Использование правил аналитики для обнаружения аномалий в Microsoft Sentinel

Функция обнаружения аномалий в Microsoft Sentinel предоставляет встроенные шаблоны аномалий. Их можно применить сразу после установки. Эти шаблоны обнаружения аномалий тщательно продуманы для надежного применения к тысячам разных источников данных и миллионам событий. Кроме того, эта функция позволяет легко изменять параметры и пороги для аномалий в пользовательском интерфейсе. Правила обнаружения аномалий включены или активированы по умолчанию, поэтому сообщения об аномалиях будут создаваться автоматически. Эти аномалии можно найти или запросить в таблице Аномалии в разделе Журналы.

Просмотр шаблонов правил для настраиваемых аномалий

Теперь правила аномалий отображаются в сетке на вкладке Аномалии на странице Аналитика. Список можно отфильтровать по следующим критериям:

  • Состояние. Указывает, включено правило или отключено.

  • Тактика - тактика ATT&CK платформы MITRE, охватываемая аномалией.

  • Методы — методы платформы MITRE ATT&CK, охватываемые аномалией.

  • Источники данных. Тип журналов, которые необходимо принять и проанализировать для определения аномалии.

При выборе правила в области сведений отобразится следующая информация:

  • Описание. Сведения об этой аномалии и о том, какие данные для нее требуются.

  • Тактика и методы — это тактика и приемы платформы MITRE ATT&CK, охватываемые аномалией.

  • Параметры. Настраиваемые атрибуты аномалии.

  • Порог. Настраиваемое значение, указывающее степень нетипичности события, при превышении которой создается сообщение об аномалии.

  • Частота правила. Это время между выполнением последовательных заданий обработки журнала для поиска аномалий.

  • Состояние правила. Указывает, выполняется ли правило в режиме Рабочая среда или Фокус-тестирование (промежуточный) при включении.

  • Anomaly version (Версия аномалии). Версия шаблона, которую использует это правило. Если вы хотите изменить версию, уже используемую активным правилом, вам нужно будет повторно создать правило.

Стандартные правила в Microsoft Sentinel нельзя изменить или удалить. Чтобы настроить правило, необходимо сначала создать дубликат правила, а затем настроить этот дубликат. См. полные инструкции.

Примечание.

Почему присутствует кнопка "Изменить", если правило нельзя изменить?

Хотя вы не можете изменить конфигурацию стандартного правила аномалии, вы можете выполнить два действия:

  1. Можно переключать состояние правила между режимами Рабочая среда и Фокус-тестирование.

  2. Можно отправить отзыв в корпорацию Майкрософт о своем опыте работы с настраиваемыми аномалиями.

Оценка качества обнаружения аномалий

Чтобы проверить, насколько хорошо работает правило обнаружения аномалий, просмотрите примеры аномалий, созданных правилом за последние 24 часа.

  1. В меню навигации Microsoft Sentinel выберите Аналитика.

  2. На странице Аналитика перейдите на вкладку Аномалии.

  3. Выберите правило, которое вы решили оценить, и скопируйте его идентификатор в верхней части области сведений справа.

  4. В меню навигации Microsoft Sentinel выберите Журналы.

  5. Если поверх нужного представления откроется коллекция Запросы, закройте ее.

  6. Выберите вкладку Таблицы в левой части страницы Журналы.

  7. В фильтре Диапазон времени выберите значение Последние 24 часа.

  8. Скопируйте приведенный ниже запрос Kusto и вставьте его в окно запроса (где отображается сообщение "Введите запрос или..."):

    Anomalies 
    | where RuleId contains "<RuleId>"
    

    Вставьте скопированный ранее идентификатор правила вместо <RuleId> между кавычками.

  9. Выберите Выполнить.

Если появятся какие-то результаты, можно оценить их качество. Если результатов нет, попробуйте увеличить диапазон времени.

Разверните результаты для каждой аномалии, а затем разверните поле Anomaly Reasons (Причины аномалии). Это позволит определить причину срабатывания средства обнаружения аномалий.

"Обоснованность" или "полезность" аномалии может зависеть от условий среды, но слишком большое количестве аномалий обычно объясняется слишком низким порогом.

Настройка правил обнаружения аномалий

Наши правила обнаружения аномалий тщательно продуманы для достижения максимальной эффективности, но каждая ситуация является уникальной и иногда требует дополнительной настройки правил обнаружения аномалий.

Вы не можете изменить исходное активное правило, поэтому сначала дублируйте активное правило обнаружения аномалий, а затем настройте созданную копию.

Исходное правило обнаружения аномалий будет работать до тех пор, пока вы не отключите или не удалите его.

Такое поведение специально реализовано, чтобы вы могли сравнивать результаты, полученные с исходной и новой конфигурациями. По умолчанию новые копии правил отключены. Вы можете создать только одну копию любого правила обнаружения аномалий для дополнительной настройки. Попытка создать вторую копию завершится ошибкой.

  1. Чтобы изменить конфигурацию правила обнаружения аномалий, выберите нужное правило в списке на вкладке Аномалии.

  2. Щелкните правой кнопкой мыши в любом месте строки правила или щелкните многоточие (…) в конце строки и выберите команду Дублировать в контекстном меню.

    В списке появится новое правило со следующими характеристиками:

    • Имя правила будет таким же, как и исходное, с добавлением в конце слова "- Customized".
    • Для правила будет отображаться состояние Отключено.
    • В начале строки появится значок FLGT указывающий на то, что правило находится в режиме фокус-тестирования.
  3. Чтобы настроить это правило, выберите его и щелкните Изменить в области сведений или в контекстном меню правила.

  4. Правило откроется в мастере правил аналитики. Здесь вы можете изменить параметры правила и порог. Доступные для изменения параметры зависят от алгоритма и типа аномалии.

    Результаты изменений можно изучить в области просмотра результатов. Щелкните элемент Anomaly ID (Идентификатор аномалии) в области просмотра результатов и узнайте, почему модель машинного обучения сочла обнаруженные данные аномалией.

  5. Включите настроенное правило, чтобы получить результаты. Возможно, для некоторых изменений потребуется повторно выполнить правило. В этом случае дождитесь его завершения, и только после этого переходите к проверке результатов на странице журналов. Настроенное правило обнаружения аномалий по умолчанию выполняется в режиме Фокус-тестирование. Исходное правило по умолчанию продолжит выполняться в режиме Рабочая среда.

  6. Чтобы сравнить результаты, вернитесь в таблицу "Аномалии" на странице Журналы и оцените новое правило, как описано выше. Однако для поиска аномалий, созданных исходным или дублированным правилом, используйте следующий запрос.

    Anomalies 
    | where AnomalyTemplateId contains "<RuleId>"
    

    Вставьте скопированный идентификатор из исходного правила вместо <RuleId> между кавычками. Значение AnomalyTemplateId в исходном и дублированном правилах идентично значению RuleId в исходном правиле.

Если вы удовлетворены результатами применения измененного правила, вернитесь на вкладку Аномалии, щелкните измененное правило и нажмите кнопку Изменить. Затем на вкладке Общие переключите режим Фокус-тестирование на Рабочая среда. Исходное правило при этом автоматически перейдет в режим Фокус-тестирование, так как в рабочей среде не могут одновременно использоваться две версии одного и того же правила.

Следующие шаги

Из этого документа вы узнали, как работать с правилами аналитики для обнаружения настраиваемых аномалий в Microsoft Sentinel.