Aracılığıyla paylaş

Microsoft Sentinel'de hatalı pozitifleri işleme

  • Makale

Microsoft Sentinel analiz kuralları , ağınızda şüpheli bir durum oluştuğunda sizi bilgilendirir. Hiçbir analiz kuralı mükemmel değildir ve işlenmesi gereken bazı hatalı pozitifler elde edebilirsiniz. Bu makalede, otomasyon kullanarak veya zamanlanmış analiz kurallarını değiştirerek hatalı pozitif sonuçların nasıl işleneceğini açıklanmaktadır.

Hatalı pozitif nedenler ve önleme

Doğru oluşturulmuş bir analiz kuralında bile hatalı pozitifler genellikle kuraldan dışlanması gereken kullanıcılar veya IP adresleri gibi belirli varlıklardan kaynaklanır.

Yaygın senaryolar şunlardır:

  • Genellikle hizmet sorumluları olan belirli kullanıcıların normal etkinlikleri şüpheli görünen bir desen gösterir.
  • Bilinen IP adreslerinden gelen kasıtlı güvenlik tarama etkinliği kötü amaçlı olarak algılanır.
  • Özel IP adreslerini dışlayan bir kural, özel olmayan bazı iç IP adreslerini de dışlamalıdır.

Bu makalede hatalı pozitif sonuçları önlemeye yönelik iki yöntem açıklanmaktadır:

  • Otomasyon kuralları, analiz kurallarını değiştirmeden özel durumlar oluşturur.
  • Zamanlanmış analiz kuralları değişiklikleri daha ayrıntılı ve kalıcı özel durumlara izin verir.

Aşağıdaki tabloda her yöntemin özellikleri açıklanmaktadır:

Metot Characteristic
Otomasyon kuralları
  • Çeşitli analiz kurallarına uygulanabilir.
  • Denetim kaydını tutun. Özel durumlar, oluşturulan olayları hemen ve otomatik olarak kapatarak kapanış nedenini ve açıklamaları kaydeder.
  • Genellikle analistler tarafından oluşturulur.
  • Sınırlı bir süre için özel durumların uygulanmasına izin verin. Örneğin bakım çalışmaları, bakım zaman çerçevesinin dışında gerçek olaylar olabileceğine ilişkin hatalı pozitif sonuçları tetikleyebilir.
Analiz kuralları değişiklikleri
  • Gelişmiş boole ifadelerine ve alt ağ tabanlı özel durumlara izin verin.
  • Özel durum yönetimini merkezileştirmek için izleme listelerini kullanmanıza olanak sağlar.
  • Genellikle Güvenlik İşlemLeri Merkezi (SOC) mühendisleri tarafından uygulanması gerekir.
  • En esnek ve eksiksiz hatalı pozitif çözüm olsa da daha karmaşıktır.

Otomasyon kurallarını kullanarak özel durumlar ekleme

Özel durum eklemenin en basit yolu, hatalı pozitif bir olay gördüğünüzde otomasyon kuralı eklemektir.

Hatalı pozitif sonuçları işlemek üzere bir otomasyon kuralı eklemek için:

  1. Microsoft Sentinel'de, Olaylar'ın altında, özel durum oluşturmak istediğiniz olayı seçin.

  2. Otomasyon kuralı oluştur'u seçin.

  3. Yeni otomasyon kuralı oluştur kenar çubuğunda, isteğe bağlı olarak yeni kural adını yalnızca uyarı kuralı adı yerine özel durumu tanımlamak için değiştirin.

  4. Koşullar altında, isteğe bağlı olarak özel durumun uygulanacağı daha fazla Analytics kuralı adıekleyin. Analiz kuralı adını içeren açılan kutuyu seçin ve listeden daha fazla analiz kuralı seçin.

  5. Kenar çubuğu, geçerli olayda hatalı pozitife neden olmuş olabilecek belirli varlıkları sunar. Otomatik önerileri koruyun veya özel duruma ince ayar yapmak için bunları değiştirin. Örneğin, IP adresindeki bir koşulu alt ağın tamamına uygulanacak şekilde değiştirebilirsiniz.

    Screenshot showing how to create an automation rule for an incident in Microsoft Sentinel.

  6. Koşullardan memnun olduktan sonra kuralın ne yaptığını tanımlamaya devam edebilirsiniz:

    Screenshot showing how to finish creating and applying an automation rule in Microsoft Sentinel.

    • Kural, özel durum ölçütlerini karşılayan bir olayı kapatmak için zaten yapılandırılmıştır.
    • Belirtilen kapanış nedenini olduğu gibi tutabilir veya başka bir neden daha uygunsa değiştirebilirsiniz.
    • Otomatik olarak kapatılan olaya özel durumu açıklayan bir açıklama ekleyebilirsiniz. Örneğin, olayın bilinen yönetim etkinliğinden kaynaklandığını belirtebilirsiniz.
    • Varsayılan olarak, kural 24 saat sonra otomatik olarak sona erecek şekilde ayarlanır. Bu süre sonu istediğiniz gibi olabilir ve hatalı negatif hata olasılığını azaltır. Daha uzun bir özel durum istiyorsanız, Kural süre sonunu daha sonraya ayarlayın.

  7. İsterseniz daha fazla eylem ekleyebilirsiniz. Örneğin, olaya etiket ekleyebilir veya e-posta veya bildirim göndermek ya da dış sistemle eşitlemek için bir playbook çalıştırabilirsiniz.

  8. Özel durumu etkinleştirmek için Uygula'yı seçin.

İpucu

Ayrıca, bir olaydan başlamadan sıfırdan bir otomasyon kuralı da oluşturabilirsiniz. Microsoft Sentinel sol gezinti menüsünden Otomasyon'u ve ardından Yeni kural ekle'yi>seçin. Otomasyon kuralları hakkında daha fazla bilgi edinin.

Analiz kurallarını değiştirerek özel durumlar ekleme

Özel durumları uygulamak için bir diğer seçenek de analiz kuralı sorgusunu değiştirmektir. Özel durumları doğrudan kurala ekleyebilir veya tercihen mümkün olduğunda bir izleme listesine başvuru kullanabilirsiniz. Ardından, izleme listesinde özel durum listesini yönetebilirsiniz.

Sorguyu değiştirme

Mevcut analiz kurallarını düzenlemek için Microsoft Sentinel sol gezinti menüsünden Otomasyon'u seçin. Düzenlemek istediğiniz kuralı seçin ve ardından sağ altta Düzenle'yi seçerek Analiz Kuralları Sihirbazı'nı açın.

Analiz kuralları oluşturmak ve düzenlemek için Analiz Kuralları Sihirbazı'nı kullanma hakkında ayrıntılı yönergeler için bkz. Tehditleri algılamak için özel analiz kuralları oluşturma.

Tipik bir kural ön derlemesinde özel durum uygulamak için, kural sorgusunun başına yakın bir koşul where IPAddress !in ('<ip addresses>') ekleyebilirsiniz. Bu satır belirli IP adreslerini kuraldan dışlar.

let timeFrame = 1d;
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| where IPAddress !in ('10.0.0.8', '192.168.12.1')
...

Bu tür bir özel durum IP adresleriyle sınırlı değildir. alanını kullanarak UserPrincipalName belirli kullanıcıları dışlayabilir veya kullanarak AppDisplayNamebelirli uygulamaları hariç tutabilirsiniz.

Birden çok özniteliği de dışlayabilirsiniz. Örneğin, uyarıları IP adresinden 10.0.0.8 veya kullanıcıdan user@microsoft.comdışlamak için şunu kullanın:

| where IPAddress !in ('10.0.0.8')
| where UserPrincipalName != 'user@microsoft.com'

Uygun olduğunda daha ayrıntılı bir özel durum uygulamak ve hatalı negatiflerin olasılığını azaltmak için öznitelikleri birleştirebilirsiniz. Aşağıdaki özel durum yalnızca her iki değer de aynı uyarıda görünüyorsa geçerlidir:

| where IPAddress != '10.0.0.8' and UserPrincipalName != 'user@microsoft.com'

Alt ağları dışlama

Bir kuruluş tarafından kullanılan IP aralıklarını dışlamak için alt ağ dışlaması gerekir. Aşağıdaki örnekte alt ağların nasıl dışlandığı gösterilmektedir.

işleci ipv4_lookup bir filtreleme işleci değil zenginleştirme işlecidir. Çizgi where isempty(network) aslında eşleşme göstermeyen olayları inceleyerek filtrelemeyi yapar.

let subnets = datatable(network:string) [ "111.68.128.0/17", "5.8.0.0/19", ...];
let timeFrame = 1d;
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| evaluate ipv4_lookup(subnets, IPAddress, network, return_unmatched = true)
| where isempty(network)
...

Özel durumları yönetmek için izleme listelerini kullanma

Kuralın dışında özel durum listesini yönetmek için bir izleme listesi kullanabilirsiniz. Uygun olduğunda, bu çözümün aşağıdaki avantajları vardır:

  • Bir analist, kuralı düzenlemeden özel durumlar ekleyebilir ve bu da SOC en iyi yöntemlerini daha iyi izler.
  • Aynı izleme listesi çeşitli kurallar için geçerli olabilir ve merkezi özel durum yönetimini etkinleştirir.

İzleme listesi kullanmak, doğrudan özel durum kullanmaya benzer. İzleme listesini çağırmak için kullanın _GetWatchlist('<watchlist name>') :

let timeFrame = 1d;
let logonDiff = 10m;
let allowlist = (_GetWatchlist('ipallowlist') | project IPAddress);
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| where IPAddress !in (allowlist)
...

İzleme listesi kullanarak alt ağ filtrelemesi de yapabilirsiniz. Örneğin, önceki alt ağlar dışlama kodunda alt ağ datatable tanımını bir izleme listesiyle değiştirebilirsiniz:

let subnets = _GetWatchlist('subnetallowlist');

Örnek: SAP® uygulamaları için Microsoft Sentinel çözümü özel durumlarını yönetme

SAP® uygulamaları için Microsoft Sentinel çözümü, kullanıcıları veya sistemleri uyarıları tetiklemeden dışlamak için kullanabileceğiniz işlevler sağlar.

  • Kullanıcıları dışlama. SAPUsersGetVIP işlevini kullanarak:

    • Uyarıları tetiklemeden dışlamak istediğiniz kullanıcılar için çağrı etiketleri. SAP_User_Config izleme listesindeki kullanıcıları etiketleyin; belirtilen adlandırma söz dizimiyle tüm kullanıcıları etiketlemek için joker karakter olarak yıldız (*) kullanın.
    • Uyarıları tetiklemenin dışında tutmak istediğiniz belirli SAP rollerini ve/veya profillerini listeleyin.

  • Sistemleri dışlama. Yalnızca Üretim sistemleri, yalnızca UAT sistemleri veya her ikisi de dahil olmak üzere yalnızca belirli sistem türlerinin uyarıları tetiklediğini belirlemek için SelectedSystemRoles parametresini destekleyen işlevleri kullanın.

Daha fazla bilgi için bkz . SAP® uygulamaları için Microsoft Sentinel çözümü veri başvurusu.

Sonraki adımlar

Daha fazla bilgi için bkz.