使用異常偵測分析規則範本

  • 3 分鐘

隨著攻擊者和防禦者在網絡安全軍備競賽中不斷爭奪優勢,攻擊者總是想方設法規避偵測。 但是不可避免地,攻擊仍然會導致遭受攻擊的系統出現異常行為。 Microsoft Sentinel 的可自訂機器學習型異常可以使用分析規則範本來識別此行為,而這些範本可以立即開始運作。 雖然異常不一定會自行指出惡意或甚至可疑的行為,但可以用來改善偵測、調查和威脅搜捕:

  • 其他改善偵測的訊號:安全性分析可以使用異常來偵測新的威脅,並使現有的偵測更有效率。 單一異常並不是惡意行為的強烈訊號,但是當與攻擊鏈上不同點發生的數個異常結合時,其累積的效果就強很多。 安全性分析師也可以增強現有偵測,方法為使異常所識別的不尋常行為成為引發警示的條件。

  • 調查期間的證據:安全分析師也可以在調查期間使用異常來協助確認安全性缺口、尋找新的調查途徑,以及評估其潛在影響。 這些效率可減少安全性分析師在調查上花費的時間。

  • 開始主動威脅搜捕:威脅搜捕者可以使用異常作為內容,來協助判斷其查詢是否發現了可疑行為。 當行為可疑時,異常也會指向潛在路徑來進一步搜捕。 異常所提供的這些線索可同時減少偵測威脅的時間及其造成損害的機會。

異常可能是強大的工具,但也是出了名的嘈雜。 其通常需要針對特定環境或複雜的後處理進行非常繁瑣的調整。 Microsoft Sentinel 可自訂的異常範本是由我們的資料科學小組所調整,以提供現成可用的值,但如果您需要進一步調整這些範本,流程很簡單,而且不需要機器學習的知識。 您可以透過熟悉的分析規則使用者介面,設定和微調許多異常的閾值和參數。 原始閾值和參數的效能可以與介面內的閾值和參數進行比較,並在測試期間或正式發行前小眾測試階段期間進一步調整。 一旦異常符合了效能目標,具有新閾值或參數的異常就可以透過按一下按鈕提升至生產環境。 Microsoft Sentinel 可自訂的異常可讓您在不需辛苦工作的情況下獲得異常的好處。

使用異常偵測分析規則

Microsoft Sentinel 可自訂的異常功能為立即可用的值提供內建異常範本。 這些異常範本是使用數千個資料來源和數百萬個事件開發為強大的範本,但這項功能也可讓您輕鬆地在使用者介面內變更異常的閾值和參數。 異常規則必須在其產生異常之前啟用,如此您就可以在記錄區段的異常表格中找到這些異常。

  1. 從 Microsoft Sentinel 導覽功能表中,選取 [分析]。

  2. 在 [分析] 頁面上,選取 [規則範本] 索引標籤。

  3. 篩選異常範本的清單:

    • 選取規則類型篩選條件,然後會出現如下的下拉式清單。

    • 取消標記 [全選],然後標記 [異常]。

    • 如有必要,請選取下拉式清單的頂端以重新追蹤,然後選取 [確定]。

啟用異常規則

選取其中一個規則範本時,您會在詳細資料窗格中看到下列資訊,以及 [建立規則] 按鈕:

  • 描述描述異常的運作方式及其所需的資料。

  • 資料來源指出需要內嵌才能分析的記錄類型。

  • 策略和技術 是異常所涵蓋的 MITRE ATT&CK 架構策略和技術。

  • 參數是異常的可設定屬性。

  • 閾值是可設定的值,指出建立異常之前,事件必須具有的不尋常程度。

  • 規則頻率是尋找異常的記錄處理作業之間的時間。

  • 異常版本顯示規則所使用的範本版本。 如果想要變更已作用中規則所使用的版本,您必須重新建立規則。

  • 範本上次更新日期是異常版本變更的日期。

請完成下列步驟來啟動規則:

  • 選擇尚未標示為 [使用中] 的規則範本。 選取 [建立規則] 按鈕以開啟規則建立精靈。

    每個規則範本的精靈都會稍微不同,但都具有三個步驟或索引標籤:一般、設定、檢閱及建立。

    您無法變更精靈中的任何值;您首先必須建立並啟動規則。

  • 循環瀏覽索引標籤、等待 [檢閱及建立] 索引標籤上的「驗證已通過」訊息,然後選取 [建立] 按鈕。

    您只能從每個範本中建立一個作用中的規則。 一旦您完成了精靈,就會在 [作用中規則] 索引標籤中建立作用中異常規則,而且範本 (位於 [規則範本] 索引標籤中) 將會標記為 [使用中]。

一旦啟動了異常規則,偵測到的異常就會儲存在異常表格中,此表格位於 Microsoft Sentinel 工作區的 [記錄] 區段中。

每個異常規則都有訓練期間,而且異常不會出現在表格中,直到該訓練期間結束後。 您可以在每個異常規則的描述中找到訓練期間。

評估異常品質

您可以檢閱規則在過去 24 小時期間所建立的異常範例,以查看異常規則的執行程度。

  • 從 Microsoft Sentinel 導覽功能表中,選取 [分析]。

  • 在 [分析] 頁面上,檢查是否已選取 [作用中規則] 索引標籤。

  • 篩選異常規則的清單 (如上述)。

  • 選取您想要評估的規則,並將其名稱從詳細資料窗格頂端複製到右側。

  • 從 Microsoft Sentinel 導覽功能表中,選取 [記錄]。

  • 如果查詢資源庫快顯在頂端,請將其關閉。

  • 在 [記錄] 頁面的左窗格上選取 [表格] 索引標籤。

  • 將時間範圍篩選條件設定為過去 24 小時。

  • 複製下方的 Kusto 查詢,並將其貼在查詢視窗中 (其中指出「在這裡輸入您的查詢或...」):

Anomalies 
| where AnomalyTemplateName contains "________________________________"

Paste the rule name you copied above in place of the underscores between the quotation marks.
  • 選取執行。

有一些結果時,您可以開始評估異常的品質。 如果沒有結果,請嘗試增加時間範圍。

展開每個異常的結果,然後展開 AnomalyReasons 欄位。 這會告訴您為什麼引發異常。

異常的「合理性」或「實用性」可能取決於您的環境條件,但異常規則產生太多異常的常見原因,就是閾值太低。

調整異常規則

雖然異常規則是為最大現成效率而設計的,但每種情況都是唯一的,有時需要調整異常規則。

由於您無法編輯原始作用中規則,因此您必須首先複製作用中異常規則,然後自定義複本。

原始異常規則會持續執行,直到您將其停用或刪除為止。

這種設計方式可讓您有機會比較原始設定所產生的結果與新設定所產生的結果。 複製規則預設為已停用。 您只能為任何給定的異常規則建立一個自訂複本。 嘗試建立第二個複本將會失敗。

  • 若要變更異常規則的設定,請在 [作用中規則] 索引標籤中選取異常規則。

  • 以滑鼠右鍵按一下規則列的任意處,或以滑鼠左鍵按一下列尾的省略符號 (...),然後選取 [複製]。

  • 規則的新複本會在規則名稱中具有尾碼 " - Customized"。 若要實際地自訂此規則,請選取此規則,然後選取 [編輯]。

  • 此規則即會在分析規則精靈中開啟。 您可以在這裡變更規則的參數及其閾值。 可變更的參數會隨著每個異常類型和演算法而有所不同。

  • 您可以在 [結果預覽] 窗格中預覽變更的結果。 選取結果預覽中的異常識別碼,以查看 ML 模型為什麼會識別該異常。

  • 啟用自訂規則以產生結果。 您的某些變更可能需要再次執行規則,因此您必須等候規則完成,然後返回以檢查記錄頁面上的結果。 自訂異常規則預設在正式發行前小眾測試模式中執行。 原始規則預設會繼續在生產模式中執行。

  • 若要比較結果,請返回 [記錄] 中的異常表格,如同以前一般評估新規則,僅在 AnomalyTemplateName 行中尋找具有原始規則名稱的列,以及 " - Customized" 附加至其複製規則名稱的列。

    如果對自訂規則的結果感到滿意,您可以返回 [作用中規則] 索引標籤、選取自訂規則、選取 [編輯] 按鈕,然後在 [一般] 索引標籤上將其從 [正式發行前小眾測試] 切換到 [生產]。 原始規則會自動變更為 [正式發行前小眾測試],因為您不能同時在生產中具有同一規則的兩個版本。