Použití šablon analytických pravidel detekce anomálií

  • 3 min

S útočníky a obránci neustále bojuje za výhodu v kybernetickém závodu o zbraně, útočníci vždy hledají způsoby, jak se vyhnout detekci. Útoky však budou mít za následek neobvyklé chování v systémech, které jsou napadeny. Přizpůsobitelné a anomálie založené na strojovém učení můžou microsoft Sentinel identifikovat toto chování pomocí šablon analytických pravidel, které se dají umístit tak, aby fungovaly hned od tohoto políčka. I když anomálie nemusí nutně znamenat škodlivé nebo dokonce podezřelé chování sami, je možné je použít ke zlepšení detekce, vyšetřování a proaktivního vyhledávání hrozeb:

  • Další signály pro zlepšení detekce: Analytici zabezpečení můžou použít anomálie k detekci nových hrozeb a zvýšit efektivitu existujících detekcí. Jedna anomálie není silným signálem škodlivého chování, ale v kombinaci s několika anomáliemi, ke kterým dochází v různých bodech řetězce kill, je jejich kumulativní účinek mnohem silnější. Analytici zabezpečení můžou vylepšit stávající detekce a také tím, že neobvyklé chování identifikované anomáliemi tvoří podmínku pro vyvolání výstrah.

  • Důkazy během vyšetřování: Bezpečnostní analytici můžou během vyšetřování také používat anomálie, které pomáhají potvrdit porušení zabezpečení, najít nové cesty pro jeho vyšetřování a posoudit jeho potenciální dopad. Tyto efektivity zkracují dobu strávenou analytiky zabezpečení na vyšetřování.

  • Začátek proaktivního vyhledávání hrozeb: Lovci hrozeb můžou jako kontext použít anomálie, které pomáhají určit, jestli jejich dotazy odhalily podezřelé chování. Když je chování podezřelé, anomálie také ukazují na potenciální cesty pro další proaktivní vyhledávání. Tyto vodítka poskytovaná anomáliemi zkracují dobu detekce hrozby i její šance na poškození.

Anomálie můžou být výkonné nástroje, ale jsou notoricky hlučné. Obvykle vyžadují velmi zdlouhavé ladění pro konkrétní prostředí nebo složité po zpracování. Přizpůsobitelné šablony anomálií od microsoft Sentinelu vyladí náš tým pro datové vědy tak, aby poskytoval výchozí hodnotu, ale pokud je budete potřebovat dále vyladit, proces je jednoduchý a nevyžaduje žádné znalosti strojového učení. Prahové hodnoty a parametry pro řadu anomálií je možné nakonfigurovat a doladit prostřednictvím již známého uživatelského rozhraní analytického pravidla. Výkon původní prahové hodnoty a parametrů lze porovnat s novými parametry v rámci rozhraní a podle potřeby dále vyladit během testování nebo testovací fáze. Jakmile anomálie splňuje cíle výkonu, je možné anomálie s novou prahovou hodnotou nebo parametry zvýšit na produkční prostředí kliknutím na tlačítko. Přizpůsobitelné anomálie Microsoft Sentinelu umožňují získat výhody anomálií bez náročné práce.

Práce s analytickými pravidly detekce anomálií

Přizpůsobitelná funkce anomálií od Microsoft Sentinelu poskytuje integrované šablony anomálií pro okamžitou okamžitou dostupnost. Tyto šablony anomálií byly vyvinuty tak, aby byly robustní pomocí tisíců zdrojů dat a milionů událostí, ale tato funkce umožňuje také snadno měnit prahové hodnoty a parametry pro anomálie v uživatelském rozhraní. Pravidla anomálií je potřeba aktivovat, než vygenerují anomálie, které najdete v tabulce Anomálie v části Protokoly.

  1. V navigační nabídce Služby Microsoft Sentinel vyberte Analýza.

  2. Na stránce Analýza vyberte kartu Šablony pravidel.

  3. Vyfiltrujte seznam pro šablony anomálií:

    • Vyberte filtr typ pravidla a pak rozevírací seznam, který se zobrazí níže.

    • Zrušte zaškrtnutí políčka Vybrat vše a pak označte anomálie.

    • V případě potřeby vyberte horní část rozevíracího seznamu a odvoláte ho a pak vyberte OK.

Aktivace pravidel anomálií

Když vyberete některou ze šablon pravidel, zobrazí se v podokně podrobností spolu s tlačítkem Vytvořit pravidlo následující informace:

  • Popis vysvětluje, jak anomálie funguje a jaká data vyžadují.

  • Zdroje dat označují typ protokolů, které je potřeba ingestovat, aby bylo možné analyzovat.

  • Taktiky a techniky jsou taktiky a techniky architektury MITRE ATT&CK, na které se vztahuje anomálie.

  • Parametry jsou konfigurovatelné atributy pro anomálie.

  • Prahová hodnota je konfigurovatelná hodnota, která označuje, do jaké míry musí být událost neobvyklá, než se vytvoří anomálie.

  • Frekvence pravidel je čas mezi úlohami zpracování protokolů, které najdou anomálie.

  • Verze anomálií zobrazuje verzi šablony, která je používána pravidlem. Pokud chcete změnit verzi používanou pravidlem, které už je aktivní, musíte pravidlo vytvořit znovu.

  • Poslední aktualizace šablony je datum, kdy se změnila verze anomálií.

Provedením následujících kroků aktivujte pravidlo:

  • Zvolte šablonu pravidla, která ještě není označená jako IN USE. Výběrem tlačítka Vytvořit pravidlo otevřete průvodce vytvořením pravidla.

    Průvodce pro každou šablonu pravidla se mírně liší, ale má tři kroky nebo karty: Obecné, Konfigurace, Revize a vytvoření.

    Žádné hodnoty v průvodci nelze změnit; nejprve musíte vytvořit a aktivovat pravidlo.

  • Projděte karty, počkejte na zprávu Ověření bylo předáno na kartě Revize a vytvoření a vyberte tlačítko Vytvořit.

    Z každé šablony můžete vytvořit pouze jedno aktivní pravidlo. Po dokončení průvodce se na kartě Aktivní pravidla vytvoří aktivní pravidlo anomálií a šablona (na kartě Šablony pravidel) bude označena jako IN USE.

Po aktivaci pravidla anomálií se zjištěné anomálie uloží v tabulce Anomálie v části Protokoly vašeho pracovního prostoru Služby Microsoft Sentinel.

Každé pravidlo anomálií má trénovací období a anomálie se v tabulce nezobrazí až po uplynutí tohoto trénovacího období. Období trénování najdete v popisu každého pravidla anomálií.

Posouzení kvality anomálií

Podívejte se, jak dobře pravidlo anomálií funguje, a to kontrolou vzorku anomálií vytvořených pravidlem za posledních 24 hodin.

  • V navigační nabídce Služby Microsoft Sentinel vyberte Analýza.

  • Na stránce Analýza zkontrolujte, jestli je vybraná karta Aktivní pravidla.

  • Vyfiltrujte seznam pravidel anomálií (jak je uvedeno výše).

  • Vyberte pravidlo, které chcete posoudit, a zkopírujte jeho název z horní části podokna podrobností vpravo.

  • V navigační nabídce Služby Microsoft Sentinel vyberte Protokoly.

  • Pokud se galerie dotazů zobrazí nahoře, zavřete ji.

  • V levém podokně stránky Protokoly vyberte kartu Tabulky.

  • Nastavte filtr Časový rozsah na Posledních 24 hodin.

  • Zkopírujte níže uvedený dotaz Kusto a vložte ho do okna dotazu (kde se zobrazí text "Sem zadejte dotaz nebo..."):

Anomalies 
| where AnomalyTemplateName contains "________________________________"

Paste the rule name you copied above in place of the underscores between the quotation marks.
  • Vyberte Spustit.

Pokud máte nějaké výsledky, můžete začít vyhodnocovat kvalitu anomálií. Pokud výsledky nemáte, zkuste zvýšit časový rozsah.

Rozbalte výsledky pro každou anomálii a potom rozbalte pole Důvody anomálií. To vám řekne, proč se anomálie aktivovala.

"Přiměřenou" nebo "užitečnost" anomálií může záviset na podmínkách vašeho prostředí, ale běžným důvodem pravidla anomálií, které vytváří příliš mnoho anomálií, je, že prahová hodnota je příliš nízká.

Ladění pravidel anomálií

I když jsou pravidla anomálií navržena tak, aby byla maximální efektivita připravená, každá situace je jedinečná a někdy je potřeba ladit pravidla anomálií.

Protože nemůžete upravit původní aktivní pravidlo, musíte nejprve duplikovat aktivní pravidlo anomálií a potom upravit kopii.

Původní pravidlo anomálií se bude dál spouštět, dokud ho nezakážete nebo neodstraníte.

To je záměrně, abyste získali příležitost porovnat výsledky vygenerované původní konfigurací a novou. Duplicitní pravidla jsou ve výchozím nastavení zakázaná. Můžete vytvořit jenom jednu přizpůsobenou kopii libovolného daného pravidla anomálií. Pokusy o vytvoření druhé kopie selžou.

  • Pokud chcete změnit konfiguraci pravidla anomálií, vyberte pravidlo anomálií na kartě Aktivní pravidla.

  • Klikněte pravým tlačítkem na libovolné místo v řádku pravidla nebo klikněte levým tlačítkem myši na tři tečky (...) na konci řádku a pak vyberte Duplikovat.

  • Nová kopie pravidla bude mít v názvu pravidla příponu - Přizpůsobeno. Chcete-li toto pravidlo skutečně přizpůsobit, vyberte toto pravidlo a vyberte Upravit.

  • Pravidlo se otevře v průvodci analytickým pravidlem. Tady můžete změnit parametry pravidla a jeho prahovou hodnotu. Parametry, které lze změnit, se liší podle jednotlivých typů a algoritmů anomálií.

  • Náhled výsledků změn můžete zobrazit v podokně Náhled výsledků. V náhledu výsledků vyberte ID anomálií, abyste zjistili, proč model ML tuto anomálii identifikuje.

  • Povolte přizpůsobené pravidlo pro generování výsledků. Některé vaše změny můžou vyžadovat, aby se pravidlo znovu spustilo, takže musíte počkat na dokončení a vrátit se, abyste zkontrolovali výsledky na stránce protokolů. Přizpůsobené pravidlo anomálií se ve výchozím nastavení spouští v režimu flightingu (testování). Původní pravidlo se ve výchozím nastavení bude spouštět v produkčním režimu.

  • Pokud chcete porovnat výsledky, vraťte se k tabulce anomálií v protokolech, abyste mohli vyhodnotit nové pravidlo jako předtím, vyhledejte pouze řádky s původním názvem pravidla a duplicitním názvem pravidla s připojeným textem " - Customized" ve sloupci AnomalyTemplateName.

    Pokud jste s výsledky přizpůsobeného pravidla spokojení, můžete se vrátit na kartu Aktivní pravidla, vybrat vlastní pravidlo, vybrat tlačítko Upravit a na kartě Obecné přepnout z flightingu do produkčního prostředí. Původní pravidlo se automaticky změní na Flighting, protože ve stejnou dobu nemůžete mít dvě verze stejného pravidla v produkčním prostředí.