Arbeid med analyseregler for avviksregistrering i Microsoft Sentinel

  • Gjelder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Viktig

Egendefinerte gjenkjenninger er nå den beste måten å opprette nye regler på tvers av Microsoft Sentinel SIEM-Microsoft Defender XDR. Med egendefinerte oppdagelser kan du redusere inntakskostnader, få ubegrensede sanntidsgjenkjenninger og dra nytte av sømløs integrering med Defender XDR data, funksjoner og utbedringshandlinger med automatisk enhetstilordning. Hvis du vil ha mer informasjon, kan du lese denne bloggen.

Microsoft Sentinel sin funksjon for avvik som kan tilpasses, inneholder innebygde avviksmaler for umiddelbar verdi utenfor boksen. Disse avviksmalene ble utviklet for å være robuste ved hjelp av tusenvis av datakilder og millioner av hendelser, men denne funksjonen gjør det også mulig å endre terskler og parametere for avvikene enkelt i brukergrensesnittet. Avviksregler aktiveres eller aktiveres som standard, slik at de genererer avvik utenfor boksen. Du kan finne og spørre etter disse avvikene i avvikstabellen i Logger-delen.

Viktig

Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen.

Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender.

Vis avviksregelmaler som kan tilpasses

Nå kan du finne avviksregler som vises i et rutenett på Avvik-fanenAnalyse-siden .

  1. For brukere av Microsoft Defender-portalen velger du Microsoft Sentinel > Configuration > Analytics fra navigasjonsmenyen Microsoft Defender.

    For brukere av Microsoft Sentinel i Azure Portal velger du Analyse fra Microsoft Sentinel navigasjonsmenyen.

  2. Velg Avvik-fanenAnalyse-siden.

  3. Hvis du vil filtrere listen etter ett eller flere av følgende vilkår, velger du Legg til filter og velger deretter.

    • Status – om regelen er aktivert eller deaktivert.

    • Taktikk - MITRE ATT&CK rammeverk taktikk dekket av avviket.

    • Teknikker - MITRE ATT&CK rammeverk teknikker dekket av avviket.

    • Datakilder – loggtypen som må tas inn og analyseres for at avviket skal defineres.

  4. Velg en regel, og vis følgende informasjon i detaljruten:

    • Beskrivelse forklarer hvordan avviket fungerer og dataene det krever.

    • Taktikk og teknikker er MITRE ATT&CK rammeverk taktikk og teknikker som dekkes av avviket.

    • Parametere er de konfigurerbare attributtene for avviket.

    • Terskelverdi er en konfigurerbar verdi som angir i hvilken grad en hendelse må være uvanlig før et avvik opprettes.

    • Regelfrekvens er tiden mellom loggbehandlingsjobber som finner avvikene.

    • Regelstatus forteller deg om regelen kjører i produksjons- eller testversjonsmodus (oppsamlingsmodus) når den er aktivert.

    • Avviksversjon viser versjonen av malen som brukes av en regel. Hvis du vil endre versjonen som brukes av en regel som allerede er aktiv, må du opprette regelen på nytt.

Reglene som følger med Microsoft Sentinel ut av boksen, kan ikke redigeres eller slettes. Hvis du vil tilpasse en regel, må du først opprette et duplikat av regelen og deretter tilpasse duplikatet. Se de fullstendige instruksjonene.

Obs!

Hvorfor finnes det en Rediger-knapp hvis regelen ikke kan redigeres?

Selv om du ikke kan endre konfigurasjonen av en ferdigavbrutt avviksregel, kan du gjøre to ting:

  1. Du kan veksle regelstatusen for regelen mellom produksjon og testversjon.

  2. Du kan sende inn tilbakemeldinger til Microsoft om opplevelsen din med avvik som kan tilpasses.

Vurdere kvaliteten på avvik

Du kan se hvor godt en avviksregel yter ved å se gjennom et utvalg av avvikene som er opprettet av en regel i løpet av den siste 24-timers perioden.

  1. For brukere av Microsoft Sentinel i Azure Portal velger du Analyse fra Microsoft Sentinel navigasjonsmenyen.

    For brukere av Microsoft Defender-portalen velger du Microsoft Sentinel > Configuration > Analytics fra navigasjonsmenyen Microsoft Defender.

  2. Velg Avvik-fanenAnalyse-siden.

  3. Velg regelen du vil vurdere, og kopier ID-en fra toppen av detaljruten til høyre.

  4. Velg Logger fra navigasjonsmenyen Microsoft Sentinel.

  5. Hvis et spørringsgalleri vises øverst, lukker du det.

  6. Velg Tabeller-fanen i den venstre ruten på Logger-siden .

  7. Angi tidsområdefilteret til Siste 24 timer.

  8. Kopier Kusto-spørringen nedenfor, og lim den inn i spørringsvinduet (der det står «Skriv inn spørringen her eller...»

    Anomalies 
| where RuleId contains "<RuleId>"

    Lim inn regel-ID-en du kopierte ovenfor i stedet <RuleId> for mellom anførselstegnene.

  9. Velg Kjør.

Når du har noen resultater, kan du begynne å vurdere kvaliteten på avvikene. Hvis du ikke har resultater, kan du prøve å øke tidsintervallet.

Utvid resultatene for hvert avvik, og utvid deretter Avviksreason-feltet . Dette vil fortelle deg hvorfor avviket ble avfyrt.

"Rimelighet" eller "nytten" av en anomali kan avhenge av forholdene i miljøet ditt, men en vanlig årsak til en avviksregel for å produsere for mange avvik er at terskelen er for lav.

Justere avviksregler

Selv om avviksregler er konstruert for maksimal effektivitet ut av boksen, er alle situasjoner unike, og noen ganger må avviksregler justeres.

Siden du ikke kan redigere en opprinnelig aktiv regel, må du først duplisere en aktiv avviksregel og deretter tilpasse kopien.

Den opprinnelige avviksregelen fortsetter å kjøre til du deaktiverer eller sletter den.

Dette er etter utforming for å gi deg muligheten til å sammenligne resultatene som genereres av den opprinnelige konfigurasjonen og den nye. Dupliserte regler er deaktivert som standard. Du kan bare lage én tilpasset kopi av en gitt avviksregel. Forsøk på å lage en ny kopi vil mislykkes.

  1. Hvis du vil endre konfigurasjonen av en avviksregel, velger du regelen fra listen i avvik-fanen.

  2. Høyreklikk hvor som helst på raden i regelen, eller venstreklikk på ellipsen (...) på slutten av raden, og velg deretter Dupliser fra hurtigmenyen.

    En ny regel vises i listen, med følgende egenskaper:

    • Regelnavnet vil være det samme som originalen, med " - Tilpasset" tilføyd til slutten.
    • Regelens status deaktiveres.
    • FLGT-merket vises i begynnelsen av raden for å angi at regelen er i testversjonsmodus.

  3. Hvis du vil tilpasse denne regelen, velger du regelen og velger Rediger i detaljruten eller fra regelens hurtigmeny.

  4. Regelen åpnes i veiviseren for analyseregel. Her kan du endre parameterne for regelen og terskelen. Parameterne som kan endres, varierer avhengig av hver avvikstype og algoritme.

    Du kan forhåndsvise resultatene av endringene i forhåndsvisningsruten for resultater. Velg en avviks-ID i forhåndsvisningen av resultatene for å se hvorfor ML-modellen identifiserer avviket.

  5. Aktiver den tilpassede regelen for å generere resultater. Noen av endringene kan kreve at regelen kjøres på nytt, så du må vente til den er ferdig og komme tilbake for å sjekke resultatene på loggsiden. Den tilpassede avviksregelen kjøres som standard i testmodus . Den opprinnelige regelen fortsetter å kjøre i produksjonsmodus som standard.

  6. Hvis du vil sammenligne resultatene, kan du gå tilbake til avvikstabellen i Logger for å vurdere den nye regelen som før, bare bruke følgende spørring i stedet for å se etter avvik generert av den opprinnelige regelen samt duplikatregelen.

    Anomalies 
| where AnomalyTemplateId contains "<RuleId>"

    Lim inn regel-ID-en du kopierte fra den opprinnelige regelen, i stedet <RuleId> for mellom anførselstegnene. Verdien AnomalyTemplateId i både de opprinnelige og dupliserte reglene er identisk med verdien RuleId i den opprinnelige regelen.

Hvis du er fornøyd med resultatene for den tilpassede regelen, kan du gå tilbake til Avvik-fanen , velge den tilpassede regelen, velge Rediger-knappen og på Generelt-fanen bytte den fra Flighting til Production. Den opprinnelige regelen endres automatisk til Testversjon , siden du ikke kan ha to versjoner av samme regel i produksjon samtidig.

Neste trinn

I dette dokumentet lærte du hvordan du arbeider med tilpassbare analyseregler for avviksregistrering i Microsoft Sentinel.

  • Last updated on