Поделиться через

Рекомендации по точной настройке для правил аналитики в Microsoft Sentinel

  • Статья

Важно!

Настройка правил обнаружения находится на этапе предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Точная настройка правил обнаружения угроз в SIEM может быть сложным, тонким и непрерывным процессом балансирования между максимизацией охвата обнаружения угроз и минимизацией количества ложноположительных результатов. Microsoft Sentinel упрощает и ускоряет этот процесс с помощью машинного обучения, позволяя анализировать миллиарды сигналов из источников данных, а также реагировать на инциденты с течением времени, выявляя закономерности и предоставляя практические рекомендации и аналитические сведения, которые могут значительно снизить издержки на настройку и помочь сосредоточиться на обнаружении реальных угроз и реагировании на них.

Рекомендации по настройке и аналитические сведения теперь встроены в правила аналитики. В этой статье объясняется, какую информацию содержат эти аналитические сведения, а также как вы можете реализовать рекомендации.

Просмотр аналитических сведений о правилах и рекомендаций по настройке

Чтобы узнать, есть ли в Microsoft Sentinel рекомендации по настройке каких-либо из ваших правил аналитики, выберите Аналитика в меню навигации Microsoft Sentinel.

Рядом с правилами, для которых есть рекомендации, будет отображаться значок лампочки, как показано ниже:

Снимок экрана: список правил аналитики с индикатором рекомендаций.

Измените правило, чтобы просмотреть рекомендации и другие аналитические сведения. Они будут отображаться вместе на вкладке Выбор логики правила мастера правил аналитики под отображением Моделирование результатов.

Снимок экрана: настройка аналитических сведений в правиле аналитики.

Типы аналитических сведений

Отображение Рекомендации по настройке состоит из нескольких панелей, на каждой из которых отображается разная информация. Период времени (14 дней), для которых отображаются аналитические сведения, показан в верхней части рамки.

  1. На первой панели аналитических сведений отображается статистическая информация — среднее количество оповещений на инцидент, число открытых инцидентов, а также число закрытых инцидентов, сгруппированных по классификации (истинный или ложноположительный). Эти аналитические сведения помогают определить нагрузку на это правило и выяснить, требуется ли какая-либо настройка, например нужно ли настроить параметры группирования.

    Снимок экрана: аналитические сведения об эффективности правил.

    Эти аналитические сведения являются результатом запроса Log Analytics. При выборе элемента Среднее число оповещений на инцидент будет выполнен переход к запросу в Log Analytics, на основе которого были получены соответствующие аналитические сведения. При выборе Открытые инциденты вы перейдете в колонку Инциденты.

  2. На второй области аналитических сведений приведен список сущностей, которые рекомендуется исключить. Эти сущности тесно связаны с инцидентами, которые были закрыты и классифицированы как ложноположительные. Щелкните знак плюса рядом с каждой из перечисленных сущностей, чтобы исключить ее из запроса в будущих выполнениях этого правила.

    Снимок экрана: рекомендация по исключению сущностей.

    Эта рекомендация создается с помощью расширенных средств обработки и анализа данных и моделей машинного обучения Майкрософт. Включение этой области в отображение Среднее число оповещений на инцидент зависит наличия рекомендаций.

  3. В третьей области аналитических сведений показаны четыре наиболее часто отображаемые сущности для всех предупреждений, создаваемых этим правилом. Чтобы получить результаты, необходимо настроить сопоставление сущностей в правиле для этих аналитических сведений. Эти аналитические сведения помогают понять, какие сущности привлекают к себе внимание и отвлекают от других. Возможно, вы захотите обрабатывать эти сущности отдельно в другом правиле, или решите, что они являются ложноположительными результатами или нерелевантными по другой причине, и исключить их из правила.

    Снимок экрана: основные сведения о сущностях.

    Эти аналитические сведения являются результатом запроса Log Analytics. При выборе любой из сущностей будет выполнен переход к запросу в Log Analytics, на основе которого были получены соответствующие аналитические сведения.

Дальнейшие действия

Дополнительные сведения см. в разделе: