為您 Microsoft Sentinel 中的分析規則取得微調建議
重要事項
偵測微調目前為 [預覽] 狀態。 如需套用至 Azure 功能 (搶鮮版 (Beta)、預覽版或尚未正式發行的版本) 的其他法律條款,請參閱 Microsoft Azure 預覽版增補使用規定。
在 SIEM 中微調威脅偵測規則並不容易,不僅要小心處理,還要一直在盡量擴大威脅偵測涵蓋範圍與盡量降低誤判為真的比率這兩件事之間取得平衡。 Microsoft Sentinel 用來簡化此過程的方法是使用機器學習,分析資料來源中的數十億個訊號以及您在不同時間對事件做出的回應、推算出模式,並為您提供可操作的建議和深入解析,讓您能夠大幅降低微調負擔,並專注於偵測和回應實際威脅。
微調建議和深入解析現已內建到分析規則中。 本文將說明這些深入解析的意義,以及您實作建議的方式。
檢視規則深入解析和微調建議
若要查看 Microsoft Sentinel 是否有分析規則的微調建議,請從 Microsoft Sentinel 導覽功能表中選取 [分析]。
所有具有建議的規則都會顯示燈泡圖示,如下所示:
編輯規則以檢視建議和其他深入解析。 建議和深入解析會出現在分析規則精靈的 [設定規則邏輯] 索引標籤上,就在 [結果模擬] 顯示下方。
深入解析的類型
[微調深入解析] 顯示包含數個窗格,您可以捲動或撥動,每個窗格都會顯示不同的內容。 深入解析的顯示時間範圍 (14 天) 會顯示在畫面頂端。
第一個深入解析窗格會顯示一些統計資訊,即每個事件的平均警示數量、未結案事件數量和已關閉事件數量,並依分類分組 (確判/誤判)。 此深入解析可協助您找出此規則的負載,並了解是否需要微調,例如是否需要調整群組設定。
此深入解析是「記錄分析」查詢的結果。 選取 [每個事件的平均警示] 會帶您前往產生深入解析的「記錄分析」查詢。 選取 [未結案事件] 會帶您前往 [事件] 刀鋒視窗。
第二個深入解析窗格會提供您建議排除的實體清單。 這些實體與您關閉的事件具有高度關聯,並分類為 [誤判]。 選取每個列出實體旁的加號,以在未來執行此規則時從查詢中排除該實體。
此建議是由 Microsoft 的進階資料科學和機器學習模型所產生。 此窗格是否要包含在 [微調深入解析] 顯示中,取決於是否有要顯示的建議。
第三個深入解析窗格會顯示此規則所產生的所有警示中最常出現的四個對應實體。 您必須在規則上設定實體對應,此深入解析才能產生結果。 此深入解析可協助您留意所有正在「佔據焦點」並吸引其他實體注意的實體。 您可能會想在不同的規則中個別處理這些實體,或者決定這些實體為誤判或其他干擾,並將其從規則中排除。
此深入解析是「記錄分析」查詢的結果。 選取任一實體都可帶您前往產生深入解析的「記錄分析」查詢。
後續步驟
如需詳細資訊,請參閱