Använda mallar för analysregel för avvikelseidentifiering
Med angripare och försvarare som ständigt kämpar för fördelar i cybersäkerhetens kapprustning hittar angripare alltid sätt att undvika upptäckt. Oundvikligen kommer dock attacker fortfarande att leda till ovanligt beteende i de system som attackeras. Microsoft Sentinels anpassningsbara, maskininlärningsbaserade avvikelser kan identifiera det här beteendet med analysregelmallar som kan användas direkt. Avvikelser indikerar inte nödvändigtvis skadligt eller till och med misstänkt beteende på sig själva, men de kan användas för att förbättra identifieringar, undersökningar och hotjakt:
Ytterligare signaler för att förbättra identifieringen: Säkerhetsanalytiker kan använda avvikelser för att identifiera nya hot och göra befintliga identifieringar effektivare. En enskild avvikelse är inte en stark signal om skadligt beteende, men i kombination med flera avvikelser som inträffar vid olika tidpunkter i killkedjan är deras kumulativa effekt mycket starkare. Säkerhetsanalytiker kan även förbättra befintliga identifieringar genom att göra det ovanliga beteendet som identifieras av avvikelser till ett villkor för att aviseringar ska utlöses.
Bevis under undersökningar: Säkerhetsanalytiker kan också använda avvikelser under undersökningar för att bekräfta ett intrång, hitta nya vägar för att undersöka det och utvärdera dess potentiella inverkan. Dessa effektivitetsvinster minskar den tid som säkerhetsanalytiker lägger på utredningar.
Start av proaktiva hotjakter: Hotjägare kan använda avvikelser som kontext för att avgöra om deras frågor har upptäckt misstänkt beteende. När beteendet är misstänkt pekar avvikelserna också mot potentiella sökvägar för ytterligare jakt. Dessa ledtrådar som tillhandahålls av avvikelser minskar både tiden för att upptäcka ett hot och dess chans att orsaka skada.
Avvikelser kan vara kraftfulla verktyg, men de är notoriskt högljudda. De kräver vanligtvis mycket omständlig justering för specifika miljöer eller komplex efterbearbetning. Microsoft Sentinel-anpassningsbara avvikelsemallar finjusteras av vårt datavetenskapsteam för att tillhandahålla out-of-the-box-värde, men om du behöver finjustera dem ytterligare är processen enkel och kräver ingen kunskap om maskininlärning. Tröskelvärdena och parametrarna för många av avvikelserna kan konfigureras och finjusteras via användargränssnittet för den redan välbekanta analysregeln. Prestandan för det ursprungliga tröskelvärdet och parametrarna kan jämföras med de nya i gränssnittet och justeras ytterligare efter behov under en testnings- eller flygfas. När avvikelsen uppfyller prestandamålen kan avvikelsen med det nya tröskelvärdet eller parametrarna höjas till produktion med ett klick på en knapp. Med anpassningsbara avvikelser i Microsoft Sentinel kan du dra nytta av avvikelser utan hårt arbete.
Arbeta med analysregler för avvikelseidentifiering
Microsoft Sentinels anpassningsbara funktion för avvikelser innehåller inbyggda avvikelsemallar för omedelbart värde. Dessa avvikelsemallar har utvecklats för att vara robusta med hjälp av tusentals datakällor och miljontals händelser, men med den här funktionen kan du också enkelt ändra tröskelvärden och parametrar för avvikelserna i användargränssnittet. Avvikelseregler måste aktiveras innan de genererar avvikelser, som du hittar i tabellen Avvikelser i avsnittet Loggar.
På Microsoft Sentinel-navigeringsmenyn väljer du Analys.
På sidan Analys väljer du fliken Regelmallar.
Filtrera listan för avvikelsemallar:
Välj filtret Regeltyp och sedan listrutan som visas nedan.
Avmarkera Markera alla och markera sedan avvikelse.
Om det behövs väljer du överst i listrutan för att återkalla den och väljer sedan OK.
Aktivera avvikelseregler
När du väljer någon av regelmallarna visas följande information i informationsfönstret, tillsammans med knappen Skapa regel:
Beskrivning förklarar hur avvikelsen fungerar och vilka data som krävs.
Datakällor anger vilken typ av loggar som måste matas in för att kunna analyseras.
Taktiker och tekniker är MITRE ATT&CK-ramverkets taktik och tekniker som omfattas av avvikelsen.
Parametrar är de konfigurerbara attributen för avvikelsen.
Tröskelvärde är ett konfigurerbart värde som anger i vilken grad en händelse måste vara ovanlig innan en avvikelse skapas.
Regelfrekvens är tiden mellan loggbearbetningsjobb som hittar avvikelserna.
Avvikelseversionen visar den version av mallen som används av en regel. Om du vill ändra den version som används av en regel som redan är aktiv måste du återskapa regeln.
Mallen som senast uppdaterades är det datum då avvikelseversionen ändrades.
Utför följande steg för att aktivera en regel:
Välj en regelmall som inte redan är märkt MED ANVÄNDNING. Välj knappen Skapa regel för att öppna guiden skapa regel.
Guiden för varje regelmall skiljer sig något åt, men den har tre steg eller flikar: Allmänt, Konfiguration, Granska och skapa.
Du kan inte ändra något av värdena i guiden. först måste du skapa och aktivera regeln.
Bläddra igenom flikarna, vänta på meddelandet "Validering har skickats" på fliken Granska och skapa och välj knappen Skapa.
Du kan bara skapa en aktiv regel från varje mall. När du har slutfört guiden skapas en aktiv avvikelseregel på fliken Aktiva regler och mallen (på fliken Regelmallar) markeras SOM ANVÄND.
När avvikelseregeln har aktiverats lagras identifierade avvikelser i tabellen Avvikelser i avsnittet Loggar på din Microsoft Sentinel-arbetsyta.
Varje avvikelseregel har en träningsperiod och avvikelser visas inte i tabellen förrän efter den träningsperioden. Du hittar träningsperioden i beskrivningen av varje avvikelseregel.
Utvärdera kvaliteten på avvikelser
Du kan se hur bra en avvikelseregel fungerar genom att granska ett exempel på de avvikelser som skapats av en regel under den senaste 24-timmarsperioden.
På Microsoft Sentinel-navigeringsmenyn väljer du Analys.
På sidan Analys kontrollerar du att fliken Aktiva regler är markerad.
Filtrera listan för avvikelseregler (enligt ovan).
Välj den regel som du vill utvärdera och kopiera dess namn överst i informationsfönstret till höger.
På Microsoft Sentinel-navigeringsmenyn väljer du Loggar.
Om ett frågegalleri dyker upp överst stänger du det.
Välj fliken Tabeller i den vänstra rutan på sidan Loggar.
Ange tidsintervallfiltret till Senaste 24 timmarna.
Kopiera Kusto-frågan nedan och klistra in den i frågefönstret (där det står "Skriv din fråga här eller..."):
Anomalies
| where AnomalyTemplateName contains "________________________________"
Paste the rule name you copied above in place of the underscores between the quotation marks.
- Markera Kör.
När du har några resultat kan du börja utvärdera kvaliteten på avvikelserna. Om du inte har några resultat kan du försöka öka tidsintervallet.
Expandera resultaten för varje avvikelse och expandera sedan fältet AnomalyReasons. Detta visar varför avvikelsen utlöstes.
"Rimlighet" eller "användbarhet" för en avvikelse kan bero på miljöns villkor, men en vanlig orsak till att en avvikelseregel ger för många avvikelser är att tröskelvärdet är för lågt.
Justera avvikelseregler
Även om avvikelseregler är utformade för maximal effektivitet är varje situation unik, och ibland måste avvikelseregler justeras.
Eftersom du inte kan redigera en ursprunglig aktiv regel måste du först duplicera en aktiv avvikelseregel och sedan anpassa kopian.
Den ursprungliga avvikelseregeln fortsätter att köras tills du antingen inaktiverar eller tar bort den.
Detta är avsiktligt för att ge dig möjlighet att jämföra resultaten som genererades av den ursprungliga konfigurationen och den nya. Duplicerade regler är inaktiverade som standard. Du kan bara göra en anpassad kopia av en viss avvikelseregel. Försök att göra en andra kopia misslyckas.
Om du vill ändra konfigurationen av en avvikelseregel väljer du avvikelseregeln på fliken Aktiva regler.
Högerklicka var som helst på raden i regeln eller vänsterklicka på ellipsen (...) i slutet av raden och välj sedan Duplicera.
Den nya kopian av regeln har suffixet " - Customd" i regelnamnet. Om du vill anpassa den här regeln väljer du den här regeln och väljer Redigera.
Regeln öppnas i guiden Analysregel. Här kan du ändra parametrarna för regeln och dess tröskelvärde. De parametrar som kan ändras varierar med varje avvikelsetyp och algoritm.
Du kan förhandsgranska resultatet av dina ändringar i fönstret Resultatförhandsgranskning. Välj ett avvikelse-ID i resultatförhandsgranskningen för att se varför ML-modellen identifierar den avvikelsen.
Aktivera den anpassade regeln för att generera resultat. Vissa av dina ändringar kan kräva att regeln körs igen, så du måste vänta tills den har slutförts och komma tillbaka för att kontrollera resultatet på loggsidan. Den anpassade avvikelseregeln körs som standard i läget Flighting (testning). Den ursprungliga regeln fortsätter att köras i produktionsläge som standard.
Om du vill jämföra resultaten går du tillbaka till tabellen Avvikelser i Loggar för att utvärdera den nya regeln som tidigare. Leta bara efter rader med det ursprungliga regelnamnet och det duplicerade regelnamnet med " - Anpassad" i kolumnen AnomalyTemplateName.
Om du är nöjd med resultatet för den anpassade regeln kan du gå tillbaka till fliken Aktiva regler, välja den anpassade regeln, välja knappen Redigera och på fliken Allmänt växla den från Flighting till Produktion. Den ursprungliga regeln ändras automatiskt till Flighting eftersom du inte kan ha två versioner av samma regel i produktion samtidigt.