Korzystanie z szablonów reguł analitycznych wykrywania anomalii

  • 3 min

Atakujący i obrońcy nieustannie walczą o przewagę w wyścigu zbrojeń cyberbezpieczeństwa, a atakujący zawsze znajdują sposoby unikania wykrywania. Nieuchronnie jednak ataki będą nadal powodować nietypowe zachowanie w atakowanych systemach. Dostosowywalne anomalie oparte na uczeniu maszynowym w usłudze Microsoft Sentinel mogą identyfikować to zachowanie za pomocą szablonów reguł analitycznych, które można umieścić w odpowiednim czasie. Chociaż anomalie nie muszą wskazywać złośliwego lub nawet podejrzanego zachowania samodzielnie, mogą one służyć do ulepszania wykrywania, badania i wyszukiwania zagrożeń:

  • Dodatkowe sygnały umożliwiające poprawę wykrywania: analitycy zabezpieczeń mogą używać anomalii do wykrywania nowych zagrożeń i zwiększyć skuteczność istniejących wykryć. Pojedyncza anomalia nie jest silnym sygnałem złośliwego zachowania, ale w połączeniu z kilkoma anomaliami, które występują w różnych punktach łańcucha zabijania, ich skumulowany efekt jest znacznie silniejszy. Analitycy zabezpieczeń mogą również ulepszyć istniejące wykrycia, tworząc nietypowe zachowanie zidentyfikowane przez anomalie warunek wyzwalania alertów.

  • Dowody podczas badań: analitycy zabezpieczeń mogą również używać anomalii podczas badania, aby pomóc potwierdzić naruszenie, znaleźć nowe ścieżki do jego zbadania i ocenić jego potencjalny wpływ. Te efektywność skracają czas, jaki analitycy zabezpieczeń poświęcają na badania.

  • Początek proaktywnych polowań na zagrożenia: łowcy zagrożeń mogą używać anomalii jako kontekstu, aby ułatwić ustalenie, czy ich zapytania odkryły podejrzane zachowanie. Gdy zachowanie jest podejrzane, anomalie wskazują również potencjalne ścieżki do dalszego wyszukiwania zagrożeń. Te wskazówki dostarczane przez anomalie skracają zarówno czas wykrywania zagrożenia, jak i jego szansę na szkodę.

Anomalie mogą być zaawansowanymi narzędziami, ale są notorycznie hałaśliwe. Zazwyczaj wymagają dużo żmudnego dostrajania dla określonych środowisk lub złożonego przetwarzania końcowego. Szablony anomalii z możliwością dostosowywania w usłudze Microsoft Sentinel są dostrojone przez nasz zespół ds. nauki o danych w celu udostępnienia gotowej wartości, ale jeśli trzeba je jeszcze bardziej dostosować, proces jest prosty i nie wymaga znajomości uczenia maszynowego. Progi i parametry dla wielu anomalii można skonfigurować i dostosować za pomocą już znanego interfejsu użytkownika reguły analizy. Wydajność oryginalnego progu i parametrów można porównać z nowymi w interfejsie i dostroić w razie potrzeby podczas testowania lub testowania, fazy lotu. Gdy anomalia spełnia cele wydajności, anomalia z nowym progiem lub parametrami można awansować do środowiska produkcyjnego za pomocą kliknięcia przycisku. Możliwość dostosowywania anomalii w usłudze Microsoft Sentinel umożliwia uzyskanie korzyści z anomalii bez ciężkiej pracy.

Praca z regułami analizy wykrywania anomalii

Funkcja anomalii możliwych do dostosowania w usłudze Microsoft Sentinel udostępnia wbudowane szablony anomalii dla natychmiastowej wartości gotowej do użycia. Te szablony anomalii zostały opracowane tak, aby były niezawodne przy użyciu tysięcy źródeł danych i milionów zdarzeń, ale ta funkcja umożliwia również zmianę progów i parametrów anomalii w interfejsie użytkownika. Reguły anomalii muszą zostać aktywowane przed wygenerowaniem anomalii, które można znaleźć w tabeli Anomalie w sekcji Dzienniki.

  1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.

  2. Na stronie Analiza wybierz kartę Szablony reguł.

  3. Filtruj listę szablonów anomalii:

    • Wybierz filtr Typ reguły, a następnie listę rozwijaną wyświetlaną poniżej.

    • Usuń zaznaczenie pozycji Zaznacz wszystko, a następnie oznacz pozycję Anomaly.

    • W razie potrzeby wybierz górną część listy rozwijanej, aby ją wycofać, a następnie wybierz przycisk OK.

Aktywowanie reguł anomalii

Po wybraniu jednego z szablonów reguł w okienku szczegółów zobaczysz następujące informacje wraz z przyciskiem Utwórz regułę:

  • Opis wyjaśnia, jak działa anomalia i wymagane dane.

  • Źródła danych wskazują typ dzienników, które należy pozyskać w celu przeanalizowania.

  • Taktyka i techniki to taktyka i techniki struktury MITRE ATT&CK objęte anomalią.

  • Parametry to konfigurowalne atrybuty anomalii.

  • Próg to konfigurowalna wartość wskazująca stopień, w jakim zdarzenie musi być nietypowe przed utworzeniem anomalii.

  • Częstotliwość reguł to czas między zadaniami przetwarzania dzienników, które znajdują anomalie.

  • Wersja anomalii pokazuje wersję szablonu, który jest używany przez regułę. Jeśli chcesz zmienić wersję używaną przez regułę, która jest już aktywna, musisz ponownie utworzyć regułę.

  • Ostatnia aktualizacja szablonu to data zmiany wersji anomalii.

Wykonaj następujące kroki, aby aktywować regułę:

  • Wybierz szablon reguły, który nie jest jeszcze oznaczony etykietą W UŻYCIU. Wybierz przycisk Utwórz regułę, aby otworzyć kreatora tworzenia reguły.

    Kreator dla każdego szablonu reguły będzie nieco inny, ale ma trzy kroki lub karty: Ogólne, Konfiguracja, Przeglądanie i tworzenie.

    Nie można zmienić żadnych wartości w kreatorze; Najpierw musisz utworzyć i aktywować regułę.

  • Przejrzyj karty, poczekaj na komunikat "Weryfikacja przekazana" na karcie Przeglądanie i tworzenie, a następnie wybierz przycisk Utwórz.

    Z każdego szablonu można utworzyć tylko jedną aktywną regułę. Po zakończeniu pracy kreatora aktywna reguła anomalii zostanie utworzona na karcie Aktywne reguły, a szablon (na karcie Szablony reguł) zostanie oznaczony jako UŻYWANY.

Po aktywowaniu reguły anomalii wykryte anomalie będą przechowywane w tabeli Anomalie w sekcji Dzienniki obszaru roboczego usługi Microsoft Sentinel.

Każda reguła anomalii ma okres trenowania, a anomalie nie będą wyświetlane w tabeli dopiero po upływie tego okresu trenowania. Okres trenowania można znaleźć w opisie każdej reguły anomalii.

Ocena jakości anomalii

Możesz zobaczyć, jak dobrze działa reguła anomalii, przeglądając przykład anomalii utworzonych przez regułę w ciągu ostatnich 24 godzin.

  • Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.

  • Na stronie Analiza sprawdź, czy jest zaznaczona karta Aktywne reguły.

  • Filtruj listę reguł anomalii (jak powyżej).

  • Wybierz regułę, którą chcesz ocenić, i skopiuj jej nazwę w górnej części okienka szczegółów po prawej stronie.

  • Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Dzienniki.

  • Jeśli w górnej części pojawi się galeria zapytań, zamknij ją.

  • Wybierz kartę Tabele w lewym okienku strony Dzienniki.

  • Ustaw filtr Zakres czasu na Wartość Ostatnie 24 godziny.

  • Skopiuj poniższe zapytanie Kusto i wklej je w oknie zapytania (gdzie jest wyświetlany komunikat "Wpisz zapytanie tutaj lub..."):

Anomalies 
| where AnomalyTemplateName contains "________________________________"

Paste the rule name you copied above in place of the underscores between the quotation marks.
  • Wybierz Uruchom.

Jeśli masz pewne wyniki, możesz zacząć oceniać jakość anomalii. Jeśli nie masz wyników, spróbuj zwiększyć zakres czasu.

Rozwiń wyniki dla każdej anomalii, a następnie rozwiń pole AnomalyReasons. Dzięki temu dowiesz się, dlaczego anomalia została wyzwolona.

"rozsądność" lub "użyteczność" anomalii może zależeć od warunków środowiska, ale częstą przyczyną reguły anomalii w celu wygenerowania zbyt wielu anomalii jest to, że próg jest zbyt niski.

Dostrajanie reguł anomalii

Chociaż reguły anomalii są zaprojektowane pod kątem maksymalnej skuteczności gotowej do użycia, każda sytuacja jest unikatowa, a czasami reguły anomalii muszą być dostrojone.

Ponieważ nie można edytować oryginalnej aktywnej reguły, musisz najpierw zduplikować aktywną regułę anomalii, a następnie dostosować kopię.

Oryginalna reguła anomalii będzie działać, dopóki nie zostanie ona wyłączona lub usunięta.

Jest to zgodnie z projektem, aby umożliwić porównanie wyników wygenerowanych przez oryginalną konfigurację i nową. Zduplikowane reguły są domyślnie wyłączone. Można tworzyć tylko jedną dostosowaną kopię dowolnej reguły anomalii. Próba wykonania drugiej kopii zakończy się niepowodzeniem.

  • Aby zmienić konfigurację reguły anomalii, wybierz regułę anomalii na karcie Aktywne reguły.

  • Kliknij prawym przyciskiem myszy w dowolnym miejscu w wierszu reguły lub kliknij lewym przyciskiem myszy wielokropek (...) na końcu wiersza, a następnie wybierz pozycję Duplikuj.

  • Nowa kopia reguły będzie mieć sufiks " - Customized" w nazwie reguły. Aby rzeczywiście dostosować tę regułę, wybierz tę regułę i wybierz pozycję Edytuj.

  • Reguła zostanie otwarta w kreatorze reguł analizy. W tym miejscu możesz zmienić parametry reguły i jej próg. Parametry, które można zmienić, różnią się w zależności od typu anomalii i algorytmu.

  • Możesz wyświetlić podgląd wyników zmian w okienku Podgląd wyników. Wybierz identyfikator anomalii w podglądzie wyników, aby zobaczyć, dlaczego model uczenia maszynowego identyfikuje tę anomalię.

  • Włącz dostosowaną regułę, aby wygenerować wyniki. Niektóre zmiany mogą wymagać ponownego uruchomienia reguły, więc musisz poczekać na jej zakończenie i wrócić, aby sprawdzić wyniki na stronie dzienników. Niestandardowa reguła anomalii jest domyślnie uruchamiana w trybie Flighting (testowanie). Oryginalna reguła domyślnie działa w trybie produkcyjnym.

  • Aby porównać wyniki, wróć do tabeli Anomalies w dziennikach, aby ocenić nową regułę tak jak poprzednio, poszukaj wierszy z oryginalną nazwą reguły i zduplikowaną nazwą reguły z wartością " - Customized" dołącz do niej w kolumnie AnomalyTemplateName.

    Jeśli wyniki dostosowanej reguły są zadowalające, możesz wrócić do karty Aktywne reguły, wybrać dostosowaną regułę, wybrać przycisk Edytuj, a następnie na karcie Ogólne przełączyć ją z flighting do produkcyjnego. Oryginalna reguła zostanie automatycznie zmieniona na Flighting, ponieważ nie można jednocześnie mieć dwóch wersji tej samej reguły w środowisku produkcyjnym.