你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

在 Microsoft Sentinel 中使用异常情况检测分析规则

• 适用于:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel 的可自定义的异常功能提供内置异常模板，具有开箱即用的即时价值。 这些异常模板是使用数千个数据源和数百万个事件开发而成，非常可靠，而且该项功能还能够让你在用户界面中轻松更改异常的阈值和参数。 默认已启用或激活异常情况规则，因此它们将现成地生成异常情况。 可以在“日志”部分中的“异常情况”表中查找和查询这些异常情况。

重要

Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全运营平台的公共预览版的一部分提供。 有关详细信息，请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。

查看可自定义的异常规则模板

现在可以查找“分析”页上“异常情况”选项卡的网格中显示的异常情况规则。

1. 对于 Azure 门户中 Microsoft Sentinel 的用户，请从 Microsoft Sentinel 导航菜单中选择“分析”。

   对于 Microsoft Defender 门户中统一安全运营平台的用户，请从 Microsoft Defender 导航菜单中选择“Microsoft Sentinel”>“配置”>“分析”。

2. 在“分析”页上，选择“异常情况”选项卡。

3. 若要按以下一个或多个条件筛选列表，请选择“添加筛选器”并相应地进行选择。

   • 状态 - 规则是已启用还是已禁用。

   • 策略 - 异常情况涵盖的 MITRE ATT&CK 框架策略。

   • 技术 - 异常情况涵盖的 MITRE ATT&CK 框架技术。

   • 数据源 - 需要为所要定义的异常情况引入并分析的日志类型。

4. 选择规则，会在详细信息窗格中看到以下信息：

   • “描述”：说明异常的工作原理及其所需的数据。

   • “策略和技术”是异常情况涵盖的 MITRE ATT&CK 框架策略和技术。

   • “参数”：指异常的可配置属性。

   • “阈值”：指可配置值，该值指示在创建异常前，事件必须达到的异常程度。

   • “规则频率”：指查找异常的日志处理作业之间经过的时间。

   • “规则状态”告知规则在启用后是在“生产”还是“外部测试”（暂存）模式下运行。

   • “异常版本”：显示规则使用的模板版本。 若要更改已处于活动状态的规则使用的版本，则必须重新创建该规则。

无法编辑或删除 Microsoft Sentinel 现成附带的规则。 若要自定义某个规则，必须先创建该规则的副本，然后自定义该副本。 参阅完整说明。

注意

既然无法编辑规则，为何会出现“编辑”按钮？

虽然无法更改现成异常情况规则的配置，但可以执行两项操作：

1. 可以在“生产”与“外部测试”之间切换规则的规则状态。

2. 可以向 Microsoft 提交有关可自定义异常情况体验的反馈。

评估异常质量

若要了解异常规则的执行情况，可以查看过去 24 小时内使用规则创建的异常示例。

1. 对于 Azure 门户中 Microsoft Sentinel 的用户，请从 Microsoft Sentinel 导航菜单中选择“分析”。

   对于 Microsoft Defender 门户中统一安全运营平台的用户，请从 Microsoft Defender 导航菜单中选择“Microsoft Sentinel”>“配置”>“分析”。

2. 在“分析”页上，选择“异常情况”选项卡。

3. 选择要评估的规则，并将其 ID 从详细信息窗格顶部复制到右侧。

4. 从 Microsoft Sentinel 导航菜单中，选择“日志”。

5. 如果顶部弹出“查询”库，请关闭该库。

6. 选择“日志”页左窗格中的“表”选项卡。

7. 将“时间范围”筛选规则设置为“过去 24 小时”。

8. 复制下面的 Kusto 查询，并将其粘贴到查询窗口（其中显示“在此键入查询或…”）：

   Anomalies 
   | where RuleId contains "<RuleId>"
   

   粘贴前面复制的规则 ID 并覆盖引号之间的 <RuleId>。

9. 选择“运行”。

当收到一些结果后，即可开始评估异常的质量。 如果没有收到结果，可尝试延长时间范围。

展开每个异常的结果，然后展开“AnomalyReasons”字段。 此字段将提供触发异常的具体原因。

异常的“合理性”或“有用性”可能取决于环境条件，但异常规则产生过多异常的常见原因是阈值过低。

优化异常规则

虽然异常规则专为最大限度提高开箱即用的效率而设计，但每一种情况都有其独特性，因此有时需要优化异常规则。

你无法编辑原始活动规则，因此必须先复制活动异常规则，然后自定义副本。

原始异常规则将继续运行，直到你禁用或删除该规则。

此设置经专门设计，目的是可以让你比较原始配置与新配置生成的不同结果。 系统默认禁用所有重复的规则。 对于任何给定异常规则，你只能创建一个自定义副本。 创建第二个副本的尝试将会以失败告终。

1. 若要更改异常情况规则的配置，请从“异常情况”选项卡上的列表中选择该规则。

2. 右键单击规则行上的任意位置，或左键单击行尾的省略号 (...)，然后从上下文菜单中选择“复制”。

   具有以下特征的新规则将显示在列表中：

   • 该规则的名称与原始规则相同，但末尾追加了“- Customized”。
   • 该规则的状态为“已禁用”。
   • FLGT 标志显示在行首，指示该规则处于“外部测试”模式。

3. 若要自定义此规则，请选择该规则，然后在详细信息窗格或该规则的上下文菜单中选择“编辑”。

4. 该规则将在“分析规则”向导中打开。 你可在此更改该规则的参数及其阈值。 可更改的参数因每种异常类型和算法而异。

   你可以在“结果预览”窗格中预览相关更改的结果。 选择结果预览中的“异常 ID”，即可查看 ML 模型识别该异常的原因。

5. 启用自定义规则来生成结果。 有些更改可能需要重新运行规则，因此你必须等到重新运行完成后，再返回“日志”页检查相关结果。 自定义异常规则默认在外部测试（测试）模式下运行。 原始规则默认继续在生产模式下运行。

6. 若要比较结果，请返回到“日志”中的“异常情况”表以便如前所述评估新规则，并仅使用以下查询来查找原始规则以及重复规则生成的异常情况。

   Anomalies 
   | where AnomalyTemplateId contains "<RuleId>"
   

   粘贴从原始规则复制的规则 ID 并覆盖引号之间的 <RuleId>。 原始规则和重复规则中的 AnomalyTemplateId 值与原始规则中的 RuleId 值相同。

如果你对自定义规则生成的结果感到满意，可以返回到“异常情况”选项卡，选择该自定义规则，选择“编辑”按钮，然后在“常规”选项卡上将“外部测试”切换为“生产”。 原始规则将自动更改为“外部测试”，因为你无法同时生产同一规则的两个版本。

后续步骤

你已经通过本文档了解如何在 Microsoft Sentinel 中使用可自定义异常情况检测分析规则。

• 获取有关可自定义异常的一些背景信息。
• 查看 Microsoft Sentinel 中的可用异常情况类型。
• 浏览其他分析规则类型。