Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Важно!
Пользовательское обнаружение теперь является лучшим способом создания новых правил в Microsoft Sentinel SIEM Microsoft Defender XDR. Благодаря пользовательским обнаружениям можно сократить затраты на прием данных, получить неограниченное количество обнаружения в режиме реального времени и воспользоваться преимуществами простой интеграции с Defender XDR данными, функциями и действиями по исправлению с помощью автоматического сопоставления сущностей. Дополнительные сведения см. в этом блоге.
Microsoft Sentinel правила аналитики уведомляют вас о подозрительных событиях в сети. Правило аналитики не является идеальным, и вы обязаны получить некоторые ложные срабатывания, которые нуждаются в обработке. В этой статье описывается обработка ложных срабатываний с помощью автоматизации или путем изменения правил аналитики по расписанию.
Ложноположительные причины и предотвращение
Даже в правильно созданном правиле аналитики ложные срабатывания часто возникают из определенных сущностей, таких как пользователи или IP-адреса, которые следует исключить из правила.
Ниже приведены распространенные сценарии.
- Обычные действия определенных пользователей, как правило, субъектов-служб, показывают шаблон, который кажется подозрительным.
- Преднамеренные действия по проверке безопасности, поступающие с известных IP-адресов, обнаруживаются как вредоносные.
- Правило, исключающее частные IP-адреса, также должно исключать некоторые внутренние IP-адреса, которые не являются частными.
В этой статье описаны два способа избежать ложноположительных результатов:
- Правила автоматизации создают исключения без изменения правил аналитики.
- Запланированные изменения правил аналитики позволяют создавать более подробные и постоянные исключения.
В следующей таблице описаны характеристики каждого метода:
| Метод | Характерные |
|---|---|
| Правила автоматизации |
|
| Изменения правил аналитики |
|
Добавление исключений с помощью правил автоматизации (только портал Azure)
В этой процедуре описывается добавление правила автоматизации при появлении ложноположительного срабатывания. Эта процедура поддерживается только в портал Azure.
Если Microsoft Sentinel подключен к порталу Defender, создайте правила автоматизации с нуля на основе сведений об инциденте. Дополнительные сведения см. в статье Автоматизация реагирования на угрозы в Microsoft Sentinel с помощью правил автоматизации.
Чтобы добавить правило автоматизации для обработки ложноположительных результатов, выполните приведенные далее действия.
В Microsoft Sentinel в разделе Инциденты выберите инцидент, для которого нужно создать исключение.
На боковой панели сведений об инциденте выберите Действия > Создать правило автоматизации.
На боковой панели Создание нового правила автоматизации при необходимости измените новое имя правила, чтобы определить исключение, а не только имя правила генерации оповещений.
В разделе Условия при необходимости добавьте дополнительные имена правил Аналитикидля применения исключения. Выберите раскрывающийся список, содержащий имя правила аналитики, и выберите в списке дополнительные правила аналитики.
На боковой панели отображаются конкретные сущности в текущем инциденте, которые могли вызвать ложноположительный результат. Оставьте автоматические предложения или измените их для точной настройки исключения. Например, можно изменить условие для IP-адреса, чтобы применить его ко всей подсети.
После того как вы будете удовлетворены условиями, прокрутите вниз в боковой области, чтобы определить, что делает правило:
- Правило уже настроено для закрытия инцидента, соответствующего условиям исключения.
- Вы можете оставить указанную причину закрытия как есть или изменить ее, если другая причина является более подходящей.
- К автоматически закрытому инциденту можно добавить комментарий, объясняющий исключение. Например, можно указать, что инцидент произошел из известного административного действия.
- По умолчанию срок действия правила истекает автоматически через 24 часа. Это может быть то, что вы хотите, и снижает вероятность ложноотрицательных ошибок. Если требуется более длинное исключение, установите для значения срок действия правила позднее.
При необходимости можно добавить дополнительные действия. Например, можно добавить тег в инцидент или запустить сборник схем для отправки сообщения электронной почты или уведомления или синхронизации с внешней системой.
Нажмите кнопку Применить , чтобы активировать исключение.
Добавление исключений путем изменения правил аналитики
Другой вариант реализации исключений — изменение запроса правила аналитики. Исключения можно включить непосредственно в правило или, по возможности, использовать ссылку на список отслеживания. Затем можно управлять списком исключений в списке отслеживания.
Изменение запроса
Чтобы изменить существующие правила аналитики, выберите Автоматизация в меню навигации Microsoft Sentinel слева. Выберите правило, которое нужно изменить, а затем щелкните Изменить в правом нижнем углу, чтобы открыть мастер правил аналитики.
Подробные инструкции по использованию мастера правил аналитики для создания и изменения правил аналитики см. в статье Создание настраиваемых правил аналитики для обнаружения угроз.
Чтобы реализовать исключение в обычной презаимке правила, можно добавить условие, например where IPAddress !in ('<ip addresses>') , рядом с началом запроса правила. Эта строка исключает из правила определенные IP-адреса.
let timeFrame = 1d;
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| where IPAddress !in ('10.0.0.8', '192.168.12.1')
...
Этот тип исключения не ограничивается IP-адресами. Вы можете исключить определенных пользователей с помощью UserPrincipalName поля или исключить определенные приложения с помощью AppDisplayName.
Можно также исключить несколько атрибутов. Например, чтобы исключить оповещения из IP-адреса 10.0.0.8 или пользователя user@microsoft.com, используйте:
| where IPAddress !in ('10.0.0.8')
| where UserPrincipalName != 'user@microsoft.com'
Чтобы реализовать более детальное исключение, если применимо, и снизить вероятность ложноотрицательных значений, можно объединить атрибуты. Следующее исключение применяется только в том случае, если оба значения отображаются в одном оповещении:
| where IPAddress != '10.0.0.8' and UserPrincipalName != 'user@microsoft.com'
Исключение подсетей
Для исключения диапазонов IP-адресов, используемых организацией, требуется исключение подсети. В следующем примере показано, как исключить подсети.
Оператор ipv4_lookup является оператором обогащения, а не оператором фильтрации. Строка where isempty(network) фактически выполняет фильтрацию, проверяя те события, которые не показывают совпадения.
let subnets = datatable(network:string) [ "111.68.128.0/17", "5.8.0.0/19", ...];
let timeFrame = 1d;
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| evaluate ipv4_lookup(subnets, IPAddress, network, return_unmatched = true)
| where isempty(network)
...
Использование списков отслеживания для управления исключениями
Список отслеживания можно использовать для управления списком исключений вне самого правила. Если применимо, это решение имеет следующие преимущества:
- Аналитик может добавлять исключения, не изменяя правило, что лучше следовать рекомендациям SOC.
- Один и тот же список отслеживания может применяться к нескольким правилам, включив централизованное управление исключениями.
Использование списка отслеживания аналогично прямому исключению. Используйте _GetWatchlist('<watchlist name>') для вызова списка отслеживания:
let timeFrame = 1d;
let logonDiff = 10m;
let allowlist = (_GetWatchlist('ipallowlist') | project IPAddress);
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| where IPAddress !in (allowlist)
...
Вы также можете выполнять фильтрацию подсети с помощью списка отслеживания. Например, в приведенном выше коде исключения подсетей можно заменить определение подсетей datatable списком отслеживания:
let subnets = _GetWatchlist('subnetallowlist');
Дополнительные сведения о следующих элементах, используемых в предыдущих примерах, см. в документации kusto:
- оператор let
- оператор where
- Оператор project
- оператор datatable
- Оператор evaluate plugin
- Функция ago()
- Функция isempty()
- подключаемый модуль ipv4_lookup
Дополнительные сведения о KQL см. в статье Общие сведения о язык запросов Kusto (KQL).
Другие ресурсы
Пример. Управление исключениями для решения Microsoft Sentinel для приложений SAP®
Решение Microsoft Sentinel для приложений SAP® предоставляет функции, которые можно использовать для исключения пользователей или систем из активации оповещений.
Исключить пользователей. Используйте функцию SAPUsersGetVIP , чтобы:
- Вызовите теги для пользователей, которые вы хотите исключить из активации оповещений. Пометка пользователей в списке SAP_User_Config , используя звездочки (*) в качестве подстановочных знаков, чтобы пометить всех пользователей указанным синтаксисом именования.
- Перечисление конкретных ролей и (или) профилей SAP, которые необходимо исключить из активации оповещений.
Исключить системы. Используйте функции, поддерживающие параметр SelectedSystemRoles , чтобы определить, что оповещения запускаются только определенными типами систем, включая только производственные системы, только системы UAT или и то, и другое.
Дополнительные сведения см. в справочнике по данным Microsoft Sentinel решения для приложений SAP®.
Связанные материалы
Дополнительные сведения см. в разделе: