Arbeta med analysregler för avvikelseidentifiering i Microsoft Sentinel
Microsoft Sentinels anpassningsbara funktion för avvikelser innehåller inbyggda avvikelsemallar för omedelbart värde. Dessa avvikelsemallar har utvecklats för att vara robusta med hjälp av tusentals datakällor och miljontals händelser, men med den här funktionen kan du också enkelt ändra tröskelvärden och parametrar för avvikelserna i användargränssnittet. Avvikelseregler aktiveras eller aktiveras som standard, så de genererar avvikelser direkt. Du kan hitta och köra frågor mot dessa avvikelser i tabellen Avvikelser i avsnittet Loggar .
Viktigt!
Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Visa anpassningsbara mallar för avvikelseregler
Nu kan du hitta avvikelseregler som visas i ett rutnät på fliken Avvikelser på sidan Analys .
För användare av Microsoft Sentinel i Azure-portalen väljer du Analys på Microsoft Sentinel-navigeringsmenyn.
För användare av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen väljer du Microsoft Sentinel > Configuration > Analytics på Microsoft Defender-navigeringsmenyn.
På sidan Analys väljer du fliken Avvikelser .
Om du vill filtrera listan efter ett eller flera av följande villkor väljer du Lägg till filter och väljer därefter.
Status – om regeln är aktiverad eller inaktiverad.
Taktik – MITRE ATT&CK-ramverkstaktiken som omfattas av avvikelsen.
Tekniker – MITRE ATT&CK-ramverkstekniker som omfattas av avvikelsen.
Datakällor – den typ av loggar som måste matas in och analyseras för att avvikelsen ska definieras.
Välj en regel och visa följande information i informationsfönstret:
Beskrivning förklarar hur avvikelsen fungerar och vilka data som krävs.
Taktiker och tekniker är MITRE ATT&CK-ramverkets taktik och tekniker som omfattas av avvikelsen.
Parametrar är de konfigurerbara attributen för avvikelsen.
Tröskelvärde är ett konfigurerbart värde som anger i vilken grad en händelse måste vara ovanlig innan en avvikelse skapas.
Regelfrekvens är tiden mellan loggbearbetningsjobb som hittar avvikelserna.
Regelstatus anger om regeln körs i läget Produktion eller Flighting (mellanlagring) när den är aktiverad.
Avvikelseversionen visar den version av mallen som används av en regel. Om du vill ändra den version som används av en regel som redan är aktiv måste du återskapa regeln.
De regler som medföljer Microsoft Sentinel kan inte redigeras eller tas bort. Om du vill anpassa en regel måste du först skapa en dubblett av regeln och sedan anpassa dubbletten. Se de fullständiga instruktionerna.
Kommentar
Varför finns det en redigera-knapp om regeln inte kan redigeras?
Du kan inte ändra konfigurationen av en avvikelseregel som inte är inbyggd, men du kan göra två saker:
Du kan växla regelstatus för regeln mellan Produktion och Flighting.
Du kan skicka feedback till Microsoft om din upplevelse med anpassningsbara avvikelser.
Utvärdera kvaliteten på avvikelser
Du kan se hur bra en avvikelseregel fungerar genom att granska ett exempel på de avvikelser som skapats av en regel under den senaste 24-timmarsperioden.
För användare av Microsoft Sentinel i Azure-portalen väljer du Analys på Microsoft Sentinel-navigeringsmenyn.
För användare av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen väljer du Microsoft Sentinel > Configuration > Analytics på Microsoft Defender-navigeringsmenyn.
På sidan Analys väljer du fliken Avvikelser .
Välj den regel som du vill utvärdera och kopiera dess ID högst upp i informationsfönstret till höger.
På Microsoft Sentinel-navigeringsmenyn väljer du Loggar.
Om ett frågegalleri dyker upp överst stänger du det.
Välj fliken Tabeller i den vänstra rutan på sidan Loggar.
Ange tidsintervallfiltret till Senaste 24 timmarna.
Kopiera Kusto-frågan nedan och klistra in den i frågefönstret (där det står "Skriv din fråga här eller..."):
Anomalies | where RuleId contains "<RuleId>"Klistra in det regel-ID som du kopierade ovan i stället för
<RuleId>mellan citattecknen.Markera Kör.
