你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用可自定义异常来检测 Microsoft Sentinel 中的威胁

什么是可自定义异常？

随着攻击者和防御者不断在网络安全军备竞赛中争夺优势，攻击者一直想方设法逃避检测。 但是，攻击不可避免会导致受攻击系统出现异常行为。 Microsoft Sentinel 的可自定义的、基于机器学习的异常可以通过分析规则模板来识别此行为，这些模板可以开箱即用。 虽然单单异常本身不一定表明存在恶意行为，甚至是可疑行为，但可用于提高检测、调查和威胁搜寻：

• 用于提高检测的其他信号：安全分析师可以使用异常来检测新威胁并提高现有检测效率。 单个异常不是强烈的恶意行为信号，但攻击链上不同点发生的多个异常则传递了明确的信息。 安全分析人员可以将异常行为识别作为现有检测警报的条件，使警报更准确。

• 调查期间的证据：安全分析师还可以在调查期间使用异常来帮助确认安全漏洞，找到调查漏洞的新途径，以及评估其潜在影响。 这些效率减少了安全分析师在调查上所花的时间。

• 主动威胁搜寻的开始：威胁搜寻者可以使用异常作为上下文来帮助确定其查询是否已发现可疑行为。 当行为可疑时，异常还指向进一步搜寻的潜在路径。 异常提供的这些线索会缩短检测威胁的时间，并降低其造成损害的机会。

异常的功能可能非常强大，但众所周知，它们非常烦人。 对于特定的环境或复杂的后处理，它们通常需要大量繁琐的优化。 Microsoft Sentinel 的数据科学团队优化了可自定义的异常模板，以提供现成的值。 如果需要进一步优化它们，该过程非常简单，无需了解机器学习的相关知识。 许多异常的阈值和参数可以通过已经很熟悉的分析规则用户界面进行配置和精细优化。 可以将原始阈值和参数的性能与界面中的新阈值和参数进行比较，并根据需要在测试或发布外部测试版阶段中进行进一步优化。 异常满足性能目标后，可通过单击按钮将具有新阈值或参数的异常提升到生产。 Microsoft Sentinel 可自定义异常既能够使你获享异常检测的优势，又省却了繁琐的工作。

UEBA 异常情况

Microsoft Sentinel 检测到的一些异常来自其用户和实体行为分析 (UEBA) 引擎，该引擎根据每个实体在各种环境中的基线历史行为检测异常。 每个实体的基线行为是根据其自身的历史活动、其对等方的活动以及整个组织的活动设置的。 可以通过关联不同的属性（例如操作类型、地理位置、设备、资源、ISP 等）来触发异常情况。

后续步骤

本文档已介绍如何在 Microsoft Sentinel 中利用可自定义的异常。

• 了解如何查看、创建、管理和精细优化异常规则。
• 了解用户和实体行为分析 (UEBA)。
• 请参阅当前支持的异常的列表。
• 了解其他类型的分析规则。