Använda anpassningsbara avvikelser för att identifiera hot i Microsoft Sentinel

Vad är anpassningsbara avvikelser?

Med angripare och försvarare som ständigt kämpar för fördelar i cybersäkerhetens kapprustning hittar angripare alltid sätt att undvika upptäckt. Oundvikligen resulterar dock attacker fortfarande i ovanligt beteende i de system som attackeras. Microsoft Sentinels anpassningsbara, maskininlärningsbaserade avvikelser kan identifiera det här beteendet med analysregelmallar som kan användas direkt. Avvikelser indikerar inte nödvändigtvis skadligt eller till och med misstänkt beteende på sig själva, men de kan användas för att förbättra identifieringar, undersökningar och hotjakt:

• Ytterligare signaler för att förbättra identifieringen: Säkerhetsanalytiker kan använda avvikelser för att identifiera nya hot och göra befintliga identifieringar effektivare. En enskild avvikelse är inte en stark signal om skadligt beteende, men en kombination av flera avvikelser vid olika tidpunkter i killkedjan sänder ett tydligt budskap. Säkerhetsanalytiker kan göra befintliga identifieringsaviseringar mer exakta genom att villkora dem för identifiering av avvikande beteende.

• Bevis under undersökningar: Säkerhetsanalytiker kan också använda avvikelser under undersökningar för att bekräfta ett intrång, hitta nya vägar för att undersöka det och utvärdera dess potentiella inverkan. Dessa effektivitetsvinster minskar den tid som säkerhetsanalytiker lägger på utredningar.

• Början på proaktiva hotjakter: Hotjägare kan använda avvikelser som kontext för att avgöra om deras frågor avslöjade misstänkt beteende. När beteendet är misstänkt pekar avvikelserna också mot potentiella sökvägar för ytterligare jakt. Dessa ledtrådar som tillhandahålls av avvikelser minskar både tiden för att upptäcka ett hot och dess chans att orsaka skada.

Avvikelser kan vara kraftfulla verktyg, men de är notoriskt bullriga. De kräver vanligtvis mycket omständlig justering för specifika miljöer eller komplex efterbearbetning. Anpassningsbara avvikelsemallar finjusteras av Microsoft Sentinels datavetenskapsteam för att tillhandahålla out-of-the-box-värde. Om du behöver finjustera dem ytterligare är processen enkel och kräver ingen kunskap om maskininlärning. Tröskelvärdena och parametrarna för många av avvikelserna kan konfigureras och finjusteras via användargränssnittet för den redan välbekanta analysregeln. Prestandan för det ursprungliga tröskelvärdet och parametrarna kan jämföras med de nya i gränssnittet och justeras ytterligare efter behov under en testnings- eller flygfas. När avvikelsen uppfyller prestandamålen kan avvikelsen med det nya tröskelvärdet eller parametrarna höjas till produktion med ett klick på en knapp. Med anpassningsbara avvikelser i Microsoft Sentinel kan du dra nytta av avvikelseidentifiering utan hårt arbete.

UEBA-avvikelser

Några av Microsoft Sentinels avvikelseidentifieringar kommer från UEBA-motorn (User and Entity Behavior Analytics), som identifierar avvikelser baserat på varje entitets historiska baslinjebeteende i olika miljöer. Varje entitets baslinjebeteende anges enligt dess egna historiska aktiviteter, dess peer-aktiviteter och organisationens som helhet. Avvikelser kan utlösas av korrelationen mellan olika attribut, till exempel åtgärdstyp, geo-plats, enhet, resurs, ISP med mera.

Nästa steg

I det här dokumentet har du lärt dig att dra nytta av anpassningsbara avvikelser i Microsoft Sentinel.

• Lär dig hur du visar, skapar, hanterar och finjusterar avvikelseregler.
• Läs mer om UEBA (User and Entity Behavior Analytics).
• Se listan över avvikelser som stöds för närvarande.
• Läs mer om andra typer av analysregler.