Microsoft Sentinel'de anomali algılama analizi kurallarıyla çalışma
Microsoft Sentinel'in özelleştirilebilir anomaliler özelliği, anında kullanıma hazır değer için yerleşik anomali şablonları sağlar. Bu anomali şablonları, binlerce veri kaynağı ve milyonlarca olay kullanılarak sağlam olacak şekilde geliştirilmiştir, ancak bu özellik ayrıca kullanıcı arabiriminde anomaliler için eşikleri ve parametreleri kolayca değiştirmenize de olanak tanır. Anomali kuralları varsayılan olarak etkindir veya etkinleştirilir, bu nedenle anomaliler kullanıma hazır şekilde oluşturulur. Bu anomalileri Günlükler bölümündeki Anomaliler tablosunda bulabilir ve sorgulayabilirsiniz.
Önemli
Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Özelleştirilebilir anomali kuralı şablonlarını görüntüleme
Artık bir kılavuzda görüntülenen anomali kurallarını Analiz sayfasındaki Anomaliler sekmesinde bulabilirsiniz.
Azure portalında Microsoft Sentinel kullanıcıları için Microsoft Sentinel gezinti menüsünden Analiz'i seçin.
Microsoft Defender portalındaki birleşik güvenlik işlemleri platformunun kullanıcıları için Microsoft Defender gezinti menüsünden Microsoft Sentinel > Yapılandırma > Analizi'ni seçin.
Analiz sayfasında Anomaliler sekmesini seçin.
Listeyi aşağıdaki ölçütlerden birine veya daha fazlasına göre filtrelemek için Filtre ekle'yi seçin ve uygun şekilde seçin.
Durum - kuralın etkinleştirilip etkinleştirilmediği veya devre dışı bırakılıp bırakılmadığı.
Taktikler - Anomalinin kapsadığı MITRE ATT&CK çerçeve taktikleri.
Teknikler - Anomalinin kapsadığı MITRE ATT&CK çerçeve teknikleri.
Veri kaynakları - Anomalinin tanımlanması için alınması ve analiz edilmesi gereken günlüklerin türü.
Bir kural seçin ve ayrıntılar bölmesinde aşağıdaki bilgileri görüntüleyin:
Açıklama , anomalinin nasıl çalıştığını ve gerekli verileri açıklar.
Taktikler ve teknikler , anomalinin kapsadığı MITRE ATT&CK çerçeve taktikleri ve teknikleridir.
Parametreler , anomali için yapılandırılabilir özniteliklerdir.
Eşik , bir anomali oluşturulmadan önce bir olayın olağandışı olma derecesini gösteren yapılandırılabilir bir değerdir.
Kural sıklığı , anomalileri bulayan günlük işleme işleri arasındaki süredir.
Kural durumu, kuralın etkinleştirildiğinde Üretim veya Uçuş (hazırlama) modunda çalışıp çalışmadığını belirtir.
Anomali sürümü , bir kural tarafından kullanılan şablonun sürümünü gösterir. Zaten etkin olan bir kural tarafından kullanılan sürümü değiştirmek istiyorsanız, kuralı yeniden oluşturmanız gerekir.
Microsoft Sentinel ile gelen kurallar düzenlenemez veya silinemez. Bir kuralı özelleştirmek için önce kuralın bir kopyasını oluşturmanız ve ardından yinelemeyi özelleştirmeniz gerekir. Tüm yönergelere bakın.
Not
Kural düzenlenemediyse neden Düzenle düğmesi var?
Kullanıma açık bir anomali kuralının yapılandırmasını değiştiremezsiniz ancak iki şey yapabilirsiniz:
Kuralın kural durumunu Üretim ve Uçuş arasında değiştirebilirsiniz.
Özelleştirilebilir anomalilerle ilgili deneyiminiz hakkında Microsoft'a geri bildirim gönderebilirsiniz.
Anomalilerin kalitesini değerlendirme
Son 24 saatlik dönemde bir kural tarafından oluşturulan anomalilerin bir örneğini gözden geçirerek anomali kuralının ne kadar iyi performans sergilediğini görebilirsiniz.
Azure portalında Microsoft Sentinel kullanıcıları için Microsoft Sentinel gezinti menüsünden Analiz'i seçin.
Microsoft Defender portalındaki birleşik güvenlik işlemleri platformunun kullanıcıları için Microsoft Defender gezinti menüsünden Microsoft Sentinel > Yapılandırma > Analizi'ni seçin.
Analiz sayfasında Anomaliler sekmesini seçin.
Değerlendirmek istediğiniz kuralı seçin ve ayrıntılar bölmesinin sağ üst kısmından kimliğini kopyalayın.
Microsoft Sentinel gezinti menüsünde Günlükler'i seçin.
Üst kısımda bir Sorgular galerisi açılırsa bu galeriyi kapatın.
Günlükler sayfasının sol bölmesinde tablolar sekmesini seçin.
Zaman aralığı filtresini Son 24 saat olarak ayarlayın.
Aşağıdaki Kusto sorgusunu kopyalayın ve sorgu penceresine yapıştırın (burada "Sorgunuzu buraya yazın veya..."):
Anomalies | where RuleId contains "<RuleId>"
Yukarıda kopyaladığınız kural kimliğini tırnak işaretleri arasına
<RuleId>
yapıştırın.Çalıştır seçin.
Bazı sonuçlar elde ettiğinizde anomalilerin kalitesini değerlendirmeye başlayabilirsiniz. Sonuçlarınız yoksa zaman aralığını artırmayı deneyin.
Her anomalinin sonuçlarını genişletin ve ardından AnomaliReasons alanını genişletin. Bu size anomalinin neden ateşlediğiniz açıklanacaktır.
Anomalinin "makullüğü" veya "kullanışlılığı" ortamınızın koşullarına bağlı olabilir, ancak anomali kuralının çok fazla anomali üretmesinin yaygın bir nedeni eşiğin çok düşük olmasıdır.
Anomali kurallarını ayarlama
Anomali kuralları, kutudan en yüksek etkililik için tasarlanmış olsa da, her durum benzersizdir ve bazen anomali kurallarının ayarlanması gerekir.
Özgün etkin bir kuralı düzenleyemiyorsanız, önce etkin bir anomali kuralını çoğaltmanız ve ardından kopyayı özelleştirmeniz gerekir.
Siz devre dışı bırakıncaya veya silene kadar özgün anomali kuralı çalışmaya devam eder.
Bu, özgün yapılandırma ile yeni yapılandırma tarafından oluşturulan sonuçları karşılaştırma fırsatı vermek için tasarım gereğidir. Yinelenen kurallar varsayılan olarak devre dışı bırakılır. Belirli bir anomali kuralının yalnızca bir özelleştirilmiş kopyasını oluşturabilirsiniz. İkinci bir kopya oluşturma girişimleri başarısız olur.
Anomali kuralının yapılandırmasını değiştirmek için Anomaliler sekmesindeki listeden kuralı seçin.
Kuralın satırında herhangi bir yere sağ tıklayın veya satırın sonundaki üç noktaya (...) sol tıklayın ve bağlam menüsünden Çoğalt'ı seçin.
Listede aşağıdaki özelliklere sahip yeni bir kural görünür:
- Kural adı özgün adla aynı olur ve sonuna " - Özelleştirilmiş" eklenir.
- Kuralın durumu Devre Dışı olacaktır.
- FlGT rozeti, kuralın Uçuş modunda olduğunu belirtmek için satırın başında görünür.
Bu kuralı özelleştirmek için kuralı seçin ve ayrıntılar bölmesinde veya kuralın bağlam menüsünden Düzenle'yi seçin.
Kural, Analiz kuralı sihirbazında açılır. Burada kuralın parametrelerini ve eşiğini değiştirebilirsiniz. Değiştirilebilen parametreler her anomali türüne ve algoritmasına göre değişir.
Değişikliklerinizin sonuçlarının önizlemesini Sonuçlar önizleme bölmesinde görebilirsiniz. ML modelinin bu anomaliyi neden tanımladığını görmek için sonuçlar önizlemesinde bir Anomali Kimliği seçin.
Sonuç oluşturmak için özelleştirilmiş kuralı etkinleştirin. Bazı değişiklikleriniz kuralın yeniden çalışmasını gerektirebilir, bu nedenle kuralın tamamlanmasını beklemeniz ve günlükler sayfasındaki sonuçları denetlemek için geri dönmeniz gerekir. Özelleştirilmiş anomali kuralı varsayılan olarak Uçuş (test) modunda çalışır. Özgün kural varsayılan olarak Üretim modunda çalışmaya devam eder.
Sonuçları karşılaştırmak için, yeni kuralı daha önce olduğu gibi değerlendirmek için Günlükler'deki Anomaliler tablosuna dönün, özgün kural tarafından oluşturulan anomalileri ve yinelenen kuralı aramak için yalnızca aşağıdaki sorguyu kullanın.
Anomalies | where AnomalyTemplateId contains "<RuleId>"
Özgün kuraldan kopyaladığınız kural kimliğini tırnak işaretleri arasına
<RuleId>
yapıştırın. hem özgün hem de yinelenen kurallardaki değeriAnomalyTemplateId
, özgün kuraldaki değeriyleRuleId
aynıdır.
Özelleştirilmiş kuralın sonuçlarından memnunsanız Anomaliler sekmesine geri dönebilir, özelleştirilmiş kuralı seçebilir, Düzenle düğmesini seçebilir ve Genel sekmesinde bunu Uçuştan Üretime geçirebilirsiniz. Üretimde aynı kuralın aynı anda iki sürümüne sahip olamadığınızdan, özgün kural otomatik olarak Uçuşa Geçiş olarak değişir.
Sonraki adımlar
Bu belgede, Microsoft Sentinel'de özelleştirilebilir anomali algılama analizi kurallarıyla çalışmayı öğrendiniz.
- Özelleştirilebilir anomaliler hakkında bazı arka plan bilgileri alın.
- Microsoft Sentinel'de kullanılabilir anomali türlerini görüntüleyin.
- Diğer analiz kuralı türlerini keşfedin.