Usar modelos de regras analíticas de deteção de anomalias
Com atacantes e defensores constantemente lutando por vantagem na corrida armamentista de segurança cibernética, os atacantes estão sempre encontrando maneiras de escapar da deteção. Inevitavelmente, porém, os ataques ainda resultarão em um comportamento incomum nos sistemas que estão sendo atacados. As anomalias personalizáveis baseadas em aprendizado de máquina do Microsoft Sentinel podem identificar esse comportamento com modelos de regras de análise que podem ser colocados para funcionar imediatamente. Embora as anomalias não indiquem necessariamente comportamentos maliciosos ou mesmo suspeitos por si só, elas podem ser usadas para melhorar as deteções, investigações e caça a ameaças:
Sinais adicionais para melhorar a deteção: os analistas de segurança podem usar anomalias para detetar novas ameaças e tornar as deteções existentes mais eficazes. Uma única anomalia não é um forte sinal de comportamento malicioso, mas quando combinada com várias anomalias que ocorrem em diferentes pontos da cadeia de morte, o seu efeito cumulativo é muito mais forte. Os analistas de segurança também podem melhorar as deteções existentes, tornando o comportamento incomum identificado por anomalias uma condição para que os alertas sejam disparados.
Evidências durante as investigações: os analistas de segurança também podem usar anomalias durante as investigações para ajudar a confirmar uma violação, encontrar novos caminhos para investigá-la e avaliar seu impacto potencial. Essas eficiências reduzem o tempo que os analistas de segurança gastam em investigações.
O início de caças proativas de ameaças: os caçadores de ameaças podem usar anomalias como contexto para ajudar a determinar se suas consultas revelaram comportamentos suspeitos. Quando o comportamento é suspeito, as anomalias também apontam para caminhos potenciais para novas caçadas. Essas pistas fornecidas pelas anomalias reduzem tanto o tempo para detetar uma ameaça quanto sua chance de causar danos.
As anomalias podem ser ferramentas poderosas, mas são notoriamente barulhentas. Eles normalmente exigem muito ajuste tedioso para ambientes específicos ou pós-processamento complexo. Os modelos de anomalias personalizáveis do Microsoft Sentinel são ajustados por nossa equipe de ciência de dados para fornecer valor pronto para uso, mas se você precisar ajustá-los ainda mais, o processo é simples e não requer conhecimento de aprendizado de máquina. Os limites e parâmetros para muitas das anomalias podem ser configurados e ajustados por meio da já conhecida interface do usuário da regra de análise. O desempenho do limiar e dos parâmetros originais pode ser comparado com os novos dentro da interface e ajustado conforme necessário durante uma fase de teste ou voo. Uma vez que a anomalia atenda aos objetivos de desempenho, a anomalia com o novo limite ou parâmetros pode ser promovida para produção com o clique de um botão. As anomalias personalizáveis do Microsoft Sentinel permitem que você obtenha o benefício das anomalias sem o trabalho árduo.
Trabalhar com regras analíticas de deteção de anomalias
O recurso de anomalias personalizáveis do Microsoft Sentinel fornece modelos de anomalias integrados para valor imediato pronto para uso. Esses modelos de anomalias foram desenvolvidos para serem robustos usando milhares de fontes de dados e milhões de eventos, mas esse recurso também permite que você altere limites e parâmetros para as anomalias facilmente na interface do usuário. As regras de anomalias devem ser ativadas antes de gerar anomalias, que você pode encontrar na tabela Anomalias na seção Logs.
No menu de navegação do Microsoft Sentinel, selecione Analytics.
Na página Análise, selecione a guia Modelos de regra.
Filtre a lista de modelos de anomalia:
Selecione o filtro Tipo de regra e, em seguida, a lista suspensa que aparece abaixo.
Desmarcar Selecionar tudo e, em seguida, marcar Anomalia.
Se necessário, selecione a parte superior da lista suspensa para retirá-la e, em seguida, selecione OK.
Ativar regras de anomalias
Ao selecionar um dos modelos de regra, você verá as seguintes informações no painel de detalhes, juntamente com um botão Criar regra:
Descrição explica como funciona a anomalia e os dados necessários.
As fontes de dados indicam o tipo de logs que precisam ser ingeridos para serem analisados.
Táticas e técnicas são as táticas e técnicas da estrutura MITRE ATT&CK cobertas pela anomalia.
Os parâmetros são os atributos configuráveis para a anomalia.
Limiar é um valor configurável que indica o grau em que um evento deve ser incomum antes que uma anomalia seja criada.
A frequência da regra é o tempo entre os trabalhos de processamento de log que encontram as anomalias.
A versão de anomalia mostra a versão do modelo usada por uma regra. Se quiser alterar a versão usada por uma regra que já está ativa, você deve recriar a regra.
O modelo atualizado pela última vez é a data em que a versão da anomalia foi alterada.
Conclua as seguintes etapas para ativar uma regra:
Escolha um modelo de regra que ainda não esteja rotulado como EM USO. Selecione o botão Criar regra para abrir o assistente de criação de regras.
O assistente para cada modelo de regra será ligeiramente diferente, mas tem três etapas ou guias: Geral, Configuração, Revisão e criação.
Não é possível alterar nenhum dos valores no assistente; Primeiro, você tem que criar e ativar a regra.
Percorra os separadores, aguarde a mensagem "Validação aprovada" no separador Rever e criar e selecione o botão Criar.
Você só pode criar uma regra ativa a partir de cada modelo. Depois de concluir o assistente, uma regra de anomalia ativa é criada na guia Regras ativas e o modelo (na guia Modelos de regra) será marcado como EM USO.
Depois que a regra de anomalias for ativada, as anomalias detetadas serão armazenadas na tabela Anomalias na seção Logs do espaço de trabalho do Microsoft Sentinel.
Cada regra de anomalia tem um período de treinamento, e as anomalias não aparecerão na tabela até depois desse período de treinamento. Pode encontrar o período de formação na descrição de cada regra de anomalia.
Avaliar a qualidade das anomalias
Você pode ver o desempenho de uma regra de anomalia analisando uma amostra das anomalias criadas por uma regra no último período de 24 horas.
No menu de navegação do Microsoft Sentinel, selecione Analytics.
Na página Análise, verifique se a guia Regras ativas está selecionada.
Filtre a lista para regras de anomalia (como acima).
Selecione a regra que deseja avaliar e copie seu nome da parte superior do painel de detalhes à direita.
No menu de navegação do Microsoft Sentinel, selecione Logs.
Se uma galeria de Consultas aparecer na parte superior, feche-a.
Selecione a guia Tabelas no painel esquerdo da página Logs.
Defina o filtro Intervalo de tempo como Últimas 24 horas.
Copie a consulta Kusto abaixo e cole-a na janela de consulta (onde diz "Digite sua consulta aqui ou..."):
Anomalies
| where AnomalyTemplateName contains "________________________________"
Paste the rule name you copied above in place of the underscores between the quotation marks.
- Selecione Executar.
Quando tiver alguns resultados, pode começar a avaliar a qualidade das anomalias. Se não tiver resultados, tente aumentar o intervalo de tempo.
Expanda os resultados para cada anomalia e, em seguida, expanda o campo AnomalyReasons. Isso dirá por que a anomalia disparou.
A "razoabilidade" ou "utilidade" de uma anomalia pode depender das condições do seu ambiente, mas uma razão comum para uma regra de anomalia produzir muitas anomalias é que o limiar é muito baixo.
Sintonizar regras de anomalias
Embora as regras de anomalia sejam projetadas para a máxima eficácia fora da caixa, cada situação é única e, às vezes, as regras de anomalia precisam ser ajustadas.
Como não é possível editar uma regra ativa original, você deve primeiro duplicar uma regra de anomalia ativa e, em seguida, personalizar a cópia.
A regra de anomalia original continuará em execução até que você a desative ou exclua.
Isso é por design, para lhe dar a oportunidade de comparar os resultados gerados pela configuração original e a nova. As regras duplicadas são desativadas por padrão. Você só pode fazer uma cópia personalizada de qualquer regra de anomalia. As tentativas de fazer uma segunda cópia falharão.
Para alterar a configuração de uma regra de anomalia, selecione a regra de anomalia na guia Regras ativas.
Clique com o botão direito do rato em qualquer parte da linha da regra ou clique com o botão esquerdo do rato nas reticências (...) no final da linha e, em seguida, selecione Duplicar.
A nova cópia da regra terá o sufixo " - Personalizado" no nome da regra. Para realmente personalizar esta regra, selecione-a e selecione Editar.
A regra é aberta no assistente de regras do Google Analytics. Aqui você pode alterar os parâmetros da regra e seu limite. Os parâmetros que podem ser alterados variam com cada tipo de anomalia e algoritmo.
Pode pré-visualizar os resultados das suas alterações no painel Pré-visualização de resultados. Selecione um ID de anomalia na visualização dos resultados para ver por que o modelo de ML identifica essa anomalia.
Habilite a regra personalizada para gerar resultados. Algumas de suas alterações podem exigir que a regra seja executada novamente, então você deve esperar que ela termine e voltar para verificar os resultados na página de logs. A regra de anomalia personalizada é executada no modo Flighting (teste) por padrão. A regra original continua a ser executada no modo de produção por padrão.
Para comparar os resultados, volte para a tabela Anomalias em Logs para avaliar a nova regra como antes, procure apenas linhas com o nome da regra original e o nome da regra duplicado com " - Personalizado" anexado a ela na coluna AnomalyTemplateName.
Se estiver satisfeito com os resultados da regra personalizada, você pode voltar para a guia Regras ativas, selecionar a regra personalizada, selecionar o botão Editar e, na guia Geral, alterná-la de Flighting para Produção. A regra original mudará automaticamente para Flighting, uma vez que não é possível ter duas versões da mesma regra em produção ao mesmo tempo.