När du har några resultat kan du börja utvärdera kvaliteten på avvikelserna. Om du inte har några resultat kan du försöka öka tidsintervallet.
Expandera resultaten för varje avvikelse och expandera sedan fältet AnomalyReasons . Detta visar varför avvikelsen utlöstes.
"Rimlighet" eller "användbarhet" för en avvikelse kan bero på miljöns villkor, men en vanlig orsak till att en avvikelseregel ger för många avvikelser är att tröskelvärdet är för lågt.
Justera avvikelseregler
Även om avvikelseregler är utformade för maximal effektivitet är varje situation unik och ibland måste avvikelseregler justeras.
Eftersom du inte kan redigera en ursprunglig aktiv regel måste du först duplicera en aktiv avvikelseregel och sedan anpassa kopian.
Den ursprungliga avvikelseregeln fortsätter att köras tills du antingen inaktiverar eller tar bort den.
Detta är avsiktligt för att ge dig möjlighet att jämföra resultaten som genererades av den ursprungliga konfigurationen och den nya. Duplicerade regler är inaktiverade som standard. Du kan bara göra en anpassad kopia av en viss avvikelseregel. Försök att göra en andra kopia misslyckas.
Om du vill ändra konfigurationen av en avvikelseregel väljer du regeln i listan på fliken Avvikelser .
Högerklicka var som helst på raden i regeln eller vänsterklicka på ellipsen (...) i slutet av raden och välj sedan Duplicera på snabbmenyn.
En ny regel visas i listan med följande egenskaper:
- Regelnamnet kommer att vara samma som originalet, med " - Anpassad" som läggs till i slutet.
- Regelns status inaktiveras.
- FLGT-märket visas i början av raden för att indikera att regeln är i flygläge.
Om du vill anpassa den här regeln väljer du regeln och väljer Redigera i informationsfönstret eller på regelns snabbmeny.
Regeln öppnas i guiden Analysregel. Här kan du ändra parametrarna för regeln och dess tröskelvärde. De parametrar som kan ändras varierar med varje avvikelsetyp och algoritm.
Du kan förhandsgranska resultatet av dina ändringar i fönstret Resultatförhandsgranskning. Välj ett avvikelse-ID i resultatförhandsgranskningen för att se varför ML-modellen identifierar den avvikelsen.
Aktivera den anpassade regeln för att generera resultat. Vissa av dina ändringar kan kräva att regeln körs igen, så du måste vänta tills den har slutförts och komma tillbaka för att kontrollera resultatet på loggsidan. Den anpassade avvikelseregeln körs som standard i läget Flighting (testning). Den ursprungliga regeln fortsätter att köras i produktionsläge som standard.
Om du vill jämföra resultaten går du tillbaka till tabellen Avvikelser i Loggar för att utvärdera den nya regeln som tidigare. Använd bara följande fråga i stället för att leta efter avvikelser som genererats av den ursprungliga regeln samt dubblettregeln.
Anomalies | where AnomalyTemplateId contains "<RuleId>"Klistra in det regel-ID som du kopierade från den ursprungliga regeln i stället för
<RuleId>mellan citattecknen. VärdetAnomalyTemplateIdför i både de ursprungliga och duplicerade reglerna är identiskt med värdetRuleIdför i den ursprungliga regeln.
Om du är nöjd med resultatet för den anpassade regeln kan du gå tillbaka till fliken Avvikelser , välja den anpassade regeln, välja knappen Redigera och på fliken Allmänt växla den från Flighting till Produktion. Den ursprungliga regeln ändras automatiskt till Flighting eftersom du inte kan ha två versioner av samma regel i produktion samtidigt.
Nästa steg
I det här dokumentet har du lärt dig hur du arbetar med anpassningsbara analysregler för avvikelseidentifiering i Microsoft Sentinel.
- Hämta bakgrundsinformation om anpassningsbara avvikelser.
- Visa tillgängliga avvikelsetyper i Microsoft Sentinel.
- Utforska andra typer av analysregler.