Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Viktig
Egendefinerte gjenkjenninger er nå den beste måten å opprette nye regler på tvers av Microsoft Sentinel SIEM-Microsoft Defender XDR. Med egendefinerte oppdagelser kan du redusere inntakskostnader, få ubegrensede sanntidsgjenkjenninger og dra nytte av sømløs integrering med Defender XDR data, funksjoner og utbedringshandlinger med automatisk enhetstilordning. Hvis du vil ha mer informasjon, kan du lese denne bloggen.
Viktig
Gjenkjenningsjustering er for øyeblikket i PREVIEW. Se tilleggsvilkårene for bruk for Microsoft Azure previews for flere juridiske termer som gjelder for Azure funksjoner som er i beta, forhåndsversjon eller på annen måte ikke utgitt i generell tilgjengelighet.
Finjustering av trusselregistreringsregler i SIEM kan være en vanskelig, delikat og kontinuerlig prosess for å balansere mellom å maksimere dekning av trusselregistrering og minimere falske positive priser. Microsoft Sentinel forenkler og effektiviserer denne prosessen ved å bruke maskinlæring til å analysere milliarder av signaler fra datakildene dine, samt svar på hendelser over tid, utlede mønstre og gi deg handlingsrettede anbefalinger og innsikt som kan redusere justeringskostnadene betydelig og la deg fokusere på å oppdage og reagere på faktiske trusler.
Justeringsanbefalinger og innsikt er nå innebygd i analysereglene. Denne artikkelen forklarer hva denne innsikten viser, og hvordan du kan implementere anbefalingene.
Vis regelinnsikt og justeringsanbefalinger
Hvis du vil se om Microsoft Sentinel har noen justeringsanbefalinger for noen av analysereglene, velger du Analyse fra navigasjonsmenyen Microsoft Sentinel.
Alle regler som har anbefalinger, viser et lyspæreikon, som vist her:
Rediger regelen for å vise anbefalingene sammen med den andre innsikten. De vises sammen på fanen Angi regellogikk i analyseregelveiviseren, under resultatsimuleringsvisningen .
Innsiktstyper
Visningen for justeringsinnsikt består av flere ruter som du kan rulle eller sveipe gjennom, og hver av dem viser deg noe annet. Tidsrammen – 14 dager – som innsiktene vises for, vises øverst i rammen.
Den første innsiktruten viser noen statistiske opplysninger – gjennomsnittlig antall varsler per hendelse, antall åpne hendelser og antall lukkede hendelser, gruppert etter klassifisering (sann/usann positiv). Denne innsikten hjelper deg med å finne ut belastningen på denne regelen, og forstå om det kreves justering – for eksempel hvis gruppeinnstillingene må justeres.
Denne innsikten er resultatet av en Log Analytics-spørring. Hvis du velger gjennomsnittlige varsler per hendelse , kommer du til spørringen i Log Analytics som produserte innsikten. Hvis du velger Åpne hendelser, tas du til Hendelser-bladet .
Den andre innsiktruten anbefaler at du får en liste over enheter som skal utelates. Disse enhetene er svært korrelert med hendelser som du lukket og klassifisert som falske positive. Velg plusstegnet ved siden av hver oppførte enhet for å utelate den fra spørringen i fremtidige kjøringer av denne regelen.
Denne anbefalingen produseres av Microsofts avanserte datavitenskaps- og maskinlæringsmodeller. Denne rutens inkludering i visningen for justeringsinnsikt er avhengig av at det finnes noen anbefalinger å vise.
Den tredje innsiktruten viser de fire mest viste tilordnede enhetene på tvers av alle varsler som produseres av denne regelen. Enhetstilordning må konfigureres på regelen for at denne innsikten skal produsere eventuelle resultater. Denne innsikten kan hjelpe deg med å bli oppmerksom på alle enheter som «hogger rampelyset» og trekker oppmerksomheten bort fra andre. Du vil kanskje håndtere disse enhetene separat i en annen regel, eller du kan bestemme deg for at de er falske positive eller på annen måte støy, og utelate dem fra regelen.
Denne innsikten er resultatet av en Log Analytics-spørring. Hvis du velger en av enhetene, kommer du til spørringen i Log Analytics som produserte innsikten.
Neste trinn
Hvis du vil ha mer informasjon, kan du se: