Verwenden von Analyseregelvorlagen für die Anomalieerkennung

Abgeschlossen

Da Angreifer und Verteidiger im Wettrüsten im Bereich der Cybersicherheit ständig um Vorteile kämpfen, finden Angreifer immer neue Wege, um der Erkennung zu entgehen. Allerdings führen Angriffe zwangsläufig immer noch zu einem ungewöhnlichen Verhalten in den angegriffenen Systemen. Die auf maschinellem Lernen basierenden anpassbaren Anomalien von Microsoft Sentinel können dieses Verhalten mithilfe von sofort einsatzbereiten Analyseregelvorlagen erkennen. Anomalien weisen zwar nicht zwangsläufig auf schädliches oder sogar verdächtiges Verhalten hin, können aber verwendet werden, um die Erkennungen, Untersuchungen und Bedrohungssuche zu verbessern:

  • Zusätzliche Signale zur Verbesserung der Erkennung: Sicherheitsanalyst*innen können Anomalien verwenden, um neue Bedrohungen zu erkennen und vorhandene Erkennungen effektiver zu gestalten. Eine einzelne Anomalie ist kein starkes Signal für schädliches Verhalten, aber in Kombination mit mehreren Anomalien an verschiedenen Punkten in der Kill Chain ist der kumulierte Effekt deutlich stärker. Sicherheitsanalysten können vorhandene Erkennungen auch verbessern, indem sie das durch Anomalien identifizierte ungewöhnliche Verhalten zu einer Bedingung für die Auslösung von Warnungen machen.

  • Beweise während der Untersuchungen: Sicherheitsanalyst*innen können Anomalien auch während der Untersuchungen verwenden, um eine Sicherheitsverletzung zu bestätigen, neue Untersuchungspfade zu finden und die potenziellen Auswirkungen zu bewerten. Diese Effizienz reduziert die Zeit, die Sicherheitsanalysten für Untersuchungen aufwenden.

  • Start der proaktiven Bedrohungssuche: Bedrohungsspezialist*innen können Anomalien als Kontext verwenden, um festzustellen, ob bei ihren Abfragen verdächtiges Verhalten festgestellt wurde. Wenn das Verhalten verdächtig ist, weisen die Anomalien auch auf potenzielle Pfade für die weitere Suche hin. Diese von Anomalien bereitgestellten Hinweise reduzieren sowohl die Zeit zum Erkennen einer Bedrohung als auch die Wahrscheinlichkeit, dass diese Schaden verursacht.

Anomalien können leistungsstarke Tools sein, verursachen aber bekanntermaßen viele Nebenergebnisse. Sie erfordern in der Regel eine aufwendige Optimierung für bestimmte Umgebungen oder komplexe Nachbearbeitung. Das Data-Science-Team von Microsoft optimiert die anpassbaren Anomalievorlagen von Microsoft Sentinel so, dass sie sofort einen Mehrwert bieten. Wenn weitere Optimierungen erforderlich sind, können diese jedoch leicht und ohne Vorkenntnisse im Bereich maschinelles Lernen vorgenommen werden. Die Schwellenwerte und Parameter für viele der Anomalien können über die bereits vertraute Benutzeroberfläche für Analyseregel konfiguriert und optimiert werden. Die Leistung der ursprünglichen Schwellenwerte und Parameter kann mit der Leistung der neuen Schwellenwerte und Parameter innerhalb der Schnittstelle verglichen und bei Bedarf während einer Test- oder Flightingphase weiter optimiert werden. Sobald die Anomalie die Leistungsziele erfüllt, kann sie mit dem neuen Schwellenwert oder den neuen Parametern per Mausklick in die Produktionsumgebung übernommen werden. Mit den anpassbaren Anomalien von Microsoft Sentinel können Sie die Vorteile einer Anomalieerkennung ohne großen Aufwand nutzen.

Arbeiten mit Analyseregeln für die Anomalieerkennung

Microsoft Sentinels anpassbare Anomaliefunktion bietet integrierte Anomalievorlagen für sofortigen Nutzen sofort nach der Installation. Diese Anomalievorlagen wurden anhand von Tausenden von Datenquellen und Millionen von Ereignissen entwickelt, sodass sie stabil ausgelegt sind. Mit diesem Feature können Sie jedoch auch problemlos Schwellenwerte und Parameter für Anomalien über die Benutzeroberfläche ändern. Anomalieregeln müssen aktiviert werden, bevor mit ihnen Anomalien generiert werden können. Die Anomalien finden Sie in der Tabelle „Anomalien“ im Abschnitt „Protokolle“.

  1. Wählen Sie im Navigationsmenü von Microsoft Sentinel die Optionen Analytik.

  2. Wählen Sie auf der Seite Analysen die Registerkarte Regelvorlagen aus.

  3. Filtern Sie die Liste nach Anomalievorlagen:

    • Wählen Sie den Filter Regeltyp und dann die unten angezeigte Dropdownliste aus.

    • Heben Sie die Markierung Alle auswählen auf, und markieren Sie dann die Option Anomalie.

    • Wählen Sie bei Bedarf oben die Dropdownliste aus, um sie zu reduzieren, und wählen Sie dann OK aus.

Aktivieren von Anomalieregeln

Wenn Sie eine der Regelvorlagen auswählen, werden im Detailbereich die folgenden Informationen zusammen mit der Schaltfläche „Regel erstellen“ angezeigt:

  • In der Beschreibung wird erläutert, wie die Anomalie funktioniert und welche Daten dafür erforderlich sind.

  • Mit Datenquellen wird der Typ der Protokolle angegeben, die erfasst werden müssen, damit eine Analyse durchgeführt werden kann.

  • Taktiken und Techniken sind die MITRE ATT&CK Framework-Taktiken und -Techniken, die von der Anomalie abgedeckt werden.

  • Parameter sind die konfigurierbaren Attribute für die Anomalie.

  • Schwellenwert ist ein konfigurierbarer Wert, der das Ausmaß angibt, in dem ein Ereignis ungewöhnlich sein muss, bevor eine Anomalie erstellt wird.

  • Regelhäufigkeit bezeichnet die Zeit zwischen Protokollverarbeitungsaufträgen, mit denen die Anomalien ermittelt werden.

  • Unter Anomaly version (Anomalieversion) wird die Version der Vorlage angezeigt, die von einer Regel verwendet wird. Wenn Sie die Version ändern möchten, die von einer bereits aktiven Regel verwendet wird, müssen Sie die Regel neu erstellen.

  • Template last updated (Letzte Aktualisierung der Vorlage) bezieht sich auf das Datum, an dem die Anomalieversion geändert wurde.

Führen Sie die folgenden Schritte aus, um eine Regel zu aktivieren.

  • Wählen Sie eine Regelvorlage aus, die noch nicht mit WIRD VERWENDET bezeichnet ist. Wählen Sie die Schaltfläche Regel erstellen aus, um den Assistenten zum Erstellen von Regeln zu öffnen.

    Der entsprechende Assistent zum Erstellen einzelner Regelvorlagen sieht jeweils ein bisschen anders aus, verfügt jedoch immer über drei Schritte oder Registerkarten: Allgemein, Konfiguration und Überprüfen und erstellen.

    Sie können keine der Werte im Assistenten ändern. Sie müssen zuerst die Regel erstellen und aktivieren.

  • Gehen Sie die Registerkarten durch, warten Sie auf der Registerkarte Überprüfen und erstellen auf die Meldung „Überprüfung erfolgreich“, und klicken Sie auf die Schaltfläche Erstellen.

    Sie können mit jeder Vorlage nur jeweils eine aktive Regel erstellen. Sobald Sie die Schritte des Assistenten abgeschlossen haben, wird auf der Registerkarte Aktive Regeln eine aktive Anomalieregel erstellt, und die Vorlage (auf der Registerkarte Regelvorlagen) wird als WIRD VERWENDET markiert.

Sobald die Anomalie-Regel aktiviert ist, werden entdeckte Anomalien in der Tabelle Anomalien im Abschnitt Logs Ihres Microsoft Sentinel-Arbeitsbereichs gespeichert.

Jede Anomalieregel verfügt über einen Trainingszeitraum. Anomalien werden erst nach diesem Trainingszeitraum in der Tabelle angezeigt. Sie finden den Trainingszeitraum in der Beschreibung der jeweiligen Anomalieregel.

Bewerten der Qualität von Anomalien

Sie können feststellen, wie gut eine Anomalieregel funktioniert, indem Sie eine Stichprobe der Anomalien überprüfen, die im Zeitraum der letzten 24 Stunden anhand einer Regel erstellt wurden.

  • Wählen Sie im Navigationsmenü von Microsoft Sentinel die Optionen Analytik.

  • Überprüfen Sie auf der Seite Analysen, ob die Registerkarte Aktive Regeln ausgewählt ist.

  • Filtern Sie die Liste nach Anomalieregeln (wie oben beschrieben).

  • Wählen Sie die Regel aus, die Sie bewerten möchten, und kopieren Sie ihren Namen oben rechts im Detailbereich.

  • Wählen Sie im Navigationsmenü von Microsoft Sentinel die Optionen Protokolle.

  • Wenn oben ein Abfragekatalog angezeigt wird, schließen Sie ihn.

  • Wählen Sie im linken Bereich der Seite Protokolle die Registerkarte Tabellen aus.

  • Legen Sie den Filter Zeitbereich auf Letzte 24 Stunden fest.

  • Kopieren Sie die Kusto-Abfrage unten, und fügen Sie sie in das Abfragefenster ein (dort, wo der Eintrag „Type your query here or...“ [Geben Sie Ihre Abfrage hier ein, oder...] angezeigt wird):

Anomalies 
| where AnomalyTemplateName contains "________________________________"
Paste the rule name you copied above in place of the underscores between the quotation marks.
  • Klicken Sie auf Run (Ausführen).

Wenn Sie einige Ergebnisse haben, können Sie damit beginnen, die Qualität der Anomalien zu bewerten. Wenn es keine Ergebnisse gibt, versuchen Sie, den Zeitbereich zu erhöhen.

Erweitern Sie die Ergebnisse für jede Anomalie, und erweitern Sie dann das Feld AnomalyReasons (Anomaliegründe). Dadurch erfahren Sie, warum die Anomalie ausgelöst wurde.

Die „Plausibilität“ oder „Nützlichkeit“ einer Anomalie kann von den Bedingungen Ihrer Umgebung abhängen, aber ein häufiger Grund dafür, dass von einer Anomalieregel zu viele Anomalien erzeugt werden, besteht darin, dass der Schwellenwert zu niedrig ist.

Optimieren von Anomalieregeln

Obwohl Anomalieregeln so konzipiert sind, dass sie bei der Verwendung sofort die maximale Effektivität aufweisen, ist jede Situation einzigartig, und so müssen Anomalieregeln manchmal optimiert werden.

Da Sie eine ursprüngliche aktive Regel nicht bearbeiten können, müssen Sie eine aktive Anomalieregel zunächst duplizieren und dann die Kopie entsprechend anpassen.

Die ursprüngliche Anomalieregel wird weiterhin ausgeführt, bis Sie sie entweder deaktivieren oder löschen.

Dies ist absichtlich so angelegt, damit Sie die Möglichkeit haben, die mit der ursprünglichen Konfiguration generierten Ergebnisse mit den Ergebnissen der neuen Konfiguration zu vergleichen. Doppelte Regeln sind standardmäßig deaktiviert. Sie können nur eine einzige benutzerdefinierte Kopie einer bestimmten Anomalieregel erstellen. Versuche, eine zweite Kopie zu erstellen, schlagen fehl.

  • Wählen Sie zum Ändern der Konfiguration einer Anomalieregel die Anomalieregel auf der Registerkarte Aktive Regeln aus.

  • Klicken Sie mit der rechten Maustaste auf eine beliebige Stelle in der Zeile der Regel, oder klicken Sie mit der linken Maustaste am Ende der Zeile auf die Auslassungspunkte (...), und wählen Sie dann Duplizieren aus.

  • Die neue Kopie der Regel enthält im Regelnamen das Suffix „ – Customized“ (Angepasst). Wählen Sie diese Regel und dann Bearbeiten aus, um diese Regel konkret anzupassen.

  • Die Regel wird im Analyseregel-Assistenten geöffnet. Hier können Sie die Parameter der Regel und ihren Schwellenwert ändern. Die Parameter, die geändert werden können, variieren je nach Anomalietyp und Algorithmus.

  • Sie können eine Vorschau der Ergebnisse Ihrer Änderungen im Bereich der Ergebnisvorschau anzeigen. Wählen Sie in der Ergebnisvorschau eine Anomalie-ID aus, um nachzuvollziehen, warum diese Anomalie vom ML-Modell identifiziert wurde.

  • Aktivieren Sie die benutzerdefinierte Regel, um Ergebnisse zu generieren. Einige Änderungen erfordern möglicherweise, dass die Regel erneut ausgeführt wird. Daher müssen Sie warten, bis die Ausführung abgeschlossen ist, und zurückkehren, um die Ergebnisse auf der Protokollseite zu überprüfen. Die benutzerdefinierte Anomalieregel wird standardmäßig im Test-Flighting-Modus (Testmodus) ausgeführt. Die ursprüngliche Regel wird standardmäßig weiterhin im Produktionsmodus ausgeführt.

  • Zum Vergleichen der Ergebnisse wechseln Sie zurück zu der unter „Protokolle“ verfügbaren Tabelle „Anomalien“, um die neue Regel wie zuvor zu bewerten. Suchen Sie nur nach Zeilen mit dem ursprünglichen Regelnamen sowie dem Regelnamenduplikat, das in der Spalte „AnomalyTemplateName“ (Anomalievorlagenname) mit dem Zusatz „ – Customized“ (Angepasst) aufgeführt ist.

    Wenn Sie mit den Ergebnissen für die benutzerdefinierte Regel zufrieden sind, können Sie zurück zur Registerkarte „Aktive Regeln“ wechseln, die benutzerdefinierte Regel und anschließend die Schaltfläche „Bearbeiten“ auswählen und dann auf der Registerkarte „Allgemein“ von „Test-Flighting“ zu „Produktion“ wechseln. Die ursprüngliche Regel wird automatisch in Test-Flighting geändert, da Sie nicht gleichzeitig zwei Versionen derselben Regel in der Produktion verwenden können.