Partilhar via


Use anomalias personalizáveis para detetar ameaças no Microsoft Sentinel

O que são anomalias personalizáveis?

Com atacantes e defensores constantemente lutando por vantagem na corrida armamentista de segurança cibernética, os atacantes estão sempre encontrando maneiras de escapar da deteção. Inevitavelmente, porém, os ataques ainda resultam em um comportamento incomum nos sistemas que estão sendo atacados. As anomalias personalizáveis baseadas em aprendizado de máquina do Microsoft Sentinel podem identificar esse comportamento com modelos de regras de análise que podem ser colocados para funcionar imediatamente. Embora as anomalias não indiquem necessariamente comportamentos maliciosos ou mesmo suspeitos por si só, elas podem ser usadas para melhorar as deteções, investigações e caça a ameaças:

  • Sinais adicionais para melhorar a deteção: os analistas de segurança podem usar anomalias para detetar novas ameaças e tornar as deteções existentes mais eficazes. Uma única anomalia não é um forte sinal de comportamento malicioso, mas uma combinação de várias anomalias em diferentes pontos da cadeia de morte envia uma mensagem clara. Os analistas de segurança podem tornar os alertas de deteção existentes mais precisos, condicionando-os à identificação de comportamentos anómalos.

  • Evidências durante as investigações: os analistas de segurança também podem usar anomalias durante as investigações para ajudar a confirmar uma violação, encontrar novos caminhos para investigá-la e avaliar seu impacto potencial. Essas eficiências reduzem o tempo que os analistas de segurança gastam em investigações.

  • O início de caças proativas de ameaças: os caçadores de ameaças podem usar anomalias como contexto para ajudar a determinar se suas consultas revelaram comportamentos suspeitos. Quando o comportamento é suspeito, as anomalias também apontam para caminhos potenciais para novas caçadas. Essas pistas fornecidas pelas anomalias reduzem tanto o tempo para detetar uma ameaça quanto sua chance de causar danos.

As anomalias podem ser ferramentas poderosas, mas são notoriamente barulhentas. Eles normalmente exigem muitos ajustes tediosos para ambientes específicos ou pós-processamento complexo. Os modelos de anomalias personalizáveis são ajustados pela equipe de ciência de dados do Microsoft Sentinel para fornecer valor pronto para uso. Se você precisar ajustá-los ainda mais, o processo é simples e não requer conhecimento de aprendizado de máquina. Os limites e parâmetros para muitas das anomalias podem ser configurados e ajustados por meio da já conhecida interface do usuário da regra de análise. O desempenho do limiar e dos parâmetros originais pode ser comparado com os novos dentro da interface e ajustado conforme necessário durante uma fase de teste ou voo. Uma vez que a anomalia atenda aos objetivos de desempenho, a anomalia com o novo limite ou parâmetros pode ser promovida para produção com o clique de um botão. As anomalias personalizáveis do Microsoft Sentinel permitem que você obtenha o benefício da deteção de anomalias sem o trabalho árduo.

Anomalias da UEBA

Algumas das deteções de anomalias do Microsoft Sentinel vêm de seu mecanismo de Análise de Comportamento de Usuário e Entidade (UEBA), que deteta anomalias com base no comportamento histórico de linha de base de cada entidade em vários ambientes. O comportamento de base de cada entidade é definido de acordo com suas próprias atividades históricas, as de seus pares e as da organização como um todo. As anomalias podem ser desencadeadas pela correlação de diferentes atributos, como tipo de ação, geolocalização, dispositivo, recurso, ISP e muito mais.

Próximos passos

Neste documento, você aprendeu como aproveitar as anomalias personalizáveis no Microsoft Sentinel.