Шаблоны правил аналитики для обнаружения аномалий

  • 3 мин

Злоумышленники и защитники постоянно борются за преимущество в гонке вооружений кибербезопасности, поэтому злоумышленники постоянно ищут способы уклониться от обнаружения. Но атаки по-прежнему неизбежно приводят к необычному поведению в системах, подвергшихся атакам. Настраиваемые аномалии Microsoft Sentinel на основе машинного обучения могут выявлять такое поведение с помощью шаблонов правил аналитики, которые готовы к работе сразу же после поставки. Хотя аномалии необязательно указывают на вредоносное или даже подозрительное поведение, их можно использовать для повышения точности обнаружений, изучения и охоты на угрозы.

  • Дополнительные сигналы для улучшения обнаружения. Аналитики безопасности могут использовать аномалии для обнаружения новых угроз и повышения эффективности существующих обнаружений. Одна аномалия не является существенным признаком вредоносного поведения, но в сочетании с несколькими аномалиями, происходящими в разных точках поэтапной кибератаки, их совокупный результат значительно более надежен. Аналитики безопасности могут улучшить существующие обнаружения, а также сделать идентификацию необычного поведения с помощью аномалий условием для срабатывания оповещений.

  • Свидетельство в ходе расследования: аналитики безопасности также могут использовать аномалии во время расследования, чтобы легче было подтвердить нарушение, найти новые пути для их изучения и оценить потенциальное влияние. Эти эффективные преимущества сокращают время, затрачиваемое аналитиками безопасности на расследование.

  • Начало упреждающей охоты на угрозы: охотники за угрозами могут использовать аномалии в качестве контекста, чтобы определить, раскрыли ли они с помощью запросов подозрительное поведение. Если поведение подозрительное, аномалии также указывают на потенциальные пути для дальнейшей охоты. Эти улики, получаемые с помощью аномалий, сокращают время обнаружения угрозы и снижают риск возникновения ущерба из-за нее.

Аномалии могут быть мощными инструментами, но они содержат лишнюю информацию. Обычно для них требуется трудоемкая настройка в конкретной среде или сложная последующая обработка. Настраиваемые шаблоны аномалий Microsoft Sentinel настраиваются нашей командой обработки и анализа данных таким образом, чтобы их можно было использовать сразу же после поставки. При необходимости шаблоны можно легко настроить, знание машинного обучения для этого не требуется. Пороговые значения и параметры для многих аномалий можно точно настроить с помощью уже знакомого пользовательского интерфейса правил аналитики. Производительность исходного порогового значения и параметров можно сравнивать с новыми элементами в интерфейсе и при необходимости дополнительно настраивать в ходе тестирования или на этапе предоставления доступа. После того как будет установлено, что аномалия соответствует целям производительности, аномалию с новым пороговым значением или параметрами можно будет повысить до рабочей среды, нажав кнопку. С помощью настраиваемых аномалий Microsoft Sentinel можно получить преимущества без больших трудозатрат.

Использование правил аналитики для обнаружения аномалий

Функция обнаружения аномалий в Microsoft Sentinel предоставляет встроенные шаблоны аномалий. Их можно применить сразу после установки. Эти шаблоны обнаружения аномалий тщательно продуманы для надежного применения к тысячам разных источников данных и миллионам событий. Кроме того, эта функция позволяет легко изменять параметры и пороги для аномалий в пользовательском интерфейсе. После активации правил обнаружения аномалий начинают создаваться сообщения об аномалиях. Их можно найти в таблице "Аномалии" в разделе "Журналы".

  1. В меню навигации Microsoft Sentinel выберите Аналитика.

  2. На странице Аналитика перейдите на вкладку Шаблоны правил.

  3. Отфильтруйте список по шаблонам типа Аномалия:

    • Выберите фильтр Тип правила, а затем щелкните раскрывающийся список, который откроется ниже.

    • Снимите флажок Выделить все, а затем установите флажок Аномалия.

    • При необходимости щелкните верхнюю часть раскрывающегося списка, чтобы свернуть его. Затем нажмите кнопку ОК.

Активация правил обнаружения аномалий

При выборе любого из шаблонов правил в области сведений отобразятся следующие сведения и кнопка "Создать правило":

  • Описание. Сведения об этой аномалии и о том, какие данные для нее требуются.

  • Источники данных. Тип журналов, которые должны быть приняты для анализа.

  • Тактика и методы — это тактика и приемы платформы MITRE ATT&CK, охватываемые аномалией.

  • Параметры. Настраиваемые атрибуты аномалии.

  • Порог. Настраиваемое значение, указывающее степень нетипичности события, при превышении которой создается сообщение об аномалии.

  • Частота правила. Это время между выполнением последовательных заданий обработки журнала для поиска аномалий.

  • Anomaly version (Версия аномалии). Версия шаблона, которую использует это правило. Если вы хотите изменить версию, уже используемую активным правилом, вам нужно будет повторно создать правило.

  • Template last updated (Последнее обновление шаблона). Дата изменения используемой версии аномалии.

Чтобы активировать правило, выполните следующие действия:

  • Выберите шаблон правила, который еще не снабжен меткой "Используется". Нажмите кнопку Создать правило, чтобы открыть мастер создания правил.

    Этот мастер будет по-разному выглядеть для каждого шаблона правила, но он всегда содержит три шага или вкладки: Общие, Настройка и Проверка и создание.

    Значения в мастере изменить нельзя. Для этого необходимо создать и активировать правило.

  • Пройдите по всем вкладкам, дождитесь сообщения "Проверка пройдена" на вкладке Проверка и создание и нажмите кнопку Создать.

    По каждому шаблону можно создать только одно активное правило. По завершении работы мастера появится активное правило обнаружения аномалий на вкладке Активные правила, а к выбранному шаблону на вкладке Шаблоны правил будет добавлена метка Используется.

После активации правила обнаружения аномалий сведения обо всех обнаруженных аномалиях будут сохраняться в таблице Аномалии в разделе Журналы рабочей области Microsoft Sentinel.

Для каждого правила обнаружения аномалий предусмотрен определенный период обучения, до завершения которого аномалии не будут отображаться в этой таблице. Длительность периода обучения можно узнать в описании каждого правила обнаружения аномалий.

Оценка качества обнаружения аномалий

Чтобы проверить, насколько хорошо работает правило обнаружения аномалий, просмотрите примеры аномалий, созданных правилом за последние 24 часа.

  • В меню навигации Microsoft Sentinel выберите Аналитика.

  • Убедитесь, что на странице Аналитика выбрана вкладка Активные правила.

  • Отфильтруйте этот список по типу правил Аномалия (как описано выше).

  • Выберите правило, которое вы решили оценить, и скопируйте его имя из верхней части области сведений справа.

  • В меню навигации Microsoft Sentinel выберите Журналы.

  • Если поверх нужного представления откроется коллекция Запросы, закройте ее.

  • Выберите вкладку Таблицы в левой части страницы Журналы.

  • В фильтре Диапазон времени выберите значение Последние 24 часа.

  • Скопируйте приведенный ниже запрос Kusto и вставьте его в окно запроса (где отображается сообщение "Введите запрос или..."):

Anomalies 
| where AnomalyTemplateName contains "________________________________"

Paste the rule name you copied above in place of the underscores between the quotation marks.
  • Выберите Выполнить.

Если появятся какие-то результаты, можно оценить их качество. Если результатов нет, попробуйте увеличить диапазон времени.

Разверните результаты для каждой аномалии, а затем разверните поле Anomaly Reasons (Причины аномалии). Это позволит определить причину срабатывания средства обнаружения аномалий.

"Обоснованность" или "полезность" аномалии может зависеть от условий среды, но слишком большое количестве аномалий обычно объясняется слишком низким порогом.

Настройка правил обнаружения аномалий

Наши правила обнаружения аномалий тщательно продуманы для достижения максимальной эффективности, но каждая ситуация является уникальной и иногда требует дополнительной настройки правил обнаружения аномалий.

Вы не можете изменить исходное активное правило, поэтому сначала дублируйте активное правило обнаружения аномалий, а затем настройте созданную копию.

Исходное правило обнаружения аномалий будет работать до тех пор, пока вы не отключите или не удалите его.

Такое поведение специально реализовано, чтобы вы могли сравнивать результаты, полученные с исходной и новой конфигурациями. По умолчанию новые копии правил отключены. Вы можете создать только одну копию любого правила обнаружения аномалий для дополнительной настройки. Попытка создать вторую копию завершится ошибкой.

  • Чтобы изменить конфигурацию правила обнаружения аномалий, выберите нужное правило на вкладке Активные правила.

  • Щелкните правой кнопкой мыши в любом месте строки правила или щелкните многоточие (...) в конце строки и выберите команду Дублировать.

  • У новой копии правила будет такое же имя, как и у исходной, с суффиксом " - Customized". Чтобы изменить это правило, выберите его и щелкните элемент Изменить.

  • Правило откроется в мастере правил аналитики. Здесь вы можете изменить параметры правила и порог. Доступные для изменения параметры зависят от алгоритма и типа аномалии.

  • Результаты изменений можно изучить в области просмотра результатов. Щелкните элемент Anomaly ID (Идентификатор аномалии) в области просмотра результатов и узнайте, почему модель машинного обучения сочла обнаруженные данные аномалией.

  • Включите настроенное правило, чтобы получить результаты. Возможно, для некоторых изменений потребуется повторно выполнить правило. В этом случае дождитесь его завершения, и только после этого переходите к проверке результатов на странице журналов. Настроенное правило обнаружения аномалий по умолчанию выполняется в режиме Фокус-тестирование. Исходное правило по умолчанию продолжит выполняться в режиме Рабочая среда.

  • Чтобы сравнить результаты, откройте таблицу аномалий на странице Журналы и оцените новое правило, как описано выше. Уделяйте внимание строкам с исходным именем правила и с именем дублированного правила (с суффиксом " - Customized") в столбце AnomalyTemplateName (Имя шаблона аномалии).

    Если вы удовлетворены результатами применения измененного правила, вернитесь на вкладку "Активные правила", щелкните измененное правило и нажмите кнопку "Изменить". Затем на вкладке "Общие "переключите режим "Фокус-тестирование" на "Рабочая среда". Исходное правило при этом автоматически перейдет в режим Фокус-тестирование, так как в рабочей среде не могут одновременно использоваться две версии одного и того же правила.