Analyysisääntöjen hienosäätösuositukset Microsoft Sentinel

Uhkien havaitsemissääntöjen hienosäätäminen SIEM:ssä voi olla vaikea, herkkä ja jatkuva tasapainotteluprosessi uhkien havaitsemisen kattavuuden maksimoinnin ja väärien positiivisten kurssien minimoinnin välillä. Microsoft Sentinel yksinkertaistaa ja virtaviivaistaa tätä prosessia käyttämällä koneoppimista tietolähteiden miljardien signaalien analysointiin sekä reagointeihin ajan mittaan tapauksiin, päättelemällä malleja ja tarjoamalla toiminnallisia suosituksia ja merkityksellisiä tietoja, jotka voivat alentaa merkittävästi virityskustannuksia ja antaa sinun keskittyä todellisten uhkien havaitsemiseen ja niihin vastaamiseen.

Säätösuositukset ja merkitykselliset tiedot perustuvat nyt analytiikkasääntöihisi. Tässä artikkelissa selitetään, mitä nämä merkitykselliset tiedot näyttävät ja miten voit toteuttaa suositukset.

Näytä sääntöjen merkitykselliset tiedot ja virityssuositukset

Jos haluat nähdä, onko Microsoft Sentinel säätösuosituksia analytiikkasäännöillesi, valitse Analytiikka Microsoft Sentinel siirtymisvalikosta.

Kaikki säännöt, joissa on suosituksia, näyttävät hehkulamppukuvakkeen seuraavassa esitetyllä tavalla:

Muokkaa sääntöä, jos haluat tarkastella suosituksia ja muita merkityksellisiä tietoja. Ne näkyvät yhdessä ohjatun analytiikkasäännön luomisen Aseta sääntölogiikka -välilehdellä Tulosten simulointi -näytön alapuolella.

Merkityksellisten tietojen tyypit

Säätötoiminnon merkitykselliset tiedot -näyttö koostuu useista ruuduista, joita voit vierittää tai pyyhkäistä läpi ja joista jokainen näyttää jotain erilaista. Aikaväli – 14 päivää - jolle merkitykselliset tiedot näytetään, näkyy kehyksen yläreunassa.

1. Ensimmäisessä merkityksellisten tietojen ruudussa näkyy joitakin tilastotietoja – ilmoitusten keskimääräinen määrä tapahtumaa kohti, avointen tapausten määrä ja suljettujen tapausten määrä luokituksen mukaan ryhmiteltynä (tosi/epätosi-positiivinen). Tämä merkityksellinen tieto auttaa selvittämään tämän säännön kuormituksen ja ymmärtämään, tarvitaanko säätöä – esimerkiksi jos ryhmittelyasetuksia on muutettava.

   

   Tämä merkityksellinen tieto on Log Analytics -kyselyn tulos. Kun valitset Keskimääräiset ilmoitukset tapahtumaa kohden , siirryt Log Analyticsin kyselyyn, joka tuotti merkitykselliset tiedot. Kun valitset Avoimet tapaukset, siirryt Tapahtumat-ruutuun.

2. Toinen merkityksellisten tietojen ruutu suosittelee, että luettelo entiteeteistä jätetään pois. Nämä entiteetit korreloivat voimakkaasti sulkemuihin tapauksiin, jotka luokittelit epätosi-positiiviseksi. Valitse plusmerkki jokaisen luettelossa olevan entiteetin vierestä, jos haluat jättää sen pois kyselystä tämän säännön tulevissa suorituksissa.

   

   Tämän suosituksen laativat Microsoftin kehittyneet tietojenkäsittely- ja koneoppimismallit. Tämän ruudun sisällyttäminen säätötoiminnon merkityksellisten tietojen näyttöön riippuu siitä, onko näytettäviä suosituksia.

3. Kolmas merkityksellisten tietojen ruutu näyttää neljä useimmin näkyvää yhdistettyä entiteettiä kaikissa tämän säännön tuottamista ilmoituksista. Entiteetin yhdistäminen on määritettävä säännölle, jotta tämä merkityksellinen tieto voi tuottaa tuloksia. Nämä merkitykselliset tiedot saattavat auttaa sinua tiedostamaan kaikki entiteetit, jotka "vievät huomion pois muista" ja vetävät huomion pois muista. Haluat ehkä käsitellä näitä entiteettejä erikseen eri säännössä, tai voit päättää, että ne ovat vääriä positiivisia tai muuten kohinaa, ja jättää ne pois säännöstä.

   

   Tämä merkityksellinen tieto on Log Analytics -kyselyn tulos. Kun valitset minkä tahansa entiteeteistä, siirryt Log Analyticsin kyselyyn, joka tuotti merkitykselliset tiedot.

Seuraavat vaiheet

Lisätietoja on seuraavissa artikkeleissa:

• Käsittele false-positiiviset Microsoft Sentinel
• UEBA-tietojen käyttäminen epätosi-positiivisten tietojen analysointiin
• Mukautettujen analytiikkasääntöjen luominen uhkien havaitsemiseksi