Analytische regelsjablonen voor anomaliedetectie gebruiken

  • 3 minuten

Met aanvallers en verdedigers die voortdurend vechten voor voordeel in de cyberbeveiligingswapensrace, vinden aanvallers altijd manieren om detectie te omzeilen. Aanvallen zullen echter nog steeds leiden tot ongebruikelijk gedrag in de systemen die worden aangevallen. De aanpasbare, op machine learning gebaseerde afwijkingen van Microsoft Sentinel kunnen dit gedrag identificeren met analyseregelsjablonen die direct vanuit het vak kunnen worden gebruikt. Hoewel afwijkingen niet noodzakelijkerwijs schadelijk of zelfs verdacht gedrag zelf aangeven, kunnen ze worden gebruikt om detecties, onderzoeken en opsporing van bedreigingen te verbeteren:

  • Aanvullende signalen om de detectie te verbeteren: beveiligingsanalisten kunnen afwijkingen gebruiken om nieuwe bedreigingen te detecteren en bestaande detecties effectiever te maken. Een enkele anomalie is geen sterk signaal van schadelijk gedrag, maar in combinatie met verschillende afwijkingen die zich op verschillende punten in de kill-keten voordoen, is hun cumulatieve effect veel sterker. Beveiligingsanalisten kunnen bestaande detecties verbeteren door het ongebruikelijke gedrag te maken dat wordt geïdentificeerd door afwijkingen, een voorwaarde voor het activeren van waarschuwingen.

  • Bewijs tijdens onderzoeken: beveiligingsanalisten kunnen ook afwijkingen gebruiken tijdens onderzoeken om een schending te bevestigen, nieuwe paden te vinden voor het onderzoeken en de mogelijke impact ervan te beoordelen. Deze efficiëntie vermindert de tijd die beveiligingsanalisten besteden aan onderzoeken.

  • Het begin van proactieve opsporing van bedreigingen: Bedreigingsjagers kunnen afwijkingen gebruiken als context om te bepalen of hun query's verdacht gedrag hebben ontdekt. Wanneer het gedrag verdacht is, wijzen de afwijkingen ook naar mogelijke paden voor verdere opsporing. Deze aanwijzingen van afwijkingen verminderen zowel de tijd om een bedreiging te detecteren als de kans om schade te veroorzaken.

Afwijkingen kunnen krachtige hulpmiddelen zijn, maar ze zijn berucht luidruchtig. Ze vereisen meestal veel tijdrovende afstemming voor specifieke omgevingen of complexe naverwerking. Microsoft Sentinel aanpasbare anomaliesjablonen zijn afgestemd door ons data science-team om kant-en-klare waarde te bieden, maar moet u deze verder afstemmen, het proces is eenvoudig en vereist geen kennis van machine learning. De drempelwaarden en parameters voor veel van de afwijkingen kunnen worden geconfigureerd en afgestemd via de al bekende gebruikersinterface voor analyseregels. De prestaties van de oorspronkelijke drempelwaarde en parameters kunnen worden vergeleken met de nieuwe drempelwaarden in de interface en zo nodig verder worden afgestemd tijdens een testfase of flighting. Zodra de anomalie voldoet aan de prestatiedoelstellingen, kan de anomalie met de nieuwe drempelwaarde of parameters worden gepromoveerd naar productie met een klik op een knop. Met Microsoft Sentinel aanpasbare afwijkingen kunt u het voordeel krijgen van afwijkingen zonder het harde werk.

Werken met analyseregels voor anomaliedetectie

De functie voor aanpasbare afwijkingen van Microsoft Sentinel biedt ingebouwde anomaliesjablonen voor onmiddellijke waarde out-of-the-box. Deze anomaliesjablonen zijn ontwikkeld om robuust te zijn met behulp van duizenden gegevensbronnen en miljoenen gebeurtenissen, maar met deze functie kunt u ook drempelwaarden en parameters voor de afwijkingen eenvoudig wijzigen in de gebruikersinterface. Anomalieregels moeten worden geactiveerd voordat ze afwijkingen genereren, die u kunt vinden in de tabel Afwijkingen in de sectie Logboeken.

  1. Selecteer Analytics in het navigatiemenu van Microsoft Sentinel.

  2. Selecteer op de pagina Analyse het tabblad Regelsjablonen.

  3. Filter de lijst voor anomaliesjablonen:

    • Selecteer het filter Regeltype en vervolgens de vervolgkeuzelijst die hieronder wordt weergegeven.

    • Schakel alles selecteren uit en markeer vervolgens Anomalie.

    • Selecteer indien nodig de bovenkant van de vervolgkeuzelijst om deze in te trekken en selecteer VERVOLGENS OK.

Anomalieregels activeren

Wanneer u een van de regelsjablonen selecteert, ziet u de volgende informatie in het detailvenster, samen met een knop Regel maken:

  • Beschrijving legt uit hoe de anomalie werkt en de gegevens die nodig zijn.

  • Gegevensbronnen geven het type logboeken aan dat moet worden opgenomen om te worden geanalyseerd.

  • Tactieken en technieken zijn de MITRE ATT&CK-frameworktactieken en -technieken die worden behandeld door de anomalie.

  • Parameters zijn de configureerbare kenmerken voor de anomalie.

  • Drempelwaarde is een configureerbare waarde die aangeeft in welke mate een gebeurtenis ongebruikelijk moet zijn voordat een anomalie wordt gemaakt.

  • Regelfrequentie is de tijd tussen logboekverwerkingstaken die de afwijkingen vinden.

  • Anomalieversie toont de versie van de sjabloon die wordt gebruikt door een regel. Als u de versie wilt wijzigen die wordt gebruikt door een regel die al actief is, moet u de regel opnieuw maken.

  • De laatst bijgewerkte sjabloon is de datum waarop de anomalieversie is gewijzigd.

Voer de volgende stappen uit om een regel te activeren:

  • Kies een regelsjabloon die nog niet is gelabeld in USE. Selecteer de knop Regel maken om de wizard Voor het maken van regels te openen.

    De wizard voor elke regelsjabloon verschilt enigszins, maar heeft drie stappen of tabbladen: Algemeen, Configuratie, Controleren en maken.

    U kunt de waarden in de wizard niet wijzigen. u moet eerst de regel maken en activeren.

  • Blader door de tabbladen, wacht op het bericht Validatie geslaagd op het tabblad Controleren en maken en selecteer de knop Maken.

    U kunt slechts één actieve regel maken op basis van elke sjabloon. Zodra u de wizard hebt voltooid, wordt er een actieve anomalieregel gemaakt op het tabblad Actieve regels en wordt de sjabloon (op het tabblad Regelsjablonen) gemarkeerd als IN USE.

Zodra de anomalieregel is geactiveerd, worden gedetecteerde afwijkingen opgeslagen in de tabel Afwijkingen in de sectie Logboeken van uw Microsoft Sentinel-werkruimte.

Elke anomalieregel heeft een trainingsperiode en afwijkingen worden pas na die trainingsperiode weergegeven in de tabel. U vindt de trainingsperiode in de beschrijving van elke anomalieregel.

De kwaliteit van afwijkingen beoordelen

U kunt zien hoe goed een anomalieregel presteert door een steekproef te bekijken van de afwijkingen die tijdens de afgelopen periode van 24 uur zijn gemaakt door een regel.

  • Selecteer Analytics in het navigatiemenu van Microsoft Sentinel.

  • Controleer op de pagina Analyse of het tabblad Actieve regels is geselecteerd.

  • Filter de lijst voor anomalieregels (zoals hierboven).

  • Selecteer de regel die u wilt evalueren en kopieer de naam van de regel bovenaan het detailvenster naar rechts.

  • Selecteer Logboeken in het navigatiemenu van Microsoft Sentinel.

  • Als er een querygalerie boven aan de bovenkant wordt weergegeven, sluit u deze.

  • Selecteer het tabblad Tabellen in het linkerdeelvenster van de pagina Logboeken.

  • Stel het tijdsbereikfilter in op Afgelopen 24 uur.

  • Kopieer de Kusto-query hieronder en plak deze in het queryvenster (hier of ..."):

Anomalies 
| where AnomalyTemplateName contains "________________________________"

Paste the rule name you copied above in place of the underscores between the quotation marks.
  • Selecteer Uitvoeren.

Wanneer u enkele resultaten hebt, kunt u beginnen met het beoordelen van de kwaliteit van de afwijkingen. Als u geen resultaten hebt, kunt u het tijdsbereik verhogen.

Vouw de resultaten voor elke anomalie uit en vouw vervolgens het veld AnomalyReasons uit. Dit zal je vertellen waarom de anomalie is ontslagen.

De 'redelijkheid' of 'bruikbaarheid' van een anomalie kan afhankelijk zijn van de omstandigheden van uw omgeving, maar een veelvoorkomende reden voor een anomalieregel om te veel afwijkingen te produceren, is dat de drempelwaarde te laag is.

Anomalieregels afstemmen

Hoewel anomalieregels zijn ontworpen voor maximale effectiviteit, is elke situatie uniek en moeten er soms anomalieregels worden afgestemd.

Omdat u een oorspronkelijke actieve regel niet kunt bewerken, moet u eerst een actieve anomalieregel dupliceren en vervolgens de kopie aanpassen.

De oorspronkelijke anomalieregel blijft actief totdat u deze uitschakelt of verwijdert.

Dit is standaard, zodat u de mogelijkheid hebt om de resultaten te vergelijken die zijn gegenereerd door de oorspronkelijke configuratie en de nieuwe. Dubbele regels zijn standaard uitgeschakeld. U kunt slechts één aangepast exemplaar van een bepaalde anomalieregel maken. Pogingen om een tweede kopie te maken, mislukken.

  • Als u de configuratie van een anomalieregel wilt wijzigen, selecteert u de anomalieregel op het tabblad Actieve regels.

  • Klik met de rechtermuisknop op een willekeurige plaats in de rij van de regel of klik met de linkermuisknop op het beletselteken (...) aan het einde van de rij en selecteer Dupliceren.

  • De nieuwe kopie van de regel bevat het achtervoegsel ' - Aangepast' in de regelnaam. Als u deze regel daadwerkelijk wilt aanpassen, selecteert u deze regel en selecteert u Bewerken.

  • De regel wordt geopend in de wizard Analyseregels. Hier kunt u de parameters van de regel en de drempelwaarde wijzigen. De parameters die kunnen worden gewijzigd, variëren per anomalietype en elk algoritme.

  • U kunt de resultaten van uw wijzigingen bekijken in het voorbeeldvenster Resultaten. Selecteer een anomalie-id in de voorbeeldweergave van de resultaten om te zien waarom het ML-model die anomalie identificeert.

  • Schakel de aangepaste regel in om resultaten te genereren. Voor sommige wijzigingen moet de regel mogelijk opnieuw worden uitgevoerd, dus u moet wachten totdat deze is voltooid en teruggaan om de resultaten op de logboekpagina te controleren. De aangepaste anomalieregel wordt standaard uitgevoerd in de flightingmodus (testmodus). De oorspronkelijke regel wordt standaard nog steeds uitgevoerd in de productiemodus.

  • Als u de resultaten wilt vergelijken, gaat u terug naar de tabel Afwijkingen in Logboeken om de nieuwe regel zoals voorheen te evalueren. Zoek alleen naar rijen met de oorspronkelijke regelnaam en de dubbele regelnaam met '- Aangepast' toegevoegd in de kolom AnomalyTemplateName.

    Als u tevreden bent met de resultaten voor de aangepaste regel, kunt u teruggaan naar het tabblad Actieve regels, de aangepaste regel selecteren, de knop Bewerken selecteren en op het tabblad Algemeen schakelen van Flighting naar Productie. De oorspronkelijke regel wordt automatisch gewijzigd in Flighting, omdat u niet tegelijkertijd twee versies van dezelfde regel in productie kunt hebben.