Práce s analytickými pravidly detekce anomálií v Microsoft Sentinelu

Přizpůsobitelná funkce anomálií od Microsoft Sentinelu poskytuje integrované šablony anomálií pro okamžitou okamžitou dostupnost. Tyto šablony anomálií byly vyvinuty tak, aby byly robustní pomocí tisíců zdrojů dat a milionů událostí, ale tato funkce umožňuje také snadno měnit prahové hodnoty a parametry pro anomálie v uživatelském rozhraní. Pravidla anomálií jsou ve výchozím nastavení povolená nebo aktivovaná, takže vygenerují anomálie okamžitě. Tyto anomálie můžete najít a dotazovat v tabulce Anomálie v části Protokoly .

Důležité

Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Zobrazení přizpůsobitelných šablon pravidel anomálií

Pravidla anomálií se teď zobrazují v mřížce na kartě Anomálie na stránce Analýza .

  1. Pro uživatele Microsoft Sentinelu na webu Azure Portal vyberte v navigační nabídce Služby Microsoft Sentinel analýzu .

    Pro uživatele sjednocené platformy operací zabezpečení na portálu Microsoft Defender vyberte v navigační nabídce Microsoft Defenderu analýzu konfigurace > Služby Microsoft Sentinel>.

  2. Na stránce Analýza vyberte kartu Anomálie.

  3. Pokud chcete seznam filtrovat podle jednoho nebo několika následujících kritérií, vyberte Přidat filtr a zvolte podle toho.

    • Stav – jestli je pravidlo povolené nebo zakázané

    • Taktika – taktika ARCHITEKTURY MITRE ATT&CK pokrytá anomálií

    • Techniky – techniky architektury MITRE ATT&CK, na které se vztahuje anomálie.

    • Zdroje dat – typ protokolů, které je potřeba ingestovat a analyzovat, aby se definovala anomálie.

  4. Vyberte pravidlo a v podokně podrobností si prohlédněte následující informace:

    • Popis vysvětluje, jak anomálie funguje a jaká data vyžadují.

    • Taktiky a techniky jsou taktiky a techniky architektury MITRE ATT&CK, na které se vztahuje anomálie.

    • Parametry jsou konfigurovatelné atributy pro anomálie.

    • Prahová hodnota je konfigurovatelná hodnota, která označuje, do jaké míry musí být událost neobvyklá, než se vytvoří anomálie.

    • Frekvence pravidel je čas mezi úlohami zpracování protokolů, které najdou anomálie.

    • Stav pravidla vám říká, jestli se pravidlo spouští v produkčním nebo přípravném režimu, pokud je povoleno.

    • Verze anomálií zobrazuje verzi šablony, která je používána pravidlem. Pokud chcete změnit verzi používanou pravidlem, které už je aktivní, musíte pravidlo vytvořit znovu.

Pravidla, která jsou součástí služby Microsoft Sentinel, nelze upravovat ani odstraňovat. Chcete-li přizpůsobit pravidlo, musíte nejprve vytvořit duplikát pravidla a potom přizpůsobit duplikát. Projděte si kompletní pokyny.

Poznámka:

Proč existuje tlačítko Upravit, pokud pravidlo nejde upravit?

I když nemůžete změnit konfiguraci předvyhleděného pravidla anomálií, můžete udělat dvě věci:

  1. Můžete přepnout stav pravidla mezi produkčním prostředím a testovací verzí.

  2. Microsoftu můžete poslat zpětnou vazbu s přizpůsobitelnými anomáliemi.

Posouzení kvality anomálií

Podívejte se, jak dobře pravidlo anomálií funguje, a to kontrolou vzorku anomálií vytvořených pravidlem za posledních 24 hodin.

  1. Pro uživatele Microsoft Sentinelu na webu Azure Portal vyberte v navigační nabídce Služby Microsoft Sentinel analýzu .

    Pro uživatele sjednocené platformy operací zabezpečení na portálu Microsoft Defender vyberte v navigační nabídce Microsoft Defenderu analýzu konfigurace > Služby Microsoft Sentinel>.

  2. Na stránce Analýza vyberte kartu Anomálie.

  3. Vyberte pravidlo, které chcete posoudit, a zkopírujte jeho ID z horní části podokna podrobností vpravo.

  4. V navigační nabídce Služby Microsoft Sentinel vyberte Protokoly.

  5. Pokud se galerie dotazů zobrazí nahoře, zavřete ji.

  6. V levém podokně stránky Protokoly vyberte kartu Tabulky.

  7. Nastavte filtr Časový rozsah na Posledních 24 hodin.

  8. Zkopírujte níže uvedený dotaz Kusto a vložte ho do okna dotazu (kde se zobrazí text "Sem zadejte dotaz nebo..."):

    Anomalies 
    | where RuleId contains "<RuleId>"
    

    Místo uvozovek vložte ID pravidla, které jste zkopírovali výše <RuleId> .

  9. Vyberte Spustit.

Pokud máte nějaké výsledky, můžete začít vyhodnocovat kvalitu anomálií. Pokud výsledky nemáte, zkuste zvýšit časový rozsah.

Rozbalte výsledky pro každou anomálii a potom rozbalte pole Důvody anomálií . To vám řekne, proč se anomálie aktivovala.

"Přiměřenou" nebo "užitečnost" anomálií může záviset na podmínkách vašeho prostředí, ale běžným důvodem pravidla anomálií, které vytváří příliš mnoho anomálií, je, že prahová hodnota je příliš nízká.

Ladění pravidel anomálií

I když jsou pravidla anomálií navržena tak, aby byla maximální efektivita připravená, je každá situace jedinečná a někdy je potřeba ladit pravidla anomálií.

Protože nemůžete upravit původní aktivní pravidlo, musíte nejprve duplikovat aktivní pravidlo anomálií a potom upravit kopii.

Původní pravidlo anomálií se bude dál spouštět, dokud ho nezakážete nebo neodstraníte.

To je záměrně, abyste získali příležitost porovnat výsledky vygenerované původní konfigurací a novou. Duplicitní pravidla jsou ve výchozím nastavení zakázaná. Můžete vytvořit jenom jednu přizpůsobenou kopii libovolného daného pravidla anomálií. Pokusy o vytvoření druhé kopie selžou.

  1. Pokud chcete změnit konfiguraci pravidla anomálií, vyberte pravidlo ze seznamu na kartě Anomálie .

  2. Klikněte pravým tlačítkem na libovolné místo v řádku pravidla nebo klikněte levým tlačítkem myši na tři tečky (...) na konci řádku a v místní nabídce vyberte Duplikovat .

    V seznamu se zobrazí nové pravidlo s následujícími vlastnostmi:

    • Název pravidla bude stejný jako původní název s připojeným textem " - Customized" (Upraveno) na konec.
    • Stav pravidla bude zakázán.
    • Odznáček FLGT se zobrazí na začátku řádku, který označuje, že pravidlo je v režimu flightingu.
  3. Pokud chcete toto pravidlo přizpůsobit, vyberte pravidlo a v podokně podrobností nebo v místní nabídce pravidla vyberte Upravit .

  4. Pravidlo se otevře v průvodci analytickým pravidlem. Tady můžete změnit parametry pravidla a jeho prahovou hodnotu. Parametry, které lze změnit, se liší podle jednotlivých typů a algoritmů anomálií.

    Náhled výsledků změn můžete zobrazit v podokně Náhled výsledků. V náhledu výsledků vyberte ID anomálií, abyste zjistili, proč model ML tuto anomálii identifikuje.

  5. Povolte přizpůsobené pravidlo pro generování výsledků. Některé vaše změny můžou vyžadovat, aby se pravidlo znovu spustilo, takže musíte počkat na dokončení a vrátit se, abyste zkontrolovali výsledky na stránce protokolů. Přizpůsobené pravidlo anomálií se ve výchozím nastavení spouští v režimu flightingu (testování). Původní pravidlo se ve výchozím nastavení bude spouštět v produkčním režimu.

  6. Pokud chcete porovnat výsledky, vraťte se do tabulky Anomálie v protokolech , abyste mohli vyhodnotit nové pravidlo jako předtím, a použijte místo toho následující dotaz k vyhledání anomálií vygenerovaných původním pravidlem i duplicitním pravidlem.

    Anomalies 
    | where AnomalyTemplateId contains "<RuleId>"
    

    Místo uvozovek vložte ID pravidla, které jste zkopírovali z původního <RuleId> pravidla. Hodnota v původních i duplicitních AnomalyTemplateId pravidlech je identická s hodnotou RuleId v původním pravidle.

Pokud jste s výsledky přizpůsobeného pravidla spokojení, můžete se vrátit na kartu Anomálie , vybrat přizpůsobené pravidlo, vybrat tlačítko Upravit a na kartě Obecné ho přepnout z flightingu do produkčního prostředí. Původní pravidlo se automaticky změní na Flighting, protože ve stejnou dobu nemůžete mít dvě verze stejného pravidla v produkčním prostředí.

Další kroky

V tomto dokumentu jste zjistili, jak pracovat s přizpůsobitelnými analytickými pravidly detekce anomálií v Microsoft Sentinelu.