Compartilhar via


Usar as anomalias personalizáveis para detectar ameaças no Microsoft Sentinel

O que são anomalias personalizáveis?

Com os invasores e os defensores lutando constantemente por vantagens na corrida de segurança cibernética, os invasores estão sempre encontrando maneiras de burlar a detecção. Inevitavelmente, no entanto, os ataques ainda resultam em um comportamento incomum dos sistemas que estão sendo atacados. As anomalias personalizáveis baseadas no aprendizado de máquina do Microsoft Sentinel podem identificar esse comportamento com modelos de regra de análise que podem ser colocados para funcionar imediatamente. Embora as anomalias não indiquem necessariamente um comportamento mal intencionado ou mesmo suspeito por si só, elas podem ser usadas para melhorar aa detecções, investigações e busca por ameaças:

  • Sinais adicionais para melhorar a detecção: os analistas de segurança podem usar as anomalias para detectar novas ameaças e tornar as detecções existentes mais eficazes. Uma única anomalia não é um sinal forte de comportamento mal-intencionado, mas uma combinação de várias anomalias em pontos diferentes na cadeia de eliminação envia uma mensagem clara. Os analistas de segurança podem tornar os alertas de detecção existentes mais precisos, condicionando-os à identificação de comportamento anômalo.

  • Evidência durante investigações: os analistas de segurança também podem usar anomalias durante investigações para ajudar a confirmar uma violação, encontrar novos caminhos para investigá-la e avaliar seu impacto potencial. Essas eficiências reduzem o tempo gasto pelos analistas de segurança em investigações.

  • O início das buscas por ameaças proativas: caçadores de ameaças podem usar anomalias como contexto para ajudar a determinar se suas consultas revelaram comportamento suspeito. Quando o comportamento é suspeito, as anomalias também apontam para potenciais caminhos para mais buscas. Essas pistas fornecidas pelas anomalias reduzem o tempo de detecção de uma ameaça e sua chance de causar danos.

As anomalias podem ser ferramentas poderosas, mas são, sem dúvida, barulhentas. Normalmente, elas exigem muitos ajustes entediantes para ambientes específicos ou um pós-processamento complexo. Modelos de anomalias personalizáveis são ajustados pela equipe de ciência de dados do Microsoft Sentinel, para fornecer um valor pronto para uso. Caso precise ajustá-los ainda mais, o processo será simples e não exigirá nenhum conhecimento do aprendizado de máquina. Os limites e parâmetros para muitas das anomalias podem ser configurados e ajustados por meio da interface do usuário da regra de análise já conhecida. O desempenho do limite original e dos parâmetros pode ser comparado com os novos dentro da interface e ajustados ainda mais conforme necessário durante uma fase de teste ou de voo. Depois que a anomalia atender aos objetivos de desempenho, a anomalia com o novo limite ou parâmetros poderá ser promovida para produção com o clique de um botão. As anomalias personalizáveis do Microsoft Sentinel permitem que você se beneficie da detecção de anomalias, sem o trabalho pesado geralmente envolvido.

Anomalias da UEBA

Algumas das detecções de anomalias do Microsoft Sentinel vêm de seu mecanismo UEBA (Análise de Comportamento de Usuário e Entidade), que detecta anomalias com base no comportamento histórico de linha de base de cada entidade em vários ambientes. O comportamento de linha de base de cada entidade é definido de acordo com as atividades históricas delas, com aquelas dos respectivos pares e com aquelas da organização como um todo. As anomalias podem ser disparadas pela correlação de diferentes atributos, como tipo de ação, localização geográfica, dispositivo, recurso, ISP, entre outros.

Próximas etapas

Neste documento, você aprendeu a fazer uso das anomalias personalizáveis no Microsoft Sentinel.