使用异常情况检测分析规则模板

  • 3 分钟

随着攻击者和防御者不断在网络安全军备竞赛中争夺优势,攻击者一直想方设法逃避检测。 但是,攻击不可避免会导致系统受到攻击时出现异常行为。 Microsoft Sentinel 的可自定义的、基于机器学习的异常可以通过分析规则模板来识别此行为,这些模板可以开箱即用。 虽然单单异常本身不一定表明存在恶意行为,甚至是可疑行为,但可用于提高检测、调查和威胁搜寻:

  • 用于提高检测的其他信号:安全分析师可以使用异常来检测新威胁并提高现有检测效率。 单个异常不是恶意行为的强信号,但与攻击链上不同点发生的多个异常结合时,其累积效果要强得多。 安全分析师还可以将异常所识别的异常行为作为触发警报的条件,从而增强现有检测。

  • 调查期间的证据:安全分析师还可以在调查期间使用异常来帮助确认安全漏洞,找到调查漏洞的新途径,以及评估其潜在影响。 这些效率减少了安全分析师在调查上所花的时间。

  • 主动威胁搜寻的开始:威胁搜寻者可以使用异常作为上下文来帮助确定其查询是否已发现可疑行为。 当行为可疑时,异常还指向进一步搜寻的潜在路径。 异常提供的这些线索会缩短检测威胁的时间,并降低其造成损害的机会。

异常可以是功能强大的工具,但其干扰也非常大。 对于特定的环境或复杂的后处理,它们通常需要大量繁琐的优化。 Microsoft Sentinel 可自定义异常模板经由我们的数据科学团队的优化,可以提供开箱即用的值,但是,如果需要进一步优化这些值,过程很简单,且无需了解机器学习。 许多异常的阈值和参数可以通过已经很熟悉的分析规则用户界面进行配置和精细优化。 可以将原始阈值和参数的性能与界面中的新阈值和参数进行比较,并根据需要在测试或发布外部测试版阶段中进行进一步优化。 异常满足性能目标后,可通过单击按钮将具有新阈值或参数的异常提升到生产。 Microsoft Sentinel 可自定义异常既能够获得异常的优势,又省却了繁琐的工作。

使用异常情况检测分析规则

Microsoft Sentinel 的可自定义的异常功能提供内置异常模板,具有开箱即用的即时价值。 这些异常模板是使用数千个数据源和数百万个事件开发而成,非常可靠,而且该项功能还能够让你在用户界面中轻松更改异常的阈值和参数。 异常规则必须在激活后才能生成异常,你可以在“日志”部分的“异常”表中找到这些异常。

  1. 从 Microsoft Sentinel 导航菜单中,选择“分析”。

  2. 在“分析”页上,选择“规则模板”选项卡。

  3. 筛选异常模板列表:

    • 选择“规则类型”筛选器,然后单击下方出现的下拉列表。

    • 取消标记“全选”,然后标记“异常”。

    • 如有必要,选择下拉列表顶部以收回列表,然后选择“确定”。

激活异常规则

当选择其中一个规则模板时,你将会在细节窗格中看到以下信息以及“创建规则”按钮:

  • “描述”:说明异常的工作原理及其所需的数据。

  • “数据源”:指示为执行分析而需要引入的日志的类型。

  • “策略和技术”是异常情况涵盖的 MITRE ATT&CK 框架策略和技术

  • “参数”:指异常的可配置属性。

  • “阈值”:指可配置值,该值指示在创建异常前,事件必须达到的异常程度。

  • “规则频率”:指查找异常的日志处理作业之间经过的时间。

  • “异常版本”:显示规则使用的模板版本。 若要更改已处于活动状态的规则使用的版本,则必须重新创建该规则。

  • “上次更新模板的时间”:指更改异常版本的日期。

请完成以下步骤,以激活规则:

  • 选择尚未标记“正在使用”的规则模板。 选择“创建规则”按钮,以打开规则创建向导。

    每个规则模板的向导略有不同,但其中包含三个步骤或选项卡:“常规”、“配置”以及“查看并创建”。

    你不能更改向导中的任何值;而且,必须先创建并激活规则。

  • 在各选项卡间循环切换,等待“查看并创建”选项卡上出现“通过验证”这则消息,然后选择“创建”按钮。

    你只能从每个模板创建一项活动规则。 完成向导后,系统将在“活动规则”选项卡中创建活动异常规则,并且(“规则模板”选项卡中的)模板将被标记“正在使用”。

激活异常规则后,检测到的异常将存储在 Microsoft Sentinel 工作区“日志”部分的“异常”表中。

每个异常规则都有一个训练期,并且异常在相应训练期结束后才会出现在异常表中。 你可以在每个异常规则的“描述”中找到训练期。

评估异常质量

若要了解异常规则的执行情况,可以查看过去 24 小时内使用规则创建的异常示例。

  • 从 Microsoft Sentinel 导航菜单中,选择“分析”。

  • 在“分析”页上,检查是否有选中“活动规则”选项卡。

  • 筛选异常规则列表(如上文所述)。

  • 选择要评估的规则,并将其名称从细节窗格顶部复制到右侧。

  • 从 Microsoft Sentinel 导航菜单中,选择“日志”。

  • 如果顶部弹出“查询”库,请关闭该库。

  • 选择“日志”页左窗格中的“表”选项卡。

  • 将“时间范围”筛选规则设置为“过去 24 小时”。

  • 复制下面的 Kusto 查询,并将其粘贴到查询窗口(其中显示“在此键入查询或…”):

Anomalies 
| where AnomalyTemplateName contains "________________________________"

Paste the rule name you copied above in place of the underscores between the quotation marks.
  • 选择“运行”。

当收到一些结果后,即可开始评估异常的质量。 如果没有收到结果,可尝试延长时间范围。

展开每个异常的结果,然后展开“AnomalyReasons”字段。 此字段将提供触发异常的具体原因。

异常的“合理性”或“有用性”可能取决于环境条件,但异常规则产生过多异常的常见原因是阈值过低。

优化异常规则

虽然异常规则专为最大限度提高开箱即用的效率而设计,但每一种情况都有其独特性,因此有时需要优化异常规则。

你无法编辑原始活动规则,因此必须先复制活动异常规则,然后自定义副本。

原始异常规则将继续运行,直到你禁用或删除该规则。

此设置经专门设计,目的是可以让你比较原始配置与新配置生成的不同结果。 系统默认禁用所有重复的规则。 对于任何给定异常规则,你只能创建一个自定义副本。 创建第二个副本的尝试将会以失败告终。

  • 若要更改异常规则的配置,请在“活动规则”选项卡中选择该异常规则。

  • 右键单击规则行上的任意位置,或左键单击行末尾的省略号 (...),然后选择“复制”。

  • 规则新副本的规则名称中将带有后缀“ - Customized”。 若要实际自定义此规则,请选择此规则,然后选择“编辑”。

  • 该规则将在“分析规则”向导中打开。 你可在此更改该规则的参数及其阈值。 可更改的参数因每种异常类型和算法而异。

  • 你可以在“结果预览”窗格中预览相关更改的结果。 选择结果预览中的“异常 ID”,即可查看 ML 模型识别该异常的原因。

  • 启用自定义规则来生成结果。 有些更改可能需要重新运行规则,因此你必须等到重新运行完成后,再返回“日志”页检查相关结果。 自定义异常规则默认在外部测试(测试)模式下运行。 原始规则默认继续在生产模式下运行。

  • 若要比较结果,请返回到日志中的“异常”表,像之前一样评估新规则,并且只在“AnomalyTemplateName”列查找包含原始规则名称以及追加“ - Customized”后缀的重复规则名称的行。

    如果你很满意自定义规则生成的结果,可以返回到“活动规则”选项卡,选择相应自定义规则,选择“编辑”按钮,并在“常规”选项卡上将“外部测试”切换为“生产”。 原始规则将自动更改为“外部测试”,因为你无法同时生产同一规则的两个版本。