Работа с правилами аналитики обнаружения аномалий в Microsoft Sentinel

Функция настраиваемых аномалий Microsoft Sentinel предоставляет встроенные шаблоны аномалий для немедленного использования значений. Эти шаблоны аномалий были разработаны для обеспечения надежности с использованием тысяч источников данных и миллионов событий, но эта функция также позволяет легко изменять пороговые значения и параметры аномалий в пользовательском интерфейсе. Правила аномалий включены или активируются по умолчанию, поэтому они будут создавать готовые аномалии. Эти аномалии можно найти и запросить в таблице Аномалии в разделе Журналы .

Просмотр настраиваемых шаблонов правил аномалий

Теперь вы можете найти правила аномалий, отображаемые в сетке на вкладке Аномалии на странице Аналитика .

1. Для пользователей портала Microsoft Defender выберите Microsoft Sentinel > Configuration > Analytics в меню навигации Microsoft Defender.

   Для пользователей Microsoft Sentinel в портал Azure выберите Аналитика в меню навигации Microsoft Sentinel.

2. На странице Аналитика выберите вкладку Аномалии .

3. Чтобы отфильтровать список по одному или нескольким из следующих условий, выберите Добавить фильтр и выберите соответствующий вариант.

   • Состояние — включено или отключено правило.

   • Тактика - MITRE ATT&тактики платформы CK, охваченной аномалией.

   • Методы . MITRE ATT&методы платформы CK, охватываемые аномалией.

   • Источники данных — тип журналов, которые необходимо принять и проанализировать для определения аномалии.

4. Выберите правило и просмотрите следующие сведения в области сведений:

   • Описание объясняет, как работает аномалия и необходимые ей данные.

   • Тактика и методы — это тактика и методы, охваченные аномалией,&ATT MITRE.

   • Параметры — это настраиваемые атрибуты для аномалии.

   • Пороговое значение — это настраиваемое значение, указывающее степень, в которой событие должно быть необычным перед созданием аномалии.

   • Частота правила — это время между заданиями обработки журнала, которые находят аномалии.

   • Состояние правила указывает, выполняется ли правило в рабочем или тестовом режиме при включении.

   • Версия аномалий показывает версию шаблона, используемого правилом. Если вы хотите изменить версию, используемую правилом, которое уже активно, необходимо повторно создать правило.

Правила, которые поставляются с Microsoft Sentinel не могут быть изменены или удалены. Чтобы настроить правило, необходимо сначала создать дубликат правила, а затем настроить его. См. полные инструкции.

Оценка качества аномалий

Вы можете увидеть, насколько хорошо работает правило аномалий, просмотрив выборку аномалий, созданных правилом за последние 24 часа.

1. Для пользователей Microsoft Sentinel в портал Azure выберите Аналитика в меню навигации Microsoft Sentinel.

   Для пользователей портала Microsoft Defender выберите Microsoft Sentinel > Configuration > Analytics в меню навигации Microsoft Defender.

2. На странице Аналитика выберите вкладку Аномалии .

3. Выберите правило, которое нужно оценить, и скопируйте его идентификатор в верхней части области сведений справа.

4. В меню навигации Microsoft Sentinel выберите Журналы.

5. Если в верхней части окна появится коллекция запросов , закройте ее.

6. Перейдите на вкладку Таблицы на левой панели страницы Журналы .

7. Задайте для фильтра Диапазон времени значение Последние 24 часа.

8. Скопируйте приведенный ниже запрос Kusto и вставьте его в окно запроса (где написано "Введите запрос здесь или..."):

   Anomalies 
   | where RuleId contains "<RuleId>"
   

   Вставьте идентификатор правила, скопированного выше, вместо <RuleId> между кавычками.

9. Нажмите Запустить.

Если у вас есть некоторые результаты, вы можете приступить к оценке качества аномалий. Если у вас нет результатов, попробуйте увеличить диапазон времени.

Разверните результаты для каждой аномалии, а затем разверните поле AnomalyReasons . Это скажет вам, почему аномалия сработала.

"Разумность" или "полезность" аномалии может зависеть от условий вашей среды, но распространенная причина, по которой правило аномалий создает слишком много аномалий, заключается в том, что порог слишком низкий.

Настройка правил аномалий

Хотя правила аномалий спроектированы для максимальной эффективности из коробки, каждая ситуация уникальна, и иногда правила аномалий должны быть настроены.

Так как вы не можете изменить исходное активное правило, необходимо сначала дублировать активное правило аномалий, а затем настроить копию.

Исходное правило аномалий будет работать до тех пор, пока вы не отключите или не удалите его.

Это предназначено для того, чтобы вы могли сравнить результаты, созданные исходной и новой конфигурацией. Повторяющиеся правила отключены по умолчанию. Вы можете создать только одну настраиваемую копию любого заданного правила аномалий. Попытки создать вторую копию завершаются ошибкой.

1. Чтобы изменить конфигурацию правила аномалий, выберите правило из списка на вкладке Аномалии .

2. Щелкните правой кнопкой мыши в любом месте строки правила или щелкните левой кнопкой мыши многоточие (...) в конце строки, а затем выберите пункт Дублировать в контекстном меню.

   В списке появится новое правило со следующими характеристиками:

   • Имя правила будет таким же, как и исходное, с добавлением в конец "- Настроено".
   • Состояние правила будет Отключено.
   • В начале строки появится значок FLGT , указывающий на то, что правило находится в режиме "Полет".

3. Чтобы настроить это правило, выберите правило и выберите Изменить в области сведений или в контекстном меню правила.

4. Правило откроется в мастере правил аналитики. Здесь можно изменить параметры правила и его пороговое значение. Параметры, которые можно изменить, зависят от типа аномалии и алгоритма.

   Результаты изменений можно просмотреть в области Предварительный просмотр результатов. Выберите идентификатор аномалии в предварительной версии результатов, чтобы узнать, почему модель машинного обучения идентифицирует аномалию.

5. Включите настраиваемое правило для создания результатов. Для некоторых изменений может потребоваться повторное выполнение правила, поэтому необходимо подождать его завершения и вернуться к проверка результатов на странице журналов. Настраиваемое правило аномалий по умолчанию выполняется в режиме тестирования . Исходное правило по умолчанию продолжает выполняться в рабочем режиме.

6. Чтобы сравнить результаты, вернитесь к таблице Аномалии в журналы , чтобы оценить новое правило, как раньше. Вместо этого используйте следующий запрос, чтобы найти аномалии, созданные исходным правилом, а также повторяющимся правилом.

   Anomalies 
   | where AnomalyTemplateId contains "<RuleId>"
   

   Вставьте идентификатор правила, скопированный из исходного правила, вместо <RuleId> в кавычки. Значение в исходном и повторяющихся правилах AnomalyTemplateIdRuleId идентично значению в исходном правиле.

Если вы удовлетворены результатами настраиваемого правила, вы можете вернуться на вкладку Аномалии , выбрать настраиваемое правило, нажать кнопку Изменить и на вкладке Общие переключить его с flighting на рабочую. Исходное правило автоматически изменится на Flighting , так как в рабочей среде одновременно не может быть двух версий одного и того же правила.

Дальнейшие действия

В этом документе вы узнали, как работать с настраиваемыми правилами аналитики обнаружения аномалий в Microsoft