Håndtere falske positiver i Microsoft Sentinel

Viktig

Egendefinerte gjenkjenninger er nå den beste måten å opprette nye regler på tvers av Microsoft Sentinel SIEM-Microsoft Defender XDR. Med egendefinerte oppdagelser kan du redusere inntakskostnader, få ubegrensede sanntidsgjenkjenninger og dra nytte av sømløs integrering med Defender XDR data, funksjoner og utbedringshandlinger med automatisk enhetstilordning. Hvis du vil ha mer informasjon, kan du lese denne bloggen.

Microsoft Sentinel varsler analysereglene deg når det oppstår noe mistenkelig i nettverket. Ingen analyseregel er perfekt, og du er nødt til å få noen falske positiver som trenger håndtering. Denne artikkelen beskriver hvordan du håndterer falske positiver, enten ved hjelp av automatisering eller ved å endre planlagte analyseregler.

Falske positive årsaker og forebygging

Selv i en riktig bygd analyseregel stammer falske positiver ofte fra bestemte enheter som brukere eller IP-adresser som bør utelukkes fra regelen.

Vanlige scenarioer omfatter:

  • Vanlige aktiviteter for enkelte brukere, vanligvis tjenestekontohavere, viser et mønster som virker mistenkelig.
  • Tilsiktet sikkerhetsskanningsaktivitet som kommer fra kjente IP-adresser, oppdages som skadelig.
  • En regel som utelukker private IP-adresser, bør også utelate noen interne IP-adresser som ikke er private.

Denne artikkelen beskriver to metoder for å unngå falske positiver:

  • Automatiseringsregler oppretter unntak uten å endre analyseregler.
  • Endringer i planlagte analyseregler tillater mer detaljerte og permanente unntak.

Tabellen nedenfor beskriver egenskapene til hver metode:

Metode Karakteristiske
Automatiseringsregler
  • Kan gjelde for flere analyseregler.
  • Hold et revisjonsspor. Unntak umiddelbart og lukker automatisk opprettede hendelser, og registrerer årsaken til nedleggelsen og kommentarene.
  • Genereres ofte av analytikere.
  • Tillat bruk av unntak i en begrenset periode. Vedlikeholdsarbeid kan for eksempel utløse falske positiver som utenfor vedlikeholdstidsrammen ville vært sanne hendelser.
Endringer i analyseregler
  • Tillat avanserte boolske uttrykk og delnettbaserte unntak.
  • La deg bruke visningslister til å sentralisere unntaksbehandling.
  • Vanligvis krever implementering av Security Operations Center (SOC) teknikere.
  • Er den mest fleksible og fullstendige falske positive løsningen, men er mer komplekse.

Legg til unntak med automatiseringsregler (bare Azure Portal)

Denne fremgangsmåten beskriver hvordan du legger til en automatiseringsregel når du ser en falsk positiv hendelse. Denne prosedyren støttes bare i Azure Portal.

Hvis Microsoft Sentinel er koblet til Defender-portalen, kan du opprette automatiseringsregler fra grunnen av basert på detaljene for hendelsen. Hvis du vil ha mer informasjon, kan du se Automatiser trusselrespons i Microsoft Sentinel med automatiseringsregler.

Slik legger du til en automatiseringsregel for å håndtere en falsk positiv:

  1. Velg hendelsen du vil opprette et unntak for, under Hendelser i Microsoft Sentinel.

  2. Velg Handlingsopprettingsregel >i detaljruten for hendelsen på siden.

  3. I sidepanelet Opprett ny automatiseringsregel kan du eventuelt endre det nye regelnavnet for å identifisere unntaket, i stedet for bare navnet på varslingsregelen.

  4. Under Betingelser kan du eventuelt legge til flere analyseregelnavnå bruke unntaket på. Velg rullegardinlisten som inneholder analyseregelnavnet, og velg flere analyseregler fra listen.

  5. Sidestolpen presenterer de spesifikke enhetene i den nåværende hendelsen som kan ha forårsaket den falske positive. Behold de automatiske forslagene, eller endre dem for å finjustere unntaket. Du kan for eksempel endre en betingelse på en IP-adresse for å gjelde for et helt delnett.

    Skjermbilde som viser hvordan du oppretter en automatiseringsregel for en hendelse i Microsoft Sentinel.

  6. Når du er fornøyd med betingelsene, ruller du nedover i sideruten for å fortsette å definere hva regelen gjør:

    Skjermbilde som viser hvordan du fullfører oppretting og bruk av en automatiseringsregel i Microsoft Sentinel.

    • Regelen er allerede konfigurert til å lukke en hendelse som oppfyller unntakskriteriene.
    • Du kan beholde den angitte avslutningsårsaken som den er, eller du kan endre den hvis en annen årsak er mer passende.
    • Du kan legge til en kommentar i den automatisk lukkede hendelsen som forklarer unntaket. Du kan for eksempel angi at hendelsen stammer fra kjent administrativ aktivitet.
    • Regelen er som standard satt til å utløpe automatisk etter 24 timer. Denne utløpsdatoen kan være det du ønsker, og reduserer sjansen for falske negative feil. Hvis du vil ha et lengre unntak, angir du regelutløp til et senere tidspunkt.

  7. Du kan legge til flere handlinger hvis du vil. Du kan for eksempel legge til et merke i hendelsen, eller du kan kjøre en strategiplan for å sende en e-postmelding eller et varsel eller synkronisere med et eksternt system.

  8. Velg Bruk for å aktivere unntaket.

Legg til unntak ved å endre analyseregler

Et annet alternativ for å implementere unntak er å endre spørringen for analyseregel. Du kan inkludere unntak direkte i regelen, eller helst, når det er mulig, bruke en referanse til en visningsliste. Deretter kan du administrere unntakslisten i visningslisten.

Endre spørringen

Hvis du vil redigere eksisterende analyseregler, velger du Automatisering fra Microsoft Sentinel venstre navigasjonsmeny. Velg regelen du vil redigere, og velg deretter Rediger nederst til høyre for å åpne veiviseren for analyseregler.

Hvis du vil ha detaljerte instruksjoner om hvordan du bruker veiviseren for analyseregler til å opprette og redigere analyseregler, kan du se Opprette egendefinerte analyseregler for å oppdage trusler.

Hvis du vil implementere et unntak i en vanlig regelinnledning, kan du legge til en betingelse som where IPAddress !in ('<ip addresses>') nær begynnelsen av regelspørringen. Denne linjen utelukker bestemte IP-adresser fra regelen.

let timeFrame = 1d;
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| where IPAddress !in ('10.0.0.8', '192.168.12.1')
...

Denne typen unntak er ikke begrenset til IP-adresser. Du kan utelate bestemte brukere ved hjelp UserPrincipalName av feltet, eller utelate bestemte apper ved hjelp AppDisplayNameav .

Du kan også utelate flere attributter. Hvis du for eksempel vil utelate varsler fra ENTEN IP-adressen 10.0.0.8 eller brukeren user@microsoft.com, bruker du:

| where IPAddress !in ('10.0.0.8')
| where UserPrincipalName != 'user@microsoft.com'

Hvis du vil implementere et mer finjustert unntak når det er aktuelt, og redusere sjansen for falske negativer, kan du kombinere attributter. Følgende unntak gjelder bare hvis begge verdiene vises i samme varsel:

| where IPAddress != '10.0.0.8' and UserPrincipalName != 'user@microsoft.com'

Utelat delnett

Utelukkelse av IP-områder som brukes av en organisasjon, krever utelukkelse av delnett. Følgende eksempel viser hvordan du utelater delnett.

Operatoren ipv4_lookup er en berikelsesoperator, ikke en filtreringsoperator. Linjen where isempty(network) utfører faktisk filtreringen, ved å inspisere de hendelsene som ikke viser et treff.

let subnets = datatable(network:string) [ "111.68.128.0/17", "5.8.0.0/19", ...];
let timeFrame = 1d;
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| evaluate ipv4_lookup(subnets, IPAddress, network, return_unmatched = true)
| where isempty(network)
...

Bruke visningslister til å behandle unntak

Du kan bruke en visningsliste til å administrere listen over unntak utenfor selve regelen. Når det er aktuelt, har denne løsningen følgende fordeler:

  • En analytiker kan legge til unntak uten å redigere regelen, noe som bedre følger anbefalte fremgangsmåter for SOC.
  • Den samme visningslisten kan gjelde for flere regler, noe som aktiverer sentral unntaksbehandling.

Bruk av en visningsliste ligner på bruk av et direkte unntak. Bruk _GetWatchlist('<watchlist name>') denne til å kalle opp visningslisten:

let timeFrame = 1d;
let logonDiff = 10m;
let allowlist = (_GetWatchlist('ipallowlist') | project IPAddress);
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| where IPAddress !in (allowlist)
...

Du kan også filtrere delnett ved hjelp av en visningsliste. I den forrige utelukkelseskoden for delnett kan du for eksempel erstatte definisjonen av delnett med en visningsliste datatable :

let subnets = _GetWatchlist('subnetallowlist');

Se mer informasjon om følgende elementer som brukes i eksemplene ovenfor, i Kusto-dokumentasjonen:

Hvis du vil ha mer informasjon om KQL, kan du se Oversikt over Kusto-spørringsspråk (KQL).

Andre ressurser:

Eksempel: Behandle unntak for Microsoft Sentinel løsning for SAP-programmer®

Den Microsoft Sentinel løsningen for SAP-programmer® inneholder funksjoner du kan bruke til å utelate brukere eller systemer fra å utløse varsler.

  • Utelat brukere. Bruk SAPUsersGetVIP-funksjonen til å:

    • Anropskoder for brukere du vil utelate fra utløsende varsler. Merk brukere i SAP_User_Config visningsliste, ved hjelp av stjerner (*) som jokertegn for å merke alle brukere med en angitt navnesyntaks.
    • Før opp bestemte SAP-roller og/eller profiler du vil utelate fra utløsende varsler.

  • Utelat systemer. Bruk funksjoner som støtter parameteren SelectedSystemRoles til å fastslå at bare bestemte typer systemer utløser varsler, inkludert bare produksjonssystemer , bare UAT-systemer eller begge deler.

Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel løsning for datareferanse for SAP-programmer®.

Beslektet innhold

Hvis du vil ha mer informasjon, kan du se:

  • Last updated on