Delen via

Aanbevelingen voor het afstemmen van uw analyseregels in Microsoft Sentinel krijgen

  • Artikel

Belangrijk

Het afstemmen van de detectie is momenteel in PREVIEW. Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bètaversie of preview zijn of die nog niet algemeen beschikbaar zijn.

Het afstemmen van regels voor het detecteren van bedreigingen in uw SIEM kan een moeilijk, delicaat en continu proces zijn van het balanceren tussen het maximaliseren van de dekking voor bedreigingsdetectie en het minimaliseren van het aantal fout-positieven. Microsoft Sentinel vereenvoudigt en stroomlijnt dit proces door machine learning te gebruiken voor het analyseren van miljarden signalen van uw gegevensbronnen, evenals uw reacties op incidenten in de loop van de tijd, het afleiden van patronen en het bieden van bruikbare aanbevelingen en inzichten die uw afstemmingsoverhead aanzienlijk kunnen verlagen en u in staat stellen u te richten op het detecteren van en reageren op werkelijke bedreigingen.

Aanbevelingen en inzichten afstemmen zijn nu ingebouwd in uw analyseregels. In dit artikel wordt uitgelegd wat deze inzichten laten zien en hoe u de aanbevelingen kunt implementeren.

Regel insights weergeven en aanbevelingen afstemmen

Als u wilt zien of Microsoft Sentinel aanbevelingen heeft voor het afstemmen van een van uw analyseregels, selecteert u Analyse in het navigatiemenu van Microsoft Sentinel.

Alle regels met aanbevelingen geven een gloeilamppictogram weer, zoals hier wordt weergegeven:

Schermopname van de lijst met analyseregels met aanbevelingsindicator.

Bewerk de regel om de aanbevelingen samen met de andere inzichten weer te geven. Ze worden samen weergegeven op het tabblad Regellogica instellen van de wizard Analyseregel, onder de weergave Resultatensimulatie .

Schermopname van het afstemmen van inzichten in analyseregel.

Typen inzichten

De weergave Inzichten afstemmen bestaat uit verschillende deelvensters waar u doorheen kunt schuiven of swipen, elk met iets anders. Het tijdsbestek (14 dagen) waarvoor de inzichten worden weergegeven, wordt boven aan het frame weergegeven.

  1. In het eerste deelvenster met inzichten wordt statistische informatie weergegeven: het gemiddelde aantal waarschuwingen per incident, het aantal openstaande incidenten en het aantal gesloten incidenten, gegroepeerd op classificatie (waar/fout-positief). Dit inzicht helpt u de belasting van deze regel te achterhalen en te begrijpen of er afstemming is vereist, bijvoorbeeld of de groepeerinstellingen moeten worden aangepast.

    Schermopname van inzicht in regelefficiëntie.

    Dit inzicht is het resultaat van een Log Analytics-query. Als u Gemiddelde waarschuwingen per incident selecteert, gaat u naar de query in Log Analytics die het inzicht heeft geproduceerd. Als u Incidenten openen selecteert, gaat u naar de blade Incidenten .

  2. In het tweede deelvenster met inzichten wordt een lijst met entiteiten aanbevolen die moeten worden uitgesloten. Deze entiteiten zijn sterk gecorreleerd met incidenten die u hebt gesloten en geclassificeerd als fout-positief. Selecteer het plusteken naast elke vermelde entiteit om deze uit te sluiten van de query in toekomstige uitvoeringen van deze regel.

    Schermopname van aanbeveling voor entiteitsuitsluiting.

    Deze aanbeveling wordt geproduceerd door de geavanceerde data science- en machine learning-modellen van Microsoft. De opname van dit deelvenster in de weergave Inzichten afstemmen is afhankelijk van dat er aanbevelingen worden weergegeven.

  3. In het derde deelvenster met inzichten worden de vier meest voorkomende toegewezen entiteiten weergegeven voor alle waarschuwingen die door deze regel worden geproduceerd. Entiteitstoewijzing moet worden geconfigureerd voor de regel om dit inzicht te laten leiden tot resultaten. Dit inzicht kan u helpen zich bewust te worden van entiteiten die de aandacht trekken en de aandacht van andere entiteiten trekken. Mogelijk wilt u deze entiteiten afzonderlijk afhandelen in een andere regel, of u kunt besluiten dat ze fout-positieven of anderszins ruis zijn en ze uitsluiten van de regel.

    Schermopname van inzicht in de belangrijkste entiteiten.

    Dit inzicht is het resultaat van een Log Analytics-query. Als u een van de entiteiten selecteert, gaat u naar de query in Log Analytics die het inzicht heeft geproduceerd.

Volgende stappen

Zie voor meer informatie: