Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Vigtigt!
Brugerdefinerede registreringer er nu den bedste måde at oprette nye regler på tværs af Microsoft Sentinel SIEM-Microsoft Defender XDR. Med brugerdefinerede registreringer kan du reducere omkostningerne til indtagelse, få ubegrænsede registreringer i realtid og drage fordel af problemfri integration med Defender XDR data, funktioner og afhjælpningshandlinger med automatisk enhedstilknytning. Du kan få flere oplysninger ved at læse denne blog.
Hvad er uregelmæssigheder, der kan tilpasses?
Med angribere og forsvarere, der konstant kæmper for fordel i cybersikkerhedsvåbenkapløbet, finder angribere altid måder at undgå opdagelse på. Uundgåeligt, dog, angreb stadig resultere i usædvanlig adfærd i de systemer, der angribes. Microsoft Sentinel kan tilpasses, kan uregelmæssigheder baseret på maskinel indlæring identificere denne funktionsmåde med skabeloner til analyseregel, der kan sættes i værk lige fra starten. Selvom uregelmæssigheder ikke nødvendigvis indikerer ondsindet eller endda mistænkelig adfærd af sig selv, kan de bruges til at forbedre opdagelser, undersøgelser og trusselsjagt:
Yderligere signaler til at forbedre registreringen: Sikkerhedsanalytikere kan bruge uregelmæssigheder til at registrere nye trusler og gøre eksisterende registreringer mere effektive. En enkelt uregelmæssighed er ikke et stærkt signal om ondsindet adfærd, men en kombination af flere uregelmæssigheder på forskellige steder i kill-kæden sender et klart budskab. Sikkerhedsanalytikere kan gøre eksisterende registreringsbeskeder mere nøjagtige ved at betinge dem i identifikationen af uregelmæssigheder.
Beviser under undersøgelser: Sikkerhedsanalytikere kan også bruge uregelmæssigheder under undersøgelser til at bekræfte et brud, finde nye veje til at undersøge det og vurdere dens potentielle virkning. Disse effektivitetsgevinster reducerer den tid, som sikkerhedsanalytikere bruger på undersøgelser.
Starten på proaktive trusselsjagter: Trusselsjægere kan bruge uregelmæssigheder som kontekst til at afgøre, om deres forespørgsler afdækkede mistænkelig adfærd. Når funktionsmåden er mistænkelig, peger uregelmæssighederne også mod potentielle stier til yderligere jagt. Disse spor fra uregelmæssigheder reducerer både tiden til at registrere en trussel og dens chance for at forårsage skade.
Uregelmæssigheder kan være effektive værktøjer, men de er notorisk støjende. De kræver typisk en masse kedelig tilpasning til bestemte miljøer eller kompleks efterbehandling. Skabeloner til uregelmæssigheder, der kan tilpasses, justeres af Microsoft Sentinel datavidenskabsteam for at levere en standardværdi. Hvis du har brug for at finjustere dem yderligere, er processen enkel og kræver ingen viden om maskinel indlæring. Tærsklerne og parametrene for mange af uregelmæssighederne kan konfigureres og finjusteres via brugergrænsefladen for den allerede velkendte analyseregel. Ydeevnen for den oprindelige tærskel og de oprindelige parametre kan sammenlignes med de nye i grænsefladen og justeres yderligere efter behov under en test- eller flighting-fase. Når uregelmæssigheden opfylder ydeevnemålene, kan uregelmæssigheden med den eller de nye parametre hæves til produktion ved at klikke på en knap. Microsoft Sentinel kan tilpasses uregelmæssigheder, kan du få fordel af registrering af uregelmæssigheder uden det hårde arbejde.
UEBA-uregelmæssigheder
Nogle af Microsoft Sentinel' registreringer af uregelmæssigheder kommer fra UEBA-programmet (User and Entity Behavior Analytics), som registrerer uregelmæssigheder baseret på hver enheds grundlæggende historiske funktionsmåde på tværs af forskellige miljøer. Hvert objekts grundlæggende funktionsmåde angives i henhold til sine egne historiske aktiviteter, peers og organisationens aktiviteter som helhed. Uregelmæssigheder kan udløses af korrelationen mellem forskellige attributter, f.eks. handlingstype, geografisk placering, enhed, ressource, internetudbyder m.m.
Næste trin
I dette dokument har du lært, hvordan du kan drage fordel af uregelmæssigheder, der kan tilpasses, i Microsoft Sentinel.
- Få mere at vide om, hvordan du får vist, opretter, administrerer og finjusterer regler for uregelmæssigheder.
- Få mere at vide om UEBA (User and Entity Behavior Analytics).
- Se listen over understøttede uregelmæssigheder i øjeblikket.
- Få mere at vide om andre typer analyseregler.