Обработка ложных срабатываний в Microsoft Sentinel

Важно!

Пользовательское обнаружение теперь является лучшим способом создания новых правил в Microsoft Sentinel SIEM Microsoft Defender XDR. Благодаря пользовательским обнаружениям можно сократить затраты на прием данных, получить неограниченное количество обнаружения в режиме реального времени и воспользоваться преимуществами простой интеграции с Defender XDR данными, функциями и действиями по исправлению с помощью автоматического сопоставления сущностей. Дополнительные сведения см. в этом блоге.

Microsoft Sentinel правила аналитики уведомляют вас о подозрительных событиях в сети. Правило аналитики не является идеальным, и вы обязаны получить некоторые ложные срабатывания, которые нуждаются в обработке. В этой статье описывается обработка ложных срабатываний с помощью автоматизации или путем изменения правил аналитики по расписанию.

Ложноположительные причины и предотвращение

Даже в правильно созданном правиле аналитики ложные срабатывания часто возникают из определенных сущностей, таких как пользователи или IP-адреса, которые следует исключить из правила.

Ниже приведены распространенные сценарии.

  • Обычные действия определенных пользователей, как правило, субъектов-служб, показывают шаблон, который кажется подозрительным.
  • Преднамеренные действия по проверке безопасности, поступающие с известных IP-адресов, обнаруживаются как вредоносные.
  • Правило, исключающее частные IP-адреса, также должно исключать некоторые внутренние IP-адреса, которые не являются частными.

В этой статье описаны два способа избежать ложноположительных результатов:

  • Правила автоматизации создают исключения без изменения правил аналитики.
  • Запланированные изменения правил аналитики позволяют создавать более подробные и постоянные исключения.

В следующей таблице описаны характеристики каждого метода:

Метод Характерные
Правила автоматизации
  • Может применяться к нескольким правилам аналитики.
  • Ведение журнала аудита. Исключения немедленно и автоматически закрывают созданные инциденты, записывая причину закрытия и комментарии.
  • Часто создаются аналитиками.
  • Разрешить применение исключений в течение ограниченного времени. Например, работа по обслуживанию может вызвать ложные срабатывания, которые за пределами периода обслуживания будут истинными инцидентами.
Изменения правил аналитики
  • Разрешить расширенные логические выражения и исключения на основе подсети.
  • Позволяет использовать списки отслеживания для централизации управления исключениями.
  • Обычно требуется реализация инженерами Центра безопасности (SOC).
  • Являются наиболее гибкими и полными ложноположительными решениями, но более сложными.

Добавление исключений с помощью правил автоматизации (только портал Azure)

В этой процедуре описывается добавление правила автоматизации при появлении ложноположительного срабатывания. Эта процедура поддерживается только в портал Azure.

Если Microsoft Sentinel подключен к порталу Defender, создайте правила автоматизации с нуля на основе сведений об инциденте. Дополнительные сведения см. в статье Автоматизация реагирования на угрозы в Microsoft Sentinel с помощью правил автоматизации.

Чтобы добавить правило автоматизации для обработки ложноположительных результатов, выполните приведенные далее действия.

  1. В Microsoft Sentinel в разделе Инциденты выберите инцидент, для которого нужно создать исключение.

  2. На боковой панели сведений об инциденте выберите Действия > Создать правило автоматизации.

  3. На боковой панели Создание нового правила автоматизации при необходимости измените новое имя правила, чтобы определить исключение, а не только имя правила генерации оповещений.

  4. В разделе Условия при необходимости добавьте дополнительные имена правил Аналитикидля применения исключения. Выберите раскрывающийся список, содержащий имя правила аналитики, и выберите в списке дополнительные правила аналитики.

  5. На боковой панели отображаются конкретные сущности в текущем инциденте, которые могли вызвать ложноположительный результат. Оставьте автоматические предложения или измените их для точной настройки исключения. Например, можно изменить условие для IP-адреса, чтобы применить его ко всей подсети.

    Снимок экрана: создание правила автоматизации для инцидента в Microsoft Sentinel.

  6. После того как вы будете удовлетворены условиями, прокрутите вниз в боковой области, чтобы определить, что делает правило:

    Снимок экрана: завершение создания и применения правила автоматизации в Microsoft Sentinel.

    • Правило уже настроено для закрытия инцидента, соответствующего условиям исключения.
    • Вы можете оставить указанную причину закрытия как есть или изменить ее, если другая причина является более подходящей.
    • К автоматически закрытому инциденту можно добавить комментарий, объясняющий исключение. Например, можно указать, что инцидент произошел из известного административного действия.
    • По умолчанию срок действия правила истекает автоматически через 24 часа. Это может быть то, что вы хотите, и снижает вероятность ложноотрицательных ошибок. Если требуется более длинное исключение, установите для значения срок действия правила позднее.
  7. При необходимости можно добавить дополнительные действия. Например, можно добавить тег в инцидент или запустить сборник схем для отправки сообщения электронной почты или уведомления или синхронизации с внешней системой.

  8. Нажмите кнопку Применить , чтобы активировать исключение.

Добавление исключений путем изменения правил аналитики

Другой вариант реализации исключений — изменение запроса правила аналитики. Исключения можно включить непосредственно в правило или, по возможности, использовать ссылку на список отслеживания. Затем можно управлять списком исключений в списке отслеживания.

Изменение запроса

Чтобы изменить существующие правила аналитики, выберите Автоматизация в меню навигации Microsoft Sentinel слева. Выберите правило, которое нужно изменить, а затем щелкните Изменить в правом нижнем углу, чтобы открыть мастер правил аналитики.

Подробные инструкции по использованию мастера правил аналитики для создания и изменения правил аналитики см. в статье Создание настраиваемых правил аналитики для обнаружения угроз.

Чтобы реализовать исключение в обычной презаимке правила, можно добавить условие, например where IPAddress !in ('<ip addresses>') , рядом с началом запроса правила. Эта строка исключает из правила определенные IP-адреса.

let timeFrame = 1d;
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| where IPAddress !in ('10.0.0.8', '192.168.12.1')
...

Этот тип исключения не ограничивается IP-адресами. Вы можете исключить определенных пользователей с помощью UserPrincipalName поля или исключить определенные приложения с помощью AppDisplayName.

Можно также исключить несколько атрибутов. Например, чтобы исключить оповещения из IP-адреса 10.0.0.8 или пользователя user@microsoft.com, используйте:

| where IPAddress !in ('10.0.0.8')
| where UserPrincipalName != 'user@microsoft.com'

Чтобы реализовать более детальное исключение, если применимо, и снизить вероятность ложноотрицательных значений, можно объединить атрибуты. Следующее исключение применяется только в том случае, если оба значения отображаются в одном оповещении:

| where IPAddress != '10.0.0.8' and UserPrincipalName != 'user@microsoft.com'

Исключение подсетей

Для исключения диапазонов IP-адресов, используемых организацией, требуется исключение подсети. В следующем примере показано, как исключить подсети.

Оператор ipv4_lookup является оператором обогащения, а не оператором фильтрации. Строка where isempty(network) фактически выполняет фильтрацию, проверяя те события, которые не показывают совпадения.

let subnets = datatable(network:string) [ "111.68.128.0/17", "5.8.0.0/19", ...];
let timeFrame = 1d;
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| evaluate ipv4_lookup(subnets, IPAddress, network, return_unmatched = true)
| where isempty(network)
...

Использование списков отслеживания для управления исключениями

Список отслеживания можно использовать для управления списком исключений вне самого правила. Если применимо, это решение имеет следующие преимущества:

  • Аналитик может добавлять исключения, не изменяя правило, что лучше следовать рекомендациям SOC.
  • Один и тот же список отслеживания может применяться к нескольким правилам, включив централизованное управление исключениями.

Использование списка отслеживания аналогично прямому исключению. Используйте _GetWatchlist('<watchlist name>') для вызова списка отслеживания:

let timeFrame = 1d;
let logonDiff = 10m;
let allowlist = (_GetWatchlist('ipallowlist') | project IPAddress);
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| where IPAddress !in (allowlist)
...

Вы также можете выполнять фильтрацию подсети с помощью списка отслеживания. Например, в приведенном выше коде исключения подсетей можно заменить определение подсетей datatable списком отслеживания:

let subnets = _GetWatchlist('subnetallowlist');

Дополнительные сведения о следующих элементах, используемых в предыдущих примерах, см. в документации kusto:

Дополнительные сведения о KQL см. в статье Общие сведения о язык запросов Kusto (KQL).

Другие ресурсы

Пример. Управление исключениями для решения Microsoft Sentinel для приложений SAP®

Решение Microsoft Sentinel для приложений SAP® предоставляет функции, которые можно использовать для исключения пользователей или систем из активации оповещений.

  • Исключить пользователей. Используйте функцию SAPUsersGetVIP , чтобы:

    • Вызовите теги для пользователей, которые вы хотите исключить из активации оповещений. Пометка пользователей в списке SAP_User_Config , используя звездочки (*) в качестве подстановочных знаков, чтобы пометить всех пользователей указанным синтаксисом именования.
    • Перечисление конкретных ролей и (или) профилей SAP, которые необходимо исключить из активации оповещений.
  • Исключить системы. Используйте функции, поддерживающие параметр SelectedSystemRoles , чтобы определить, что оповещения запускаются только определенными типами систем, включая только производственные системы, только системы UAT или и то, и другое.

Дополнительные сведения см. в справочнике по данным Microsoft Sentinel решения для приложений SAP®.

Дополнительные сведения см. в разделе: