重要事項
自訂偵測現在是跨 Microsoft Sentinel、SIEM 和 Microsoft Defender 全面偵測回應新規則的最佳方式。 透過自訂偵測,您可以降低擷取成本、獲得無限即時偵測,並能無縫整合 Defender 全面偵測回應資料、功能及修復行動,並透過自動實體映射實現。 欲了解更多資訊,請閱讀 此部落格。
Microsoft Sentinel 可自訂異常現象功能提供內建異常範本,開箱即用即可立即取得價值。 這些異常範本是透過數千個資料來源和數百萬事件來打造的穩健性,但此功能同時也讓你能在使用者介面中輕鬆更改異常的閾值和參數。 異常規則預設會啟用或啟用,因此它們會立即產生異常現象。 你可以在異常表的日誌區塊中找到並查詢這些異常現象。
重要事項
自 2027 年 3 月 31 日起,Microsoft Sentinel 將不再支援 Azure 入口網站,僅能在 Microsoft Defender 入口網站中使用。 所有在 Azure 入口網站使用 Microsoft Sentinel 的客戶,將被重新導向至 Defender 入口網站,且僅在 Defender 入口網站使用 Microsoft Sentinel。
如果您仍在 Azure 入口網站使用 Microsoft Sentinel,建議您開始規劃轉換至 Defender 入口網站,以確保順利過渡並充分利用 Microsoft Defender 所提供的統一安全運營體驗。
查看可自訂的異常規則範本
你現在可以在分析頁面的異常標籤中以格子形式找到異常規則。
對於使用 Microsoft Defender 入口網站的使用者,請從 Microsoft Defender 導覽選單中選擇 Microsoft Sentinel > Configuration > Analytics。
對於在 Azure 入口網站中使用 Microsoft Sentinel 的用戶,請從 Microsoft Sentinel 導覽選單中選擇 Analytics。
在 分析 頁面,選擇 異常 標籤。
若要依以下一項或多項條件篩選清單,請選擇 「新增篩選器 」並相應選擇。
狀態 ——規則是否啟用或停用。
戰術 - MITRE ATT&CK 框架戰術,異常現象涵蓋。
技術 - MITRE ATT&CK 框架技術涵蓋於異常範圍內。
資料來源 ——需要被擷取並分析以定義異常的日誌類型。
選擇規則並在詳細頁面查看以下資訊:
描述 說明異常現象的運作原理及其所需資料。
戰術與技術 涵蓋異常範圍涵蓋的 MITRE ATT&CK 框架戰術與技術。
參數 是異常現象的可配置屬性。
閾值 是一個可配置的值,表示事件在產生異常前必須達到多大的異常程度。
規則頻率 是指發現異常點的日誌處理作業之間的時間。
規則狀態 告訴你該規則是在啟用時,是在 生產 環境還是 飛行 ( 預備模式) 執行。
異常版本 顯示規則所使用的範本版本。 如果你想更改已啟用的規則所使用的版本,必須重新建立該規則。
Microsoft Sentinel 原版附帶的規則無法被編輯或刪除。 要自訂規則,你必須先建立規則的副本,然後再自訂該複製品。 請參閱完整說明書。
注意事項
如果規則無法編輯,為什麼會有編輯按鈕?
雖然你無法更改現成異常規則的配置,但你可以做兩件事:
你可以在生產和飛行之間切換規則狀態。
你可以向 Microsoft 提交你對可自訂異常現象的經驗回饋。
評估異常的品質
你可以透過回顧該規則在過去24小時內產生的異常樣本,來了解異常規則的表現狀況。
對於在 Azure 入口網站中使用 Microsoft Sentinel 的用戶,請從 Microsoft Sentinel 導覽選單中選擇 Analytics。
對於使用 Microsoft Defender 入口網站的使用者,請從 Microsoft Defender 導覽選單中選擇 Microsoft Sentinel > Configuration > Analytics。
在 分析 頁面,選擇 異常 標籤。
選擇你想評估的規則,然後從詳細面板頂端複製其 ID。
從 Microsoft Sentinel 導覽選單中,選擇「日誌」。
如果上方跳出 查詢圖庫 ,請關閉它。
請在日誌頁面左側窗格選擇「表格」標籤。
將 時間範圍 過濾器設為 「持續 24 小時」。
複製下面的 Kusto 查詢,貼到查詢視窗 (顯示「在此輸入你的查詢或......」) :
Anomalies | where RuleId contains "<RuleId>"把你上面複製的規則 ID 貼上,把引號中間的位置貼
<RuleId>上。選取 [執行]。
當你取得一些結果後,就可以開始評估異常的品質。 如果沒有效果,試著延長時間範圍。
展開每個異常的結果,然後展開 異常原因 欄位。 這會告訴你異常現象為什麼會觸發。
異常的「合理性」或「有用性」可能取決於環境條件,但異常規則產生異常過多的常見原因是閾值過低。
調校異常規則
雖然異常規則設計得開箱即用,但每個情況都是獨一無二的,有時異常規則需要調整。
由於無法編輯原始的有效規則,必須先複製一個有效異常規則,然後再自訂該副本。
原本的異常規則會一直執行,直到你停用或刪除它為止。
這是刻意設計的,讓你有機會比較原始配置和新配置所產生的結果。 重複規則預設是被停用的。 你只能為任何特定的異常規則製作一份自訂副本。 嘗試製作第二份副本會失敗。
要更改異常規則的設定,請在 異常 標籤中選擇該規則。
在規則列的任意位置右鍵點擊,或左鍵點擊該列末尾的省略號 (...) ,然後從右鍵選單選擇 「複製 」。
列表中會出現一條新規則,具有以下特點:
- 規則名稱將與原版相同,但末尾會加上「- 自訂」。
- 該規則的狀態將為 「停用」。
- FLGT 徽章會出現在排頭,表示該規則處於飛行模式。
要自訂此規則,請選擇規則並在細節窗格中選擇 編輯 ,或從規則的右鍵選單中選擇。
該規則會在分析規則精靈中開啟。 在這裡你可以更改規則的參數和閾值。 可變更的參數會因不同異常類型與演算法而異。
你可以在 結果預覽欄目中預覽變更的結果。 在結果預覽中選擇 異常 ID ,以了解機器學習模型為何會識別該異常。
啟用自訂規則以產生結果。 有些變更可能需要規則重新執行,因此你必須等規則完成後再回來查看日誌頁面的結果。 自訂異常規則預設在 飛行 (測試) 模式中執行。 原始規則預設仍維持 在生產 模式中執行。
要比較結果,請回到 日誌 中的異常表評估 新規則,但只需使用以下查詢來尋找由原始規則及重複規則產生的異常。
Anomalies | where AnomalyTemplateId contains "<RuleId>"把你從原始規則複製的規則 ID 貼上,取代
<RuleId>引號之間。 原始規則與重複規則中的 值AnomalyTemplateId與原始規則中的 值RuleId相同。
如果你對自訂規則的結果感到滿意,可以回到 異常 分頁,選擇自訂規則,點選 編輯 按鈕,然後在 一般 標籤中將它從 飛行 切換到 生產。 原本的規則會自動變成 飛行, 因為你不能同時在生產環境中同時使用相同規則的兩個版本。
後續步驟
在這份文件中,你學會了如何在 Microsoft Sentinel 中使用可自訂的異常偵測分析規則。