Использование настраиваемых аномалий для обнаружения угроз в Microsoft Sentinel | Документация Майкрософт

Что такое настраиваемые аномалии

Злоумышленники и защитники постоянно борются за преимущество в гонке вооружений кибербезопасности, поэтому злоумышленники постоянно ищут способы уклониться от обнаружения. Неизбежно, однако, атаки по-прежнему приводят к необычному поведению в системах, нападающих. Настраиваемые аномалии Microsoft Sentinel на основе машинного обучения могут выявлять такое поведение с помощью шаблонов правил аналитики, которые готовы к работе сразу же после поставки. Хотя аномалии необязательно указывают на вредоносное или даже подозрительное поведение, их можно использовать для повышения точности обнаружений, изучения и охоты на угрозы.

• Дополнительные сигналы для улучшения обнаружения. Аналитики безопасности могут использовать аномалии для обнаружения новых угроз и повышения эффективности существующих обнаружений. Одна аномалия не является сильным сигналом вредоносного поведения, но сочетание нескольких аномалий в разных точках в цепочке убийств отправляет четкое сообщение. Аналитики по безопасности могут сделать существующие оповещения обнаружения более точными, обуждая их идентификацией аномального поведения.

• Свидетельство в ходе расследования: аналитики безопасности также могут использовать аномалии во время расследования, чтобы легче было подтвердить нарушение, найти новые пути для их изучения и оценить потенциальное влияние. Эти эффективные преимущества сокращают время, затрачиваемое аналитиками безопасности на расследование.

• Начало упреждающей охоты на угрозы: охотники за угрозами могут использовать аномалии в качестве контекста, чтобы определить, обнаружены ли их запросы подозрительного поведения. Если поведение подозрительное, аномалии также указывают на потенциальные пути для дальнейшей охоты. Эти улики, получаемые с помощью аномалий, сокращают время обнаружения угрозы и снижают риск возникновения ущерба из-за нее.

Аномалии могут быть мощными инструментами, но они, как известно, шумные. Обычно им требуется много мученной настройки для конкретных сред или сложной последующей обработки. Настраиваемые шаблоны аномалий настраиваются командой по обработке и анализу данных Microsoft Sentinel, чтобы предоставить нестандартное значение. Если вам нужно настроить их дальше, процесс прост и не требует знаний об машинном обучении. Пороговые значения и параметры для многих аномалий можно точно настроить с помощью уже знакомого пользовательского интерфейса правил аналитики. Производительность исходного порогового значения и параметров можно сравнивать с новыми элементами в интерфейсе и при необходимости дополнительно настраивать в ходе тестирования или на этапе предоставления доступа. После того как будет установлено, что аномалия соответствует целям производительности, аномалию с новым пороговым значением или параметрами можно будет повысить до рабочей среды, нажав кнопку. Настраиваемые аномалии Microsoft Sentinel позволяют получить преимущество обнаружения аномалий без сложной работы.

Аномалии UEBA

Некоторые из обнаружений аномалий Microsoft Sentinel происходят из подсистемы аналитики поведения пользователей и сущностей (UEBA), которая обнаруживает аномалии на основе базового поведения каждой сущности в различных средах. Базовое поведение каждой сущности устанавливается в соответствии с ее предыдущими действиями, действиями его коллег и организацией в целом. Аномалии могут быть вызваны корреляцией различных атрибутов, таких как тип действия, географическое положение, устройство, ресурс, поставщик услуг Интернета и т. д.

Следующие шаги

В этом документе вы узнали, как использовать настраиваемые аномалии в Microsoft Sentinel.

• Узнайте, как просматривать, создавать, изменять и точно настраивать правила аномалии.
• Сведения о включении аналитики поведения пользователей и сущностей (UEBA).
• См. список поддерживаемых в настоящее время аномалий.
• Сведения о других типах правил аналитики.