozycję Dzienniki.

5. Jeśli w górnej części okna zostanie wyświetlona galeria Zapytań , zamknij ją.

6. Wybierz kartę Tabele w lewym okienku strony Dzienniki .

7. Ustaw filtr Zakres czasu na Wartość Ostatnie 24 godziny.

8. Skopiuj poniższe zapytanie Kusto i wklej je w oknie zapytania (gdzie jest wyświetlany komunikat "Wpisz zapytanie tutaj lub..."):

   Anomalies 
   | where RuleId contains "<RuleId>"
   

   Wklej identyfikator reguły skopiowany powyżej zamiast <RuleId> cudzysłowu.

9. Wybierz pozycję Uruchom.

Gdy masz pewne wyniki, możesz zacząć oceniać jakość anomalii. Jeśli nie masz wyników, spróbuj zwiększyć zakres czasu.

Rozwiń wyniki dla każdej anomalii, a następnie rozwiń pole AnomalyReasons . To powiedzia, dlaczego anomalia wystrzeliła.

"Rozsądność" lub "przydatność" anomalii może zależeć od warunków środowiska, ale częstą przyczyną reguły anomalii w celu wygenerowania zbyt wielu anomalii jest to, że próg jest zbyt niski.

Dostrajanie reguł anomalii

Mimo że reguły anomalii są zaprojektowane pod kątem maksymalnej skuteczności, każda sytuacja jest unikatowa i czasami należy dostroić reguły anomalii.

Ponieważ nie można edytować oryginalnej aktywnej reguły, musisz najpierw zduplikować aktywną regułę anomalii, a następnie dostosować kopię.

Oryginalna reguła anomalii będzie działać do momentu jej wyłączenia lub usunięcia.

Jest to z założenia, aby umożliwić porównanie wyników generowanych przez oryginalną konfigurację i nową. Zduplikowane reguły są domyślnie wyłączone. Możesz utworzyć tylko jedną niestandardową kopię dowolnej reguły anomalii. Próby utworzenia drugiej kopii nie powiedzie się.

1. Aby zmienić konfigurację reguły anomalii, wybierz regułę z listy na karcie Anomalie .

2. Kliknij prawym przyciskiem myszy dowolne miejsce w wierszu reguły lub kliknij prawym przyciskiem myszy wielokropek (...) na końcu wiersza, a następnie wybierz pozycję Duplikuj z menu kontekstowego.

   Na liście pojawi się nowa reguła o następujących cechach:

   • Nazwa reguły będzie taka sama jak oryginalna, a do końca zostanie dołączona wartość " - Customized".
   • Stan reguły będzie wyłączony.
   • Znaczek FLGT pojawi się na początku wiersza, aby wskazać, że reguła jest w trybie flighting.

3. Aby dostosować tę regułę, wybierz regułę i wybierz pozycję Edytuj w okienku szczegółów lub z menu kontekstowego reguły.

4. Reguła zostanie otwarta w kreatorze reguł analizy. W tym miejscu można zmienić parametry reguły i jej progu. Parametry, które można zmienić, różnią się w zależności od typu i algorytmu anomalii.

   Wyniki zmian można wyświetlić w okienku Podgląd wyników. Wybierz identyfikator anomalii w podglądzie wyników, aby zobaczyć, dlaczego model uczenia maszynowego identyfikuje tę anomalię.

5. Włącz dostosowaną regułę do generowania wyników. Niektóre zmiany mogą wymagać ponownego uruchomienia reguły, więc musisz poczekać na jej zakończenie i wrócić, aby sprawdzić wyniki na stronie dzienników. Niestandardowa reguła anomalii jest domyślnie uruchamiana w trybie flighting (testowanie). Oryginalna reguła jest domyślnie uruchamiana w trybie produkcyjnym .

6. Aby porównać wyniki, wróć do tabeli Anomalies w dziennikach , aby ocenić nową regułę tak jak poprzednio, zamiast tego użyj następującego zapytania, aby wyszukać anomalie wygenerowane przez oryginalną regułę, a także zduplikowaną regułę.

   Anomalies 
   | where AnomalyTemplateId contains "<RuleId>"
   

   Wklej identyfikator reguły skopiowany z oryginalnej reguły zamiast <RuleId> między cudzysłowami. Wartość w regułach oryginalnych AnomalyTemplateId i zduplikowanych jest identyczna z RuleId wartością w pierwotnej regule.

Jeśli wyniki dla dostosowanej reguły są zadowalające, możesz wrócić do karty Anomalie, wybrać dostosowaną regułę, wybrać przycisk Edytuj i na karcie Ogólne przełączyć ją z Flighting do Production.If you are satisfied with the results for the customized rule, you can back to the Anomalies tab, select the customized rule, select the Edit button and on the General tab switch it from Flighting to Production( Przelot do produkcja). Oryginalna reguła zostanie automatycznie zmieniona na Flighting, ponieważ nie można jednocześnie mieć dwóch wersji tej samej reguły w środowisku produkcyjnym.

Następne kroki

W tym dokumencie przedstawiono sposób pracy z dostosowywalnymi regułami analizy wykrywania anomalii w Microsoft Sentinel.

• Uzyskaj pewne podstawowe informacje na temat anomalii możliwych do dostosowania.
• Wyświetl dostępne typy anomalii w Microsoft Sentinel.
• Eksplorowanie innych typów reguł analizy.