在 Microsoft Sentinel 中使用異常偵測分析規則

• 適用於:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel 的 可自定義異常功能 提供 內建的異常範本 ，以立即現成的值。 這些異常範本是使用數千個資料來源和數百萬個事件開發為強大的範本，但這項功能也可讓您輕鬆地在使用者介面內變更異常的閾值和參數。 異常規則預設會啟用或啟用，因此它們會產生現用的異常狀況。 您可以在 [記錄] 區段中的 [異常] 資料表中找到並查詢這些異常。

重要

Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

檢視可自定義的異常規則範本

您現在可以在 [分析] 頁面的 [異常] 索引標籤中找到方格中顯示的異常規則。

1. 針對 Azure 入口網站 中的 Microsoft Sentinel 使用者，請從 Microsoft Sentinel 導覽功能表中選取 [分析]。

   針對 Microsoft Defender 入口網站中統一安全性作業平臺的使用者，請從 Microsoft Defender 導覽功能表中選取 [Microsoft Sentinel > 組態 > 分析 ]。

2. 在 [ 分析] 頁面上，選取 [ 異常] 索引標籤 。

3. 若要依下列一或多個準則篩選清單，請選取 [新增篩選 ] 並據以選擇。

   • 狀態 - 規則是啟用還是停用。

   • 策略 - 異常涵蓋的 MITRE ATT&CK 架構策略。

   • 技術 - 異常所涵蓋的 MITRE ATT&CK 架構技術。

   • 數據源 - 需要擷取和分析的記錄類型，才能定義異常。

4. 在詳細資料窗格中選取規則並檢視下列資訊：

   • 描述描述異常的運作方式及其所需的資料。

   • 策略和技術 是異常所涵蓋的 MITRE ATT&CK 架構策略和技術。

   • 參數是異常的可設定屬性。

   • 閾值是可設定的值，指出建立異常之前，事件必須具有的不尋常程度。

   • 規則頻率是尋找異常的記錄處理作業之間的時間。

   • 規則狀態會告訴您在啟用時，規則是否在生產或正式發行前小眾測試版（預備）模式中執行。

   • 異常版本顯示規則所使用的範本版本。 如果想要變更已作用中規則所使用的版本，您必須重新建立規則。

Microsoft Sentinel 隨附的規則無法編輯或刪除。 若要自定義規則，您必須先建立規則的重複項目，然後自定義重複專案。 請參閱完整的指示。

注意

如果無法編輯規則，為什麼要有 [編輯] 按鈕？

雖然您無法變更現用異常規則的設定，但您可以執行兩件事：

1. 您可以在生產與正式發行前小眾測試版之間切換規則的規則狀態。

2. 您可以提交意見反應給 Microsoft，瞭解可自定義的異常狀況體驗。

評估異常品質

您可以檢閱規則在過去 24 小時期間所建立的異常範例，以查看異常規則的執行程度。

1. 針對 Azure 入口網站 中的 Microsoft Sentinel 使用者，請從 Microsoft Sentinel 導覽功能表中選取 [分析]。

   針對 Microsoft Defender 入口網站中統一安全性作業平臺的使用者，請從 Microsoft Defender 導覽功能表中選取 [Microsoft Sentinel > 組態 > 分析 ]。

2. 在 [ 分析] 頁面上，選取 [ 異常] 索引標籤 。

3. 選取您想要評估的規則，並將其標識元從詳細數據窗格頂端複製到右側。

4. 從 [Microsoft Sentinel] 導覽功能表中，選取 [ 記錄]。

5. 如果查詢資源庫彈出頂端，請將其關閉。

6. 選取 [記錄] 頁面左窗格中的 [數據表] 索引卷標。

7. 將 [ 時間範圍 ] 篩選設定為 [ 過去 24 小時]。

8. 複製下方的 Kusto 查詢，並將其貼在查詢視窗中 (其中指出「在這裡輸入您的查詢或...」)：

   Anomalies 
   | where RuleId contains "<RuleId>"
   

   貼上您複製的規則標識碼，以取代 <RuleId> 引號之間的位置。

9. 選取執行。

有一些結果時，您可以開始評估異常的品質。 如果沒有結果，請嘗試增加時間範圍。

展開每個異常的結果，然後展開 AnomalyReasons 欄位。 這會告訴您為什麼引發異常。

異常的「合理性」或「實用性」可能取決於您的環境條件，但異常規則產生太多異常的常見原因，就是閾值太低。

調整異常規則

雖然異常規則是針對現成的效能進行設計，但每個情況都是獨一無二的，有時需要調整異常規則。

由於您無法編輯原始的作用中規則，因此您必須先複製作用中的異常規則，然後自定義複本。

原始異常規則會持續執行，直到您將其停用或刪除為止。

這種設計方式可讓您有機會比較原始設定所產生的結果與新設定所產生的結果。 複製規則預設為已停用。 您只能為任何給定的異常規則建立一個自訂複本。 嘗試建立第二個複本將會失敗。

1. 若要變更異常規則的設定，請從 [ 異常 ] 索引標籤中的清單中選取規則。

2. 以滑鼠右鍵按下規則數據列的任何位置，或以滑鼠左鍵按單擊數據列結尾的省略號 （...），然後從操作功能表中選取 [ 複製 ]。

   新的規則會出現在清單中，具有下列特性：

   • 規則名稱會與原始名稱相同，並將 「- Custom」 附加至結尾。
   • 規則的狀態將會 是 [停用]。
   • FLGT 徽章會出現在數據列的開頭，以指出規則處於正式發行前小眾測試模式。

3. 若要自定義此規則，請選取規則，然後在詳細數據窗格中選取 [編輯]，或從規則的操作功能表中選取 [編輯 ]。

4. 此規則即會在分析規則精靈中開啟。 您可以在這裡變更規則的參數及其閾值。 可變更的參數會隨著每個異常類型和演算法而有所不同。

   您可以在 [結果預覽] 窗格中預覽變更的結果。 在結果預覽中選取異常標識符，以查看 ML 模型識別該異常的原因。

5. 啟用自訂規則以產生結果。 您的某些變更可能需要再次執行規則，因此您必須等候規則完成，然後返回以檢查記錄頁面上的結果。 自定義的異常規則預設會在正式發行前小眾測試模式中執行。 根據預設，原始規則會繼續以 生產 模式執行。

6. 若要比較結果，請回到記錄中的 Anomalies 數據表，如先前一樣評估新規則，只使用下列查詢來尋找原始規則所產生的異常以及重複的規則。

   Anomalies 
   | where AnomalyTemplateId contains "<RuleId>"
   

   貼上您從原始規則複製的規則識別碼，以取代 <RuleId> 引號之間的 。 原始和重複規則中的 值 AnomalyTemplateId 與原始規則中的 值 RuleId 相同。

如果您對自定義規則的結果感到滿意，可以回到 [異常] 索引卷標，選取自定義規則，選取 [編輯] 按鈕，然後在 [一般] 索引卷標上將它從 [正式發行前小眾測試版] 切換至生產環境。 原始規則會自動變更為 正式發行前小眾 測試版，因為您無法同時在生產環境中有兩個相同規則的版本。

下一步

在本檔中，您已瞭解如何在 Microsoft Sentinel 中使用可自定義的異常偵測分析規則。

• 取得可自定義異常的一些背景資訊。
• 在 Microsoft Sentinel 中檢視可用的異常類型。
• 探索其他分析規則類型。