Поделиться через

Получение рекомендаций по тонкой настройке правил аналитики в Microsoft Sentinel

Это важно

Пользовательское обнаружение теперь является лучшим способом создания новых правил в microsoft Sentinel SIEM Microsoft Defender XDR. Благодаря пользовательским обнаружениям можно сократить затраты на прием данных, получить неограниченное количество обнаружения в режиме реального времени и воспользоваться преимуществами простой интеграции с Defender XDR данными, функциями и действиями по исправлению с помощью автоматического сопоставления сущностей. Дополнительные сведения см. в этом блоге.

Это важно

Настройка обнаружения в настоящее время доступна в предварительной версии. Дополнительные условия использования для предварительных версий Microsoft Azure см. в дополнительных юридических терминах, применимых к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.

Правила точного обнаружения угроз в SIEM могут быть сложными, деликатными и непрерывными процессами балансировки между максимизированием охвата угроз и минимизацией ложноположительных показателей. Microsoft Sentinel упрощает и упрощает этот процесс с помощью машинного обучения для анализа миллиардов сигналов из источников данных, а также реагирования на инциденты с течением времени, дедукции шаблонов и предоставления полезных рекомендаций и аналитических сведений, которые могут значительно снизить затраты на настройку и позволит сосредоточиться на обнаружении и реагировании на фактические угрозы.

Рекомендации по настройке и аналитические сведения теперь встроены в правила аналитики. В этой статье описано, что показывают эти аналитические сведения и как можно реализовать рекомендации.

Просмотр аналитических сведений о правилах и рекомендаций по настройке

Чтобы узнать, есть ли у Microsoft Sentinel рекомендации по настройке для любого из правил аналитики, выберите "Аналитика " в меню навигации Microsoft Sentinel.

Все правила с рекомендациями будут отображать значок лампочки, как показано ниже:

Снимок экрана: список правил аналитики с индикатором рекомендаций.

Измените правило, чтобы просмотреть рекомендации вместе с другими аналитическими сведениями. Они будут отображаться вместе на вкладке Установить логику правила мастера аналитических правил под отображением моделирования результатов.

Снимок экрана: аналитические данные по настройке в правилах аналитики.

Типы аналитических сведений

Отображение аналитики настройки состоит из нескольких панелей, которые можно прокрутить или провести пальцем, каждый из которых показывает вам что-то другое. Интервал времени — 14 дней, для которого отображаются аналитические сведения, отображаются в верхней части кадра.

  1. В первой области аналитических сведений отображаются статистические сведения — среднее количество оповещений на инцидент, количество открытых инцидентов и количество закрытых инцидентов, сгруппированных по классификации (положительный/ложный). Это представление помогает определить нагрузку на это правило и понять, требуется ли какая-либо настройка, например, если необходимо настроить параметры группировки.

    Скриншот с данными об эффективности правил.

    Это представление является результатом запроса Log Analytics. Выбор средних оповещений на инцидент приведет к запросу в Log Analytics, который создал аналитические сведения. При выборе открытых инцидентов вы перейдите в колонку "Инциденты ".

  2. Вторая область аналитических сведений рекомендует вам список сущностей для исключения. Эти сущности имеют высокую корреляцию с инцидентами, закрытыми и классифицированными как ложно положительные. Выберите знак плюса рядом с каждой указанной сущностью, чтобы исключить ее из запроса в будущих выполнениях этого правила.

    Снимок экрана: рекомендация по исключению сущностей.

    Эта рекомендация создается передовыми моделями обработки и машинного обучения Майкрософт. Включение этой области в отображение аналитики настройки зависит от того, какие рекомендации будут отображаться.

  3. В третьей области аналитических сведений показаны четыре наиболее часто встречающихся сопоставленных сущности во всех оповещениях, созданных этим правилом. Сопоставление сущностей должно быть настроено в правиле для того, чтобы обеспечить получение результатов. Это представление может помочь вам осознать любые сущности, которые "перехватывают внимание" и отвлекают его от других сущностей. Может потребоваться обрабатывать эти сущности отдельно в другом правиле, или вы можете решить, что они являются ложными срабатываниями или иным образом шумом, и исключить их из правила.

    Снимок экрана: основные сведения о сущностях.

    Это представление является результатом запроса Log Analytics. Выбор любого из сущностей приведет вас к запросу в Log Analytics, который создал аналитические сведения.

Дальнейшие шаги

Дополнительные сведения можно найти здесь

  • Last updated on