Brug skabeloner til analyseregel for registrering af uregelmæssigheder

  • 3 minutter

Med angribere og forsvarere, der konstant kæmper for fordel i våbenkapløbet om cybersikkerhed, finder hackere altid måder at undgå registrering på. Uundgåeligt vil angreb dog stadig resultere i usædvanlig adfærd i de systemer, der angribes. Microsoft Sentinels tilpassede, maskinel indlæringsbaserede uregelmæssigheder kan identificere denne funktionsmåde med skabeloner til analyseregel, der kan sættes i værk lige fra starten. Selvom uregelmæssigheder ikke nødvendigvis indikerer ondsindet eller endog mistænkelig adfærd af sig selv, kan de bruges til at forbedre registreringer, undersøgelser og trusselsjagt:

  • Yderligere signaler til forbedring af registrering: Sikkerhedsanalytikere kan bruge uregelmæssigheder til at registrere nye trusler og gøre eksisterende registreringer mere effektive. En enkelt uregelmæssighed er ikke et stærkt signal om ondsindet adfærd, men når den kombineres med flere uregelmæssigheder, der forekommer på forskellige steder i dræberkæden, er deres kumulative virkning meget stærkere. Sikkerhedsanalytikere kan forbedre eksisterende registreringer ved at gøre den usædvanlige funktionsmåde, der identificeres af uregelmæssigheder, til en betingelse for, at beskeder udløses.

  • Beviser under undersøgelser: Sikkerhedsanalytikere kan også bruge uregelmæssigheder under undersøgelser til at bekræfte et brud, finde nye veje til at undersøge det og vurdere dens potentielle virkning. Disse effektivitetsgevinster reducerer den tid, sikkerhedsanalytikere bruger på undersøgelser.

  • Starten på proaktive trusselsjagter: Trusselsjægere kan bruge uregelmæssigheder som kontekst til at afgøre, om deres forespørgsler har afsløret mistænkelig adfærd. Når funktionsmåden er mistænkelig, peger uregelmæssighederne også mod potentielle stier til yderligere jagt. Disse spor, der leveres af uregelmæssigheder, reducerer både tiden til at registrere en trussel og dens chance for at forårsage skade.

Uregelmæssigheder kan være effektive værktøjer, men de er berygtede støjende. De kræver typisk meget kedelig justering for bestemte miljøer eller kompleks efterbehandling. Microsoft Sentinel-skabeloner til tilpasning af uregelmæssigheder er justeret af vores datavidenskabsteam for at levere en klar værdi, men hvis du har brug for at finjustere dem yderligere, er processen enkel og kræver ingen viden om maskinel indlæring. Tærsklerne og parametrene for mange af uregelmæssighederne kan konfigureres og finjusteres via den allerede velkendte brugergrænseflade for analysereglen. Ydeevnen af den oprindelige tærskel og de oprindelige parametre kan sammenlignes med de nye i grænsefladen og justeres yderligere efter behov under en test- eller flightingfase. Når uregelmæssigheden opfylder præstationsmålene, kan uregelmæssigheden med den nye tærskel eller de nye parametre hæves til produktion ved at klikke på en knap. Microsoft Sentinel-tilpassede uregelmæssigheder giver dig mulighed for at få fordel af uregelmæssigheder uden det hårde arbejde.

Arbejd med regler for registrering af uregelmæssigheder

Funktionen Til tilpasning af uregelmæssigheder i Microsoft Sentinel indeholder indbyggede skabeloner til uregelmæssigheder til øjeblikkelig værdi. Disse skabeloner for uregelmæssigheder blev udviklet til at være robuste ved hjælp af tusindvis af datakilder og millioner af hændelser, men denne funktion giver dig også mulighed for nemt at ændre tærskler og parametre for uregelmæssighederne i brugergrænsefladen. Regler for uregelmæssigheder skal aktiveres, før de genererer uregelmæssigheder, som du kan finde i tabellen Uregelmæssigheder i afsnittet Logge.

  1. I navigationsmenuen Microsoft Sentinel skal du vælge Analytics.

  2. På siden Analytics skal du vælge fanen Regelskabeloner.

  3. Filtrer listen for skabeloner til uregelmæssigheder:

    • Vælg filteret Regeltype og derefter den rulleliste, der vises nedenfor.

    • Fjern markeringen af Markér alle, og markér derefter Uregelmæssighed.

    • Hvis det er nødvendigt, skal du vælge toppen af rullelisten for at trække den tilbage og derefter vælge OK.

Aktivér regler for uregelmæssigheder

Når du vælger en af regelskabelonerne, får du vist følgende oplysninger i detaljeruden sammen med knappen Opret regel:

  • Beskrivelsen forklarer, hvordan uregelmæssigheden fungerer, og hvilke data den kræver.

  • Datakilder angiver den type logge, der skal indtages for at blive analyseret.

  • Taktik og teknikker er MITRE ATT&CK framework taktik og teknikker, der er omfattet af uregelmæssigheden.

  • Parametre er de konfigurerbare attributter for uregelmæssigheden.

  • Threshold er en konfigurerbar værdi, der angiver, i hvilken grad en hændelse skal være usædvanlig, før der oprettes en uregelmæssighed.

  • Regelhyppighed er tiden mellem logbehandling af job, der finder uregelmæssighederne.

  • Afvigelsesversionen viser den version af skabelonen, der bruges af en regel. Hvis du vil ændre den version, der bruges af en regel, der allerede er aktiv, skal du genoprette reglen.

  • Den senest opdaterede skabelon er den dato, hvor versionen af uregelmæssigheden blev ændret.

Udfør følgende trin for at aktivere en regel:

  • Vælg en regelskabelon, der ikke allerede er navngivet I BRUG. Vælg knappen Opret regel for at åbne guiden til oprettelse af regel.

    Guiden for hver regelskabelon vil være en smule anderledes, men den indeholder tre trin eller faner: Generelt, Konfiguration, Gennemse og opret.

    Du kan ikke ændre nogen af værdierne i guiden. Du skal først oprette og aktivere reglen.

  • Gå gennem fanerne, vent på meddelelsen "Validering sendt" under fanen Gennemse og opret, og vælg knappen Opret.

    Du kan kun oprette én aktiv regel ud fra hver skabelon. Når du har fuldført guiden, oprettes der en aktiv regel for uregelmæssigheder under fanen Aktive regler, og skabelonen (under fanen Regelskabeloner) markeres som I BRUG.

Når reglen for uregelmæssigheder er aktiveret, gemmes registrerede uregelmæssigheder i tabellen Uregelmæssigheder i afsnittet Logge i dit Microsoft Sentinel-arbejdsområde.

Hver regel for uregelmæssigheder har en træningsperiode, og uregelmæssigheder vises først i tabellen efter den pågældende træningsperiode. Du kan finde træningsperioden i beskrivelsen af hver afvigelsesregel.

Vurder kvaliteten af uregelmæssigheder

Du kan se, hvor godt en regel for uregelmæssigheder fungerer, ved at gennemse et eksempel på de uregelmæssigheder, der er oprettet af en regel i løbet af den seneste 24-timers periode.

  • I navigationsmenuen Microsoft Sentinel skal du vælge Analytics.

  • Kontrollér, at fanen Aktive regler er valgt på siden Analytics.

  • Filtrer listen for regler for uregelmæssigheder (som ovenfor).

  • Vælg den regel, du vil vurdere, og kopiér dens navn øverst i detaljeruden til højre.

  • Vælg Logfiler i Microsoft Sentinel-navigationsmenuen.

  • Hvis et galleri over forespørgsler vises øverst, skal du lukke det.

  • Vælg fanen Tabeller i venstre rude på siden Logge.

  • Angiv filteret For tidsinterval til Sidste 24 timer.

  • Kopiér Kusto-forespørgslen nedenfor, og indsæt den i forespørgselsvinduet (hvor der står "Skriv din forespørgsel her eller ..."):

Anomalies 
| where AnomalyTemplateName contains "________________________________"

Paste the rule name you copied above in place of the underscores between the quotation marks.
  • Vælg Kør.

Når du har nogle resultater, kan du begynde at vurdere kvaliteten af uregelmæssighederne. Hvis du ikke har resultater, kan du prøve at øge tidsintervallen.

Udvid resultaterne for hver uregelmæssighed, og udvid derefter feltet AnomalyReasons. Dette vil fortælle dig, hvorfor uregelmæssigheden udløste.

En uregelmæssigheds "rimelighed" eller "anvendelighed" kan afhænge af betingelserne i dit miljø, men en almindelig årsag til, at en uregelmæssighedsregel medfører for mange uregelmæssigheder, er, at tærsklen er for lav.

Juster regler for uregelmæssigheder

Selvom regler for uregelmæssigheder er udviklet til maksimal effektivitet, er alle situationer entydige, og nogle gange skal regler for uregelmæssigheder justeres.

Da du ikke kan redigere en oprindelig aktiv regel, skal du først duplikere en aktiv regel for uregelmæssigheder og derefter tilpasse kopien.

Den oprindelige regel for uregelmæssigheder fortsætter med at køre, indtil du enten deaktiverer eller sletter den.

Dette er tilsigtet for at give dig mulighed for at sammenligne de resultater, der er genereret af den oprindelige konfiguration, og den nye. Duplikerede regler er som standard deaktiveret. Du kan kun oprette én tilpasset kopi af en given regel for uregelmæssigheder. Forsøg på at oprette endnu en kopi mislykkes.

  • Hvis du vil ændre konfigurationen af en regel for uregelmæssigheder, skal du vælge reglen for uregelmæssigheder under fanen Aktive regler.

  • Højreklik et vilkårligt sted på rækken i reglen, eller højreklik på ellipsen (...) i slutningen af rækken, og vælg derefter Dupliker.

  • Den nye kopi af reglen har suffikset " - Tilpasset" i regelnavnet. Hvis du vil tilpasse denne regel, skal du vælge denne regel og vælge Rediger.

  • Reglen åbnes i guiden Analytics-regel. Her kan du ændre parametrene for reglen og dens tærskel. De parametre, der kan ændres, varierer afhængigt af hver uregelmæssighedstype og algoritme.

  • Du kan få vist resultaterne af dine ændringer i ruden Resultateksempel. Vælg et anomali-id i resultateksemplet for at se, hvorfor ML-modellen identificerer denne uregelmæssighed.

  • Aktivér den brugerdefinerede regel for at generere resultater. Nogle af dine ændringer kan kræve, at reglen kører igen, så du skal vente på, at den afsluttes og vende tilbage for at kontrollere resultaterne på logsiden. Den brugerdefinerede regel for uregelmæssigheder kører som standard i Flighting-tilstand (test). Den oprindelige regel kører som standard i produktionstilstand.

  • Hvis du vil sammenligne resultaterne, skal du gå tilbage til tabellen Uregelmæssigheder i Logge for at vurdere den nye regel som før, kun søge efter rækker med det oprindelige regelnavn og det duplikerede regelnavn med " - Tilpasset", der er føjet til den i kolonnen AnomalyTemplateName.

    Hvis du er tilfreds med resultaterne for den brugerdefinerede regel, kan du gå tilbage til fanen Aktive regler, vælge den brugerdefinerede regel, vælge knappen Rediger og under fanen Generelt skifte den fra Flighting til Production. Den oprindelige regel ændres automatisk til Flighting, da du ikke kan have to versioner af den samme regel i produktion på samme tid.