Aanbevelingen voor het afstemmen van uw analyseregels in Microsoft Sentinel

Belangrijk

Aangepaste detecties is nu de beste manier om nieuwe regels te maken in Microsoft Sentinel SIEM-Microsoft Defender XDR. Met aangepaste detecties kunt u de opnamekosten verlagen, onbeperkte realtime detecties krijgen en profiteren van naadloze integratie met Defender XDR gegevens, functies en herstelacties met automatische entiteitstoewijzing. Lees dit blog voor meer informatie.

Belangrijk

Het afstemmen van detectie is momenteel in PREVIEW. Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure functies die in bètaversie, preview of anderszins nog niet algemeen beschikbaar zijn.

Het verfijnen van regels voor bedreigingsdetectie in uw SIEM kan een moeilijk, delicaat en continu proces van evenwicht zijn tussen het maximaliseren van de dekking van uw bedreigingsdetectie en het minimaliseren van fout-positieve aantallen. Microsoft Sentinel vereenvoudigt en stroomlijnt dit proces door machine learning te gebruiken om miljarden signalen van uw gegevensbronnen en uw reacties op incidenten in de loop van de tijd te analyseren, patronen af te leiden en u te voorzien van bruikbare aanbevelingen en inzichten die uw afstemmingsoverhead aanzienlijk kunnen verlagen en u zich kunnen richten op het detecteren van en reageren op werkelijke bedreigingen.

Aanbevelingen en inzichten afstemmen zijn nu ingebouwd in uw analyseregels. In dit artikel wordt uitgelegd wat deze inzichten laten zien en hoe u de aanbevelingen kunt implementeren.

Regel-inzichten weergeven en aanbevelingen afstemmen

Als u wilt zien of Microsoft Sentinel aanbevelingen voor het afstemmen van een van uw analyseregels heeft, selecteert u Analyse in het navigatiemenu Microsoft Sentinel.

Regels met aanbevelingen geven een gloeilamppictogram weer, zoals hier wordt weergegeven:

Schermopname van de lijst met analyseregels met aanbevelingsindicator.

Bewerk de regel om de aanbevelingen samen met de andere inzichten weer te geven. Ze worden samen weergegeven op het tabblad Regellogica instellen van de wizard Analyseregel, onder de resultatensimulatieweergave .

Schermopname van het afstemmen van inzichten in de analyseregel.

Typen inzichten

De weergave Inzichten afstemmen bestaat uit verschillende deelvensters waar u doorheen kunt schuiven of swipen, elk met iets anders. Het tijdsbestek - 14 dagen - waarvoor de inzichten worden weergegeven, wordt boven aan het frame weergegeven.

  1. In het eerste inzichtvenster worden enkele statistische gegevens weergegeven: het gemiddelde aantal waarschuwingen per incident, het aantal openstaande incidenten en het aantal gesloten incidenten, gegroepeerd op classificatie (waar/fout-positief). Dit inzicht helpt u de belasting van deze regel te achterhalen en te begrijpen of er afstemming is vereist, bijvoorbeeld als de groepeerinstellingen moeten worden aangepast.

    Schermopname van inzicht in regelefficiëntie.

    Dit inzicht is het resultaat van een Log Analytics-query. Als u Gemiddelde waarschuwingen per incident selecteert, gaat u naar de query in Log Analytics die het inzicht heeft gegenereerd. Als u Incidenten openen selecteert, gaat u naar de blade Incidenten .

  2. In het tweede deelvenster inzicht wordt een lijst met entiteiten aanbevolen die moeten worden uitgesloten. Deze entiteiten zijn sterk gecorreleerd met incidenten die u hebt gesloten en geclassificeerd als fout-positief. Selecteer het plusteken naast elke vermelde entiteit om deze uit te sluiten van de query in toekomstige uitvoeringen van deze regel.

    Schermopname van de aanbeveling voor entiteitsuitsluiting.

    Deze aanbeveling wordt geproduceerd door de geavanceerde data science- en machine learning-modellen van Microsoft. De opname van dit deelvenster in de weergave Inzichten afstemmen is afhankelijk van het feit dat er aanbevelingen moeten worden weergegeven.

  3. In het derde deelvenster inzicht ziet u de vier meest voorkomende toegewezen entiteiten voor alle waarschuwingen die door deze regel worden geproduceerd. Entiteitstoewijzing moet worden geconfigureerd voor de regel om dit inzicht te laten leiden tot resultaten. Dit inzicht kan u helpen zich bewust te worden van entiteiten die de aandacht van andere entiteiten trekken en de aandacht trekken. Mogelijk wilt u deze entiteiten afzonderlijk verwerken in een andere regel, of u kunt besluiten dat ze fout-positieven of anderszins ruis zijn en ze uitsluiten van de regel.

    Schermopname van het belangrijkste inzicht in entiteiten.

    Dit inzicht is het resultaat van een Log Analytics-query. Als u een van de entiteiten selecteert, gaat u naar de query in Log Analytics die het inzicht heeft geproduceerd.

Volgende stappen

Zie voor meer informatie:

  • Last updated on