Käsittele false-positiiviset Microsoft Sentinel

Tärkeää

Mukautetut tunnistuksia ovat nyt paras tapa luoda uusia sääntöjä siem Microsoft Sentinel Microsoft Defender XDR. Mukautettujen tunnistusten avulla voit pienentää käsittelykustannuksia, saada rajoittamattoman reaaliaikaisen tunnistamisen ja hyötyä saumattomasta integroinnista Defender XDR tietojen, funktioiden ja korjaustoimintojen kanssa automaattisella entiteettikartoituksella. Lisätietoja on tässä blogissa.

Microsoft Sentinel analytiikkasäännöt ilmoittavat sinulle, kun verkossasi ilmenee jotain epäilyttävää. Mikään analytiikkasääntö ei ole täydellinen, ja saat varmasti joitakin vääriä positiivisia tietoja, jotka on käsiteltävä. Tässä artikkelissa kuvataan, miten voit käsitellä vääriä positiivisia arvoja joko automaation avulla tai muokkaamalla ajoitettuja analyysisääntöjä.

Väärät positiiviset syyt ja estäminen

Jopa oikein rakennetussa analytiikkasäännössä false-positiiviset johtuvat usein tietyistä entiteeteistä, kuten käyttäjistä tai IP-osoitteista, jotka tulisi jättää säännön ulkopuolelle.

Yleisiä skenaarioita ovat seuraavat:

  • Tiettyjen käyttäjien, yleensä palvelun päänimien, normaali toiminta näyttää epäilyttävältä.
  • Tunnetuista IP-osoitteista peräisin oleva tarkoituksellinen suojauksen skannaustoiminto havaitaan haitalliseksi.
  • Jos sääntö ei sisällä yksityisiä IP-osoitteita, sen pitäisi myös sulkea pois joitakin sisäisiä IP-osoitteita, jotka eivät ole yksityisiä.

Tässä artikkelissa kuvataan kaksi tapaa välttää false-positiiviset:

  • Automaatiosäännöt luovat poikkeuksia muokkaamatta analyysisääntöjä.
  • Ajoitettujen analytiikkasääntöjen muutokset mahdollistavat yksityiskohtaisemmat ja pysyvät poikkeukset.

Seuraavassa taulukossa kuvataan kunkin menetelmän ominaisuudet:

Menetelmä Ominaisuus
Automaatiosäännöt
  • Voi soveltaa useisiin analytiikkasääntöihin.
  • Pidä jäljitysketju. Poikkeukset sulkeutuvat välittömästi ja automaattisesti luodut tapaukset, kirjaavat sulkemisen syyn ja kommentit.
  • Analyytikot tuottavat usein niitä.
  • Salli poikkeusten käyttäminen rajoitetun ajan. Esimerkiksi ylläpitotyö saattaa aiheuttaa vääriä positiivisia asioita, jotka olisivat todellisia tapauksia ylläpidon ajanjakson ulkopuolella.
Analytiikkasääntöjen muokkaukset
  • Salli kehittyneet totuusarvolausekkeet ja aliverkkopohjaiset poikkeukset.
  • Voit keskittää poikkeusten hallinnan katseluluetteloiden avulla.
  • Tietoturvakeskuksen (SOC) teknikot edellyttävät yleensä toteutusta.
  • Ne ovat joustavin ja täydellisin false-positiivinen ratkaisu, mutta ne ovat monimutkaisempia.

Poikkeusten lisääminen automaatiosäännöillä (vain Azure-portaali)

Tässä ohjeessa kuvataan , miten voit lisätä automaatiosäännön , kun näet väärän positiivisen tapauksen. Tätä toimintosarjaa tuetaan vain Azure-portaali.

Jos Microsoft Sentinel on otettu käyttöön Defender-portaalissa, voit luoda automaatiosääntöjä alusta alkaen tapahtuman tietojen perusteella. Lisätietoja on artikkelissa Uhkien automaattinen reagointi Microsoft Sentinel automaatiosäännöillä.

Automaatiosäännön lisääminen false-positiivisen käsittelemiseksi:

  1. Valitse Microsoft Sentinel Tapahtumat-kohdasta tapaus, jolle haluat luoda poikkeuksen.

  2. Valitse sivureunan Tapaustiedot-ruudussa Toiminnot > Luo automaatiosääntö.

  3. Muokkaa luo uusi automaatiosääntö -sivupalkissa halutessasi uutta säännön nimeä tunnistamaan poikkeus pelkän ilmoitussäännön nimen sijaan.

  4. Lisää Ehdot-kohtaan valinnaisesti lisää Analytiikkasääntöjen nimet, joita käytetään poikkeukseen. Valitse avattava ruutu, joka sisältää analytiikkasäännön nimen, ja valitse luettelosta lisää analytiikkasääntöjä.

  5. Sivupalkki näyttää nykyisen tapahtuman tietyt entiteetit, jotka ovat saattaneet aiheuttaa false-positiivisen tuloksen. Säilytä automaattiset ehdotukset tai muokkaa niitä hienosäätääksesi poikkeusta. Voit esimerkiksi muuttaa IP-osoitteen ehdon koskemaan koko aliverkkoa.

    Näyttökuva, jossa näytetään, miten voit luoda automaatiosäännön Microsoft Sentinel sattuneelle tapahtumalle.

  6. Kun olet tyytyväinen ehtoihin, vieritä sivuruudussa alaspäin ja määritä, mitä sääntö tekee:

    Näyttökuva, jossa näytetään, miten automaatiosäännön luominen ja käyttäminen viimeistellään Microsoft Sentinel.

    • Sääntö on jo määritetty sulkemaan tapaus, joka täyttää poikkeusehdot.
    • Voit säilyttää määritetyn sulkemissyyn sellaisenaan tai voit muuttaa sitä, jos jokin toinen syy on sopivampi.
    • Voit lisätä automaattisesti suljettuun tapahtumaan kommentin, joka selittää poikkeuksen. Voit esimerkiksi määrittää, että tapaus on peräisin tunnetusta hallinnollisesta toiminnasta.
    • Sääntö on oletusarvoisesti määritetty vanhenemaan automaattisesti 24 tunnin kuluttua. Tämä vanhentuminen voi olla mitä haluat, ja se vähentää väärien negatiivisten virheiden mahdollisuutta. Jos haluat pidemmän poikkeuksen, määritä säännön vanhentuminen myöhempään ajankohtaan.

  7. Voit halutessasi lisätä lisää toimintoja. Voit esimerkiksi lisätä tapahtumaan tunnisteen tai suorittaa pelikirjan sähköpostin tai ilmoituksen lähettämiseksi tai synkronoimiseksi ulkoisen järjestelmän kanssa.

  8. Aktivoi poikkeus valitsemalla Käytä .

Poikkeusten lisääminen muokkaamalla analyysisääntöjä

Toinen vaihtoehto poikkeusten toteuttamiseen on muokata analytiikkasäännön kyselyä. Voit sisällyttää poikkeukset suoraan sääntöön tai mieluiten, kun mahdollista, käyttää viittausta katseluluetteloon. Voit sitten hallita katseluluettelon poikkeusluetteloa.

Kyselyn muokkaaminen

Jos haluat muokata olemassa olevia analytiikkasääntöjä, valitse Microsoft Sentinel vasemmasta siirtymisvalikosta Automaatio. Valitse sääntö, jota haluat muokata, ja valitse sitten Muokkaa oikeasta alakulmasta, jolloin ohjattu analytiikkasääntöjen luominen avautuu.

Tarkat ohjeet analytiikkasääntöjen luomisen ja muokkaamisen luomiseen ja muokkaamiseen ovat artikkelissa Mukautettujen analytiikkasääntöjen luominen uhkien havaitsemiseksi.

Jos haluat toteuttaa poikkeuksen tyypillisessä säännön johdanto-osassa, voit lisätä ehdon, kuten where IPAddress !in ('<ip addresses>') lähellä sääntökyselyn alkua. Tämä rivi jättää pois tiettyjä IP-osoitteita säännöstä.

let timeFrame = 1d;
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| where IPAddress !in ('10.0.0.8', '192.168.12.1')
...

Tämäntyyppistä poikkeusta ei ole rajoitettu IP-osoitteisiin. Voit jättää pois tiettyjä käyttäjiä käyttämällä - UserPrincipalName kenttää tai jättää pois tiettyjä sovelluksia käyttämällä -kenttää AppDisplayName.

Voit myös jättää pois useita määritteitä. Jos haluat esimerkiksi jättää ilmoitukset pois joko IP-osoitteesta 10.0.0.8 tai käyttäjästä user@microsoft.com, käytä seuraavaa:

| where IPAddress !in ('10.0.0.8')
| where UserPrincipalName != 'user@microsoft.com'

Jos haluat ottaa käyttöön tarkemman poikkeuksen tarvittaessa ja vähentää false-negatiivisten mahdollisuuksien määrää, voit yhdistää määritteitä. Seuraava poikkeus koskee vain, jos molemmat arvot näkyvät samassa hälytyksessä:

| where IPAddress != '10.0.0.8' and UserPrincipalName != 'user@microsoft.com'

Jätä aliverkot pois

Organisaation käyttämien IP-alueiden pois jättäminen edellyttää aliverkon poissulkemista. Seuraavassa esimerkissä näytetään, miten aliverkkoja ei oteta pois.

Operaattori ipv4_lookup on rikastusoperaattori, ei suodatusoperaattori. Rivi where isempty(network) suodattaa itse asiassa tarkistamalla tapahtumat, jotka eivät näytä vastaavuutta.

let subnets = datatable(network:string) [ "111.68.128.0/17", "5.8.0.0/19", ...];
let timeFrame = 1d;
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| evaluate ipv4_lookup(subnets, IPAddress, network, return_unmatched = true)
| where isempty(network)
...

Poikkeusten hallinta katseluluetteloiden avulla

Katseluluettelon avulla voit hallita poikkeusluetteloa itse säännön ulkopuolella. Tarvittaessa tällä ratkaisulla on seuraavat edut:

  • Analyytikko voi lisätä poikkeuksia muokkaamatta sääntöä, mikä noudattaa paremmin SOC:n parhaita käytäntöjä.
  • Sama katseluluettelo voi koskea useita sääntöjä, jotka mahdollistavat keskitetyn poikkeusten hallinnan.

Katseluluettelon käyttäminen muistuttaa suoran poikkeuksen käyttämistä. Käytä _GetWatchlist('<watchlist name>') katseluluettelon kutsumiseen:

let timeFrame = 1d;
let logonDiff = 10m;
let allowlist = (_GetWatchlist('ipallowlist') | project IPAddress);
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| where IPAddress !in (allowlist)
...

Voit myös suodattaa aliverkkoa katseluluettelon avulla. Esimerkiksi edellisessä aliverkkojen poissulkemiskoodissa voit korvata aliverkkojen datatable määrityksen katseluluettelolla:

let subnets = _GetWatchlist('subnetallowlist');

Katso lisätietoja seuraavista edellisissä esimerkeissä käytetyistä kohteista Kusto-dokumentaatiosta:

Lisätietoja KQL:stä on Kusto Query Languagen (KQL) yleiskatsauksessa.

Muut resurssit:

Esimerkki: Microsoft Sentinel ratkaisun poikkeusten hallinta SAP-sovelluksille®

SAP® Microsoft Sentinel sovellusten Microsoft Sentinel tarjoaa funktioita, joiden avulla voit estää käyttäjiä tai järjestelmiä käynnistämästä ilmoituksia.

  • Jätä käyttäjät pois. Käytä SAPUsersGetVIP-funktiota :

    • Kutsutunnisteita käyttäjille, jotka haluat jättää pois käynnistysilmoituksista. Merkitse SAP_User_Config katseluluettelon käyttäjät yleismerkeillä (*) merkitsemällä kaikki käyttäjät määritetyllä nimeämissyntaksilla.
    • Luettele tietyt SAP-roolit ja/tai profiilit, jotka haluat jättää pois käynnistysilmoituksista.

  • Jätä pois järjestelmät. Käytä SelectedSystemRoles-parametria tukevia funktioita määrittämään, että vain tietyntyyppiset järjestelmät käynnistävät ilmoituksia, mukaan lukien vain tuotantojärjestelmät , vain UAT-järjestelmät tai molemmat.

Lisätietoja on artikkelissa Microsoft Sentinel ratkaisu SAP-sovelluksille® tietoviittaus.

Aiheeseen liittyvä sisältö

Lisätietoja on seuraavissa artikkeleissa:

  • Last updated on