Usar modelos de regra analítica de detecção de anomalias
Com os invasores e os defensores lutando constantemente por vantagens na corrida de segurança cibernética, os invasores estão sempre encontrando maneiras de burlar a detecção. Inevitavelmente, no entanto, os ataques ainda resultarão em um comportamento incomum dos sistemas que estão sendo atacados. As anomalias personalizáveis baseadas no aprendizado de máquina do Microsoft Sentinel podem identificar esse comportamento com modelos de regra de análise que podem ser colocados para funcionar imediatamente. Embora as anomalias não indiquem necessariamente um comportamento mal intencionado ou mesmo suspeito por si só, elas podem ser usadas para melhorar aa detecções, investigações e busca por ameaças:
Sinais adicionais para melhorar a detecção: os analistas de segurança podem usar as anomalias para detectar novas ameaças e tornar as detecções existentes mais eficazes. Uma só anomalia não é um sinal forte de comportamento mal intencionado, mas quando combinadas com várias anomalias que ocorrem em pontos diferentes na kill chain, seu efeito cumulativo é muito mais forte. Os analistas de segurança também podem aprimorar as detecções existentes, tornando o comportamento incomum identificado por anomalias uma condição para que os alertas sejam acionados.
Evidência durante investigações: os analistas de segurança também podem usar anomalias durante investigações para ajudar a confirmar uma violação, encontrar novos caminhos para investigá-la e avaliar seu impacto potencial. Essas eficiências reduzem o tempo gasto pelos analistas de segurança em investigações.
O início das buscas por ameaças proativas: caçadores de ameaças podem usar anomalias como contexto para ajudar a determinar se suas consultas têm comportamento suspeito descoberto. Quando o comportamento é suspeito, as anomalias também apontam para potenciais caminhos para mais buscas. Essas pistas fornecidas pelas anomalias reduzem o tempo de detecção de uma ameaça e sua chance de causar danos.
As anomalias podem ser ferramentas poderosas, mas são, sem dúvida, barulhentas. Normalmente, elas exigem muitos ajustes entediantes para ambientes específicos ou um pós-processamento complexo. Os modelos de anomalias personalizáveis do Microsoft Sentinel são ajustados pela nossa equipe de ciência de dados para fornecer valor pronto para uso, mas se você precisar ajustá-los ainda mais, o processo é simples e não requer conhecimento de aprendizado de máquina. Os limites e parâmetros para muitas das anomalias podem ser configurados e ajustados por meio da interface do usuário da regra de análise já conhecida. O desempenho do limite original e dos parâmetros pode ser comparado com os novos dentro da interface e ajustados ainda mais conforme necessário durante uma fase de teste ou de voo. Depois que a anomalia atender aos objetivos de desempenho, a anomalia com o novo limite ou parâmetros poderá ser promovida para produção com o clique de um botão. As anomalias personalizáveis do Microsoft Sentinel permitem que você se beneficie das anomalias sem o trabalho pesado geralmente envolvido.
Trabalhar com regras de análise de detecção de anomalias
Os recurso de anomalias personalizáveis do Microsoft Sentinel fornecem modelos de anomalias integrados para valor imediato pronto para uso. Esses modelos de anomalias foram desenvolvidos para serem robustos usando milhares de fontes de dados e milhões de eventos, mas esse recurso também permite alterar facilmente os limites e parâmetros para as anomalias na interface do usuário. As regras de anomalias devem ser ativadas antes que gerem anomalias, que você pode encontrar na tabela Anomalias na seção Logs.
No menu de navegação do Microsoft Sentinel, selecione Análise.
Na página Análise, selecione a guia Modelos de regra.
Filtre a lista para modelos de anomalias:
Selecione o filtro Tipo de regra e a lista suspensa que aparece abaixo.
Desmarque Selecionar tudo e, em seguida, marque Anomalia.
Se necessário, selecione a parte superior da lista suspensa para retraí-la e clique em OK.
Ativar regras de anomalias
Ao selecionar um dos modelos de regra, você verá as seguintes informações no painel de detalhes, junto com um botão Criar regra:
Descrição explica como a anomalia funciona e os dados necessários.
Fontes de dados indicam o tipo de logs que precisam ser ingeridos para serem analisados.
Táticas e técnicas são as táticas e técnicas da estrutura MITRE ATT&CK cobertas pela anomalia.
Parâmetros são os atributos configuráveis para a anomalia.
Limite é um valor configurável que indica o grau em que um evento deve ser incomum antes que uma anomalia seja criada.
Frequência da regra é o tempo entre trabalhos de processamento de log que encontram as anomalias.
Versão da anomalia mostra a versão do modelo usada por uma regra. Se você quiser alterar a versão usada por uma regra que já está ativa, deverá recriar a regra.
Última atualização do modelo é a data em que a versão da anomalia foi alterada.
Conclua as seguintes etapas para ativar uma regra:
Escolha um modelo de regra que ainda não tenha o rótulo EM USO. Selecione o botão Criar regra para abrir o assistente de criação de regra.
O assistente de cada modelo de regra será ligeiramente diferente, mas ele tem três etapas ou guias: Geral, Configuração e Revisar e criar.
Você não pode alterar nenhum dos valores no assistente; primeiro, você precisa criar e ativar a regra.
Navegue pelas guias, aguarde a mensagem "Validação aprovada" na guia Revisar e criar e selecione o botão Criar.
Você só pode criar uma regra ativa de cada modelo. Depois de concluir o assistente, uma regra de anomalias ativa será criada na guia Regras ativas e o modelo (na guia Modelos de regra) será marcado como EM USO.
Depois que a regra de anomalias for ativada, as anomalias detectadas serão armazenadas na tabela Anomalias na seção Logs do workspace do Microsoft Sentinel.
Cada regra de anomalias tem um período de treinamento e as anomalias não aparecerão na tabela até depois desse período de treinamento. Você pode encontrar o período de treinamento na descrição de cada regra de anomalia.
Avaliar a qualidade das anomalias
Você pode ver o desempenho de uma regra de anomalias revendo uma amostra das anomalias criadas por uma regra no último período de 24 horas.
No menu de navegação do Microsoft Sentinel, selecione Análise.
Na página Análise, verifique se a guia Regras ativas está selecionada.
Filtre a lista para regras de Anomalias (como acima).
Selecione a regra que você deseja avaliar e copie o nome na parte superior do painel de detalhes à direita.
No menu de navegação do Microsoft Sentinel, selecione Logs.
Se uma galeria de Consultas aparecer na parte superior, feche-a.
Selecione a guia Tabelas no painel esquerdo da página Logs.
Defina o filtro Intervalo de tempo como Últimas 24 horas.
Copie a consulta Kusto abaixo e cole-a na janela de consulta (em que ela diz "Digite sua consulta aqui ou..."):
Anomalies
| where AnomalyTemplateName contains "________________________________"
Paste the rule name you copied above in place of the underscores between the quotation marks.
- Selecione Executar.
Quando você tiver alguns resultados, poderá começar a avaliar a qualidade das anomalias. Se você não tiver resultados, tente aumentar o intervalo de tempo.
Expanda os resultados de cada anomalia e expanda o campo AnomalyReasons. Isso dirá por que a anomalia foi disparada.
A "razoabilidade" ou "utilidade" de uma anomalia pode depender das condições do seu ambiente, mas um motivo comum para uma regra de anomalia produzir muitas anomalias é que o limite está muito baixo.
Ajustar regras de anomalias
Embora as regras de anomalias sejam projetadas para máxima eficácia e uso imediato, cada situação é exclusiva e, às vezes, as regras de anomalias precisam ser ajustadas.
Como não é possível editar uma regra ativa original, primeiro você deve duplicar a regra de anomalia ativa e, em seguida, personalizar a cópia.
A regra de anomalia original continuará em execução até que você a desabilite ou exclua.
Isso é por design, para proporcionar a oportunidade de comparar os resultados gerados pela configuração original com a nova. As regras duplicadas são desabilitadas por padrão. Você só pode fazer uma cópia personalizada de qualquer regra de anomalia. As tentativas de fazer uma segunda cópia falharão.
Para alterar a configuração de uma regra de anomalias, selecione-a na guia Regras ativas.
Clique com o botão direito do mouse em qualquer lugar na linha da regra ou com o botão esquerdo nas reticências (…) no final da linha e selecione em Duplicar.
A nova cópia da regra terá o sufixo " – Personalizado" no nome da regra. Para realmente personalizar essa regra, selecione-a e escolha Editar.
A regra é aberta no assistente de regra do Analytics. Aqui você pode alterar os parâmetros e o limite da regra. Os parâmetros que podem ser alterados variam de acordo com cada tipo de anomalia e algoritmo.
Você pode visualizar os resultados das alterações no painel Visualização de resultados. Selecione uma ID da Anomalia na visualização de resultados para ver por que o modelo de ML identifica essa anomalia.
Habilita a regra personalizada para gerar resultados. Algumas das alterações podem exigir que a regra seja executada novamente. Portanto, você deve aguardar a execução ser concluída e voltar para verificar os resultados na página de logs. A regra de anomalia personalizada é executada no modo de Liberação de versões de pré-lançamento (teste) por padrão. A regra original continua em execução no modo de Produção por padrão.
Para comparar os resultados, volte para a tabela Anomalias em Logs para avaliar a nova regra como antes, procure apenas as linhas com o nome da regra original e o nome da regra duplicada com " – Personalizado" anexado a ela na coluna AnomalyTemplateName.
Se você estiver satisfeito com os resultados da regra personalizada, volte para a guia Regras ativas, selecione a regra personalizada, clique no botão Editar e, na guia Geral, mude de Teste as versões de pré-lançamento para Produção. A regra original mudará automaticamente para Liberação de versões de pré-lançamento, pois você não pode ter duas versões da mesma regra em produção ao mesmo tempo.