Arbejd med analyseregler for registrering af uregelmæssigheder i Microsoft Sentinel

Microsoft Sentinel's funktion til tilpasning af uregelmæssigheder indeholder indbyggede skabeloner til uregelmæssigheder, der er klar til brug. Disse skabeloner for uregelmæssigheder blev udviklet til at være robuste ved hjælp af tusindvis af datakilder og millioner af hændelser, men denne funktion giver dig også mulighed for nemt at ændre tærskler og parametre for uregelmæssighederne i brugergrænsefladen. Regler for uregelmæssigheder er aktiveret eller aktiveret som standard, så de genererer uregelmæssigheder, der er i brug. Du kan finde og forespørge om disse uregelmæssigheder i tabellen Uregelmæssigheder i afsnittet Logge .

Få vist skabeloner til regler for uregelmæssigheder, der kan tilpasses

Du kan nu finde regler for uregelmæssigheder, der vises i et gitter, under fanen Uregelmæssigheder på siden Analytics .

1. For brugere af Microsoft Defender-portalen skal du vælge Microsoft Sentinel > Configuration > Analytics i navigationsmenuen Microsoft Defender.

   For brugere af Microsoft Sentinel i Azure Portal skal du vælge Analyse i navigationsmenuen Microsoft Sentinel.

2. På siden Analytics skal du vælge fanen Uregelmæssigheder .

3. Hvis du vil filtrere listen efter et eller flere af følgende kriterier, skal du vælge Tilføj filter og vælge tilsvarende.

   • Status – om reglen er aktiveret eller deaktiveret.

   • Taktik – MITRE ATT&CK framework taktik, der er omfattet af uregelmæssigheden.

   • Teknikker – MITRE ATT&CK-frameworkteknikker, der er omfattet af uregelmæssigheden.

   • Datakilder – den type logge, der skal indtages og analyseres, for at uregelmæssigheden kan defineres.

4. Vælg en regel, og få vist følgende oplysninger i detaljeruden:

   • I beskrivelsen forklares det, hvordan uregelmæssigheden fungerer, og hvilke data der kræves.

   • Taktik og teknikker er MITRE ATT&CK framework taktik og teknikker, der er omfattet af uregelmæssigheden.

   • Parametre er de konfigurerbare attributter for uregelmæssigheden.

   • Threshold er en konfigurerbar værdi, der angiver, i hvor høj grad en hændelse skal være usædvanlig, før der oprettes en uregelmæssighed.

   • Regelhyppighed er tiden mellem de logbehandlingsjob, der finder uregelmæssighederne.

   • Regelstatus fortæller dig, om reglen kører i produktions- eller flightingtilstand (midlertidig), når den er aktiveret.

   • Afvigelsesversionen viser den version af skabelonen, der bruges af en regel. Hvis du vil ændre den version, der bruges af en regel, der allerede er aktiv, skal du genoprette reglen.

De regler, der følger med Microsoft Sentinel fra kassen, kan ikke redigeres eller slettes. Hvis du vil tilpasse en regel, skal du først oprette en dublet af reglen og derefter tilpasse dubletten. Se de komplette instruktioner.

Vurder kvaliteten af uregelmæssigheder

Du kan se, hvor godt en regel for uregelmæssigheder klarer sig, ved at gennemse et eksempel på de uregelmæssigheder, der er oprettet af en regel for den seneste 24-timers periode.

1. For brugere af Microsoft Sentinel i Azure Portal skal du vælge Analyse i navigationsmenuen Microsoft Sentinel.

   For brugere af Microsoft Defender-portalen skal du vælge Microsoft Sentinel > Configuration > Analytics i navigationsmenuen Microsoft Defender.

2. På siden Analytics skal du vælge fanen Uregelmæssigheder .

3. Vælg den regel, du vil vurdere, og kopiér dens id øverst i detaljeruden til højre.

4. Vælg Logge i navigationsmenuen Microsoft Sentinel.

5. Hvis et galleri over forespørgsler vises øverst, skal du lukke det.

6. Vælg fanen Tabeller i venstre rude på siden Logge .

7. Angiv filteret For tidsinterval til Seneste 24 timer.

8. Kopiér Kusto-forespørgslen nedenfor, og indsæt den i forespørgselsvinduet (hvor der står "Skriv din forespørgsel her eller..."):

   Anomalies 
   | where RuleId contains "<RuleId>"
   

   Indsæt det regel-id, du kopierede ovenfor, i stedet for <RuleId> mellem anførselstegnene.

9. Vælg Kør.

Når du har nogle resultater, kan du begynde at vurdere kvaliteten af uregelmæssighederne. Hvis du ikke har resultater, kan du prøve at øge tidsintervallen.

Udvid resultaterne for hver uregelmæssighed, og udvid derefter feltet AnomalyReasons . Dette vil fortælle dig, hvorfor uregelmæssigheden udløste.

En uregelmæssigheds "rimelighed" eller "anvendelighed" kan afhænge af betingelserne i dit miljø, men en almindelig årsag til, at en regel for uregelmæssigheder medfører for mange uregelmæssigheder, er, at tærsklen er for lav.

Juster regler for uregelmæssigheder

Selvom der er udviklet regler for uregelmæssigheder for at opnå maksimal effektivitet, er alle situationer unikke, og nogle gange skal regler for uregelmæssigheder justeres.

Da du ikke kan redigere en oprindelig aktiv regel, skal du først duplikere en regel for aktive uregelmæssigheder og derefter tilpasse kopien.

Den oprindelige regel for uregelmæssigheder fortsætter med at køre, indtil du enten deaktiverer eller sletter den.

Dette er tilsigtet for at give dig mulighed for at sammenligne de resultater, der genereres af den oprindelige konfiguration, og den nye. Dubletregler er som standard deaktiveret. Du kan kun oprette én tilpasset kopi af en given regel for uregelmæssigheder. Forsøg på at oprette endnu en kopi mislykkes.

1. Hvis du vil ændre konfigurationen af en regel for uregelmæssigheder, skal du vælge reglen på listen under fanen Uregelmæssigheder .

2. Højreklik et vilkårligt sted på rækken i reglen, eller højreklik på ellipsen (...) i slutningen af rækken, og vælg derefter Dupliker i genvejsmenuen.

   Der vises en ny regel på listen med følgende egenskaber:

   • Regelnavnet er det samme som originalen, hvor " - Tilpasset" er føjet til slutningen.
   • Reglens status vil være Deaktiveret.
   • FLGT-badgen vises i begyndelsen af rækken for at angive, at reglen er i flighting-tilstand.

3. Hvis du vil tilpasse denne regel, skal du vælge reglen og vælge Rediger i detaljeruden eller i reglens genvejsmenu.

4. Reglen åbnes i guiden Analytics-regel. Her kan du ændre parametrene for reglen og dens tærskel. De parametre, der kan ændres, varierer afhængigt af hver uregelmæssighedstype og algoritme.

   Du kan få vist resultaterne af dine ændringer i ruden Eksempelvisning af resultater. Vælg et afvigelses-id i eksempelvisningen af resultaterne for at se, hvorfor ML-modellen identificerer uregelmæssigheden.

5. Aktivér den brugerdefinerede regel for at generere resultater. Nogle af dine ændringer kan kræve, at reglen kører igen, så du skal vente på, at den afsluttes og vende tilbage for at kontrollere resultaterne på logsiden. Den brugerdefinerede regel for uregelmæssigheder kører som standard i Flighting-tilstand (test). Den oprindelige regel kører som standard i produktionstilstand .

6. Hvis du vil sammenligne resultaterne, skal du gå tilbage til tabellen Uregelmæssigheder i Logge for at vurdere den nye regel som før. Brug i stedet kun følgende forespørgsel til at søge efter uregelmæssigheder, der er genereret af den oprindelige regel, samt den dubletregel.

   Anomalies 
   | where AnomalyTemplateId contains "<RuleId>"
   

   Indsæt det regel-id, du kopierede fra den oprindelige regel i stedet for <RuleId> mellem anførselstegnene. Værdien af AnomalyTemplateId i både de oprindelige og dublerede regler er identisk med værdien af RuleId i den oprindelige regel.

Hvis du er tilfreds med resultaterne for den brugerdefinerede regel, kan du gå tilbage til fanen Uregelmæssigheder , vælge den brugerdefinerede regel, vælge knappen Rediger og under fanen Generelt skifte den fra Flighting til Produktion. Den oprindelige regel ændres automatisk til Flighting , da du ikke kan have to versioner af den samme regel i produktion på samme tid.

Næste trin

I dette dokument har du lært, hvordan du arbejder med analyseregler for registrering af uregelmæssigheder, der kan tilpasses, i Microsoft Sentinel.

• Hent nogle baggrundsoplysninger om uregelmæssigheder, der kan tilpasses.
• Få vist de tilgængelige typer uregelmæssigheder i Microsoft Sentinel.
• Udforsk andre typer analyseregel.