Obter recomendações de otimização para as regras de análise no Microsoft Sentinel
Importante
A otimização da deteção está atualmente em PRÉ-VISUALIZAÇÃO. Consulte os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure para obter termos legais adicionais aplicáveis às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não lançadas para disponibilidade geral.
Ajustar as regras de deteção de ameaças no SIEM pode ser um processo difícil, delicado e contínuo de equilíbrio entre maximizar a cobertura de deteção de ameaças e minimizar as taxas de falsos positivos. O Microsoft Sentinel simplifica e simplifica este processo ao utilizar machine learning para analisar milhares de milhões de sinais das suas origens de dados, bem como as suas respostas a incidentes ao longo do tempo, deduzindo padrões e fornecendo-lhe recomendações e informações acionáveis que podem reduzir significativamente a sua sobrecarga de otimização e permitir-lhe concentrar-se na deteção e resposta a ameaças reais.
As recomendações e as informações de otimização estão agora incorporadas nas suas regras de análise. Este artigo explicará o que estas informações mostram e como pode implementar as recomendações.
Ver informações de regras e recomendações de otimização
Para ver se o Microsoft Sentinel tem recomendações de otimização para qualquer uma das suas regras de análise, selecione Análise no menu de navegação do Microsoft Sentinel.
Quaisquer regras que tenham recomendações apresentarão um ícone de lâmpada, conforme mostrado aqui:
Edite a regra para ver as recomendações juntamente com as outras informações. Serão apresentados em conjunto no separador Definir lógica de regra do assistente de regras de análise, abaixo do ecrã Simulação de resultados .
Tipos de informações
O ecrã Informações de otimização consiste em vários painéis que pode percorrer ou percorrer, cada um mostrando-lhe algo diferente. O período de tempo - 14 dias - para o qual as informações são apresentadas é apresentado na parte superior da moldura.
O primeiro painel de informações apresenta algumas informações estatísticas : o número médio de alertas por incidente, o número de incidentes abertos e o número de incidentes fechados, agrupados por classificação (verdadeiro/falso positivo). Estas informações ajudam-no a descobrir a carga nesta regra e a compreender se é necessária alguma otimização, por exemplo, se as definições de agrupamento precisarem de ser ajustadas.
Esta informação é o resultado de uma consulta do Log Analytics. Selecionar Alertas médios por incidente irá levá-lo à consulta no Log Analytics que produziu as informações. Selecionar Abrir incidentes irá levá-lo para o painel Incidentes .
O segundo painel de informações recomenda a exclusão de uma lista de entidades . Estas entidades estão altamente correlacionadas com incidentes que fechou e classificou como falsos positivos. Selecione o sinal de adição junto a cada entidade listada para a excluir da consulta em execuções futuras desta regra.
Esta recomendação é produzida pelos modelos avançados de ciência de dados e machine learning da Microsoft. A inclusão deste painel na apresentação Informações de otimização depende da apresentação de recomendações.
O terceiro painel de informações mostra as quatro entidades mapeadas com mais frequência em todos os alertas produzidos por esta regra. O mapeamento de entidades tem de ser configurado na regra para que estas informações produzam resultados. Estas informações podem ajudá-lo a tomar conhecimento de quaisquer entidades que estejam a "ocupar os holofotes" e a chamar a atenção para outras entidades. Poderá querer processar estas entidades separadamente numa regra diferente ou pode decidir que são falsos positivos ou ruído de outra forma e excluê-las da regra.
Esta informação é o resultado de uma consulta do Log Analytics. Selecionar qualquer uma das entidades irá levá-lo à consulta no Log Analytics que produziu as informações.
Passos seguintes
Para obter mais informações, consulte: