分享方式:


在 Microsoft Sentinel 中使用異常偵測分析規則

Microsoft Sentinel 的可自訂異常功能 提供內建的異常範本,可供立即現成可用的值使用。 這些異常範本是使用數千個資料來源和數百萬個事件開發為強大的範本,但這項功能也可讓您輕鬆地在使用者介面內變更異常的閾值和參數。 依預設異常規則會啟用或啟動,因此能立即產生異常狀況。 您可以在 [記錄] 區段中的 [異常] 資料表中找到異常並查詢這些異常。

重要

Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

檢視可自訂的異常規則範本

您現在可以在 [分析] 頁面的 [異常] 索引標籤找到以方格顯示的異常規則。

  1. 對於 Azure 入口網站中 Microsoft Sentinel 的使用者,請從 [Microsoft Sentinel] 導覽功能表中選取 [分析]

    針對 Microsoft Defender 入口網站中整合安全性作業平台的使用者,請從 [Microsoft Defender] 導覽功能表中選取 [Microsoft Sentinel > 組態 > 分析]

  2. 在 [分析] 頁面中,選取 [異常] 索引標籤。

  3. 若要依下列一或多個準則篩選清單,請選取 [新增篩選] 並據以選擇。

    • 狀態 - 規則為啟用或停用。

    • 策略 - 異常所涵蓋的 MITRE ATT&CK 架構策略。

    • 技術 - 異常所涵蓋的 MITRE ATT&CK 架構技術。

    • 資料來源 - 需要內嵌和分析才能定義異常的記錄類型。

  4. 在詳細資料窗格中選取規則並檢視下列資訊:

    • 描述描述異常的運作方式及其所需的資料。

    • 策略和技術是異常所涵蓋的 MITRE ATT&CK 架構策略和技術。

    • 參數是異常的可設定屬性。

    • 閾值是可設定的值,指出建立異常之前,事件必須具有的不尋常程度。

    • 規則頻率是尋找異常的記錄處理作業之間的時間。

    • 規則狀態啟用時,會告訴您在規則是在實際執行環境發行小眾測試版 (預備環境) 模式中執行。

    • 異常版本顯示規則所使用的範本版本。 如果想要變更已作用中規則所使用的版本,您必須重新建立規則。

Microsoft Sentinel 隨附的規則無法被編輯或刪除。 若要自訂規則,您必須先建立規則的複本,然後自訂複本項目。 請參閱完整指示

注意

如果無法編輯規則,為什麼有 [編輯] 按鈕?

雖然您無法變更現成異常規則的設定,但可以做兩件事:

  1. 您可以在實際執行環境發行小眾測試版之間切換規則的規則狀態

  2. 您可以將您對自訂異常的體驗,提交意見反應給 Microsoft。

評估異常品質

您可以檢閱規則在過去 24 小時期間所建立的異常範例,以查看異常規則的執行程度。

  1. 對於 Azure 入口網站中 Microsoft Sentinel 的使用者,請從 [Microsoft Sentinel] 導覽功能表中選取 [分析]

    針對 Microsoft Defender 入口網站中整合安全性作業平台的使用者,請從 [Microsoft Defender] 導覽功能表中選取 [Microsoft Sentinel > 組態 > 分析]

  2. 在 [分析] 頁面中,選取 [異常] 索引標籤。

  3. 選取您想要評估的規則,並將其識別碼從詳細資料窗格頂端複製到右側。

  4. 從 Microsoft Sentinel 導覽功能表,選取 [記錄]

  5. 如果 [查詢] 資源庫快顯到頂端,請將其關閉。

  6. 選取 [記錄] 頁面左窗格中的 [資料表] 索引標籤。

  7. 將 [時間範圍] 篩選條件設定為 [過去 24 小時]

  8. 複製下方的 Kusto 查詢,並將其貼在查詢視窗中 (其中指出「在這裡輸入您的查詢或...」):

    Anomalies 
    | where RuleId contains "<RuleId>"
    

    將您在上方複製的規則識別碼貼上,以取代引號之間的 <RuleId>

  9. 選取執行

有一些結果時,您可以開始評估異常的品質。 如果沒有結果,請嘗試增加時間範圍。

展開每個異常的結果,然後展開 AnomalyReasons 欄位。 這會告訴您為什麼引發異常。

異常的「合理性」或「實用性」可能取決於您的環境條件,但異常規則產生太多異常的常見原因,就是閾值太低。

調整異常規則

雖然異常規則是針對現成可用的最大效率所設計,但每個情況都是唯一的,且有時需要微調異常規則。

因為您無法編輯原始的作用中規則,所以您必須先複製作用中的異常規則,然後再自訂複本。

原始異常規則會持續執行,直到您將其停用或刪除為止。

這種設計方式可讓您有機會比較原始設定所產生的結果與新設定所產生的結果。 複製規則預設為已停用。 您只能為任何給定的異常規則建立一個自訂複本。 嘗試建立第二個複本將會失敗。

  1. 若要變更異常規則的設定,請在 [異常] 索引標籤中選取清單中的規則。

  2. 以滑鼠右鍵按一下規則資料列的任何位置,或以滑鼠左鍵按一下資料列結尾處的省略符號 (...),然後從捷徑功能表選取 [複製]

    新的規則會出現在清單中,具有下列特性:

    • 規則名稱會與原始名稱相同,並於結尾處附加 " - Customized"。
    • 規則的狀態會是 [已停用]
    • FLGT 徽章會出現在資料列的開頭,以指出規則處於發行小眾測試版模式。
  3. 若要自訂此規則,請選取規則,然後在詳細資料窗格中,或從規則的捷徑功能表中選取 [編輯]

  4. 此規則即會在分析規則精靈中開啟。 您可以在這裡變更規則的參數及其閾值。 可變更的參數會隨著每個異常類型和演算法而有所不同。

    您可以在 [結果預覽] 窗格中預覽變更的結果。 選取結果預覽中的 [異常識別碼],以查看 ML 模型識別該異常的原因。

  5. 啟用自訂規則以產生結果。 您的某些變更可能需要再次執行規則,因此您必須等候規則完成,然後返回以檢查記錄頁面上的結果。 自訂的異常規則預設會在 [發行小眾測試版] (測試) 模式中執行。 原始規則預設會繼續在 [生產] 模式中執行。

  6. 若要比較結果,請回到 [記錄] 中的異常資料表以如往常評估新規則,只不過要改用下列查詢,以尋找由原始規則以及規則複本所產生的異常狀況。

    Anomalies 
    | where AnomalyTemplateId contains "<RuleId>"
    

    將您在原始規則複製的規則識別碼貼上,取代引號之間的 <RuleId>。 原始和複本規則中的 AnomalyTemplateId 值皆與原始規則中的 RuleId 值相同。

如果您滿意自訂規則的結果,您可以回到 [異常] 索引標籤、選取自訂規則、選取 [編輯] 按鈕,然後在 [一般] 索引標籤上,將其從 [發行小眾測試版] 切換至 [實際執行環境]。 原始規則會自動變更為 [發行小眾測試版],因為您無法同時在生產環境中有兩個相同規則的版本。

下一步

在本文件中,您已了解如何在 Microsoft Sentinel 中使用可自訂的異常偵測分析規則。