Microsoft Sentinel'de tehditleri algılamak için özelleştirilebilir anomalileri kullanma
Özelleştirilebilir anomaliler nelerdir?
Saldırganlar ve savunmacılar siber güvenlik silah yarışında sürekli avantaj için savaşıyorken, saldırganlar her zaman algılamadan kaçınmanın yollarını buluyor. Ancak kaçınılmaz olarak, saldırılar hala saldırılan sistemlerde olağan dışı davranışlara neden olur. Microsoft Sentinel'in özelleştirilebilir, makine öğrenmesi tabanlı anomalileri, kullanıma hazır hale getirilebilen analiz kuralı şablonlarıyla bu davranışı tanımlayabilir. Anomaliler kötü amaçlı ve hatta şüpheli davranışları tek başına belirtmese de algılamaları, araştırmaları ve tehdit avcılığını iyileştirmek için kullanılabilir:
Algılamayı geliştirmek için ek sinyaller: Güvenlik analistleri yeni tehditleri algılamak ve mevcut algılamaları daha etkili hale getirmek için anomalileri kullanabilir. Tek bir anomali, kötü amaçlı davranışların güçlü bir sinyali değildir, ancak sonlandırma zincirindeki farklı noktalarda birkaç anomalinin bir bileşimi net bir ileti gönderir. Güvenlik analistleri, anormal davranışların belirlenmesine göre bunları şartlayarak mevcut algılama uyarılarını daha doğru hale getirebilir.
Araştırma sırasında kanıt: Güvenlik analistleri bir ihlali doğrulamaya, araştırmak için yeni yollar bulmaya ve olası etkisini değerlendirmeye yardımcı olmak için araştırma sırasında anomalileri de kullanabilir. Bu verimlilikler, güvenlik analistlerinin araştırmalara harcadığı süreyi azaltır.
Proaktif tehdit avlarının başlangıcı: Tehdit avcıları, sorgularının şüpheli davranışı ortaya çıkarıp ortaya çıkarmadığını saptamaya yardımcı olmak için bağlam olarak anomalileri kullanabilir. Davranış şüpheli olduğunda, anomaliler daha fazla avlanmak için olası yollara da işaret eder. Anomaliler tarafından sağlanan bu ipuçları hem bir tehdidi algılama süresini hem de zarar verme şansını azaltır.
Anomaliler güçlü araçlar olabilir, ancak çok gürültülü olurlar. Bunlar genellikle belirli ortamlar veya karmaşık işlem sonrası için çok yorucu ayarlamalar gerektirir. Özelleştirilebilir anomali şablonları, Microsoft Sentinel'in veri bilimi ekibi tarafından kullanıma hazır değer sağlamak için ayarlanmıştır. Bunları daha fazla ayarlamanız gerekiyorsa işlem basittir ve makine öğrenmesi hakkında bilgi sahibi olmanız gerekmez. Anomalilerin çoğu için eşikler ve parametreler, zaten tanıdık analiz kuralı kullanıcı arabirimi aracılığıyla yapılandırılabilir ve ince ayar yapılabilir. Özgün eşik ve parametrelerin performansı, arabirimdeki yeni eşiklerle karşılaştırılabilir ve test veya uçuş aşaması sırasında gerektiğinde daha fazla ayarlanabilir. Anomali performans hedeflerini karşıladıktan sonra, yeni eşik veya parametrelere sahip anomali, bir düğmeye tıklandığında üretime yükseltilebilir. Microsoft Sentinel özelleştirilebilir anomalileri, çok çalışmadan anomali algılama avantajından yararlanmanızı sağlar.
UEBA anomalileri
Microsoft Sentinel'in anomali algılamalarından bazıları, çeşitli ortamlarda her varlığın temel geçmiş davranışına göre anomalileri algılayan Kullanıcı ve Varlık Davranış Analizi (UEBA) altyapısından gelir. Her varlığın temel davranışı kendi geçmiş etkinliklerine, eşlerinin ve kuruluşun bütün olarak sahip olduğu etkinliklere göre ayarlanır. Anomaliler eylem türü, coğrafi konum, cihaz, kaynak, ISS ve daha fazlası gibi farklı özniteliklerin bağıntısı ile tetiklenebilir.
Sonraki adımlar
Bu belgede, Microsoft Sentinel'de özelleştirilebilir anomalilerden nasıl yararlanabileceğinizi öğrendiniz.
- Anomali kurallarını görüntülemeyi, oluşturmayı, yönetmeyi ve ince ayarlamayı öğrenin.
- Kullanıcı ve Varlık Davranış Analizi (UEBA) hakkında bilgi edinin.
- Şu anda desteklenen anomalilerin listesine bakın.
- Diğer analiz kuralları türleri hakkında bilgi edinin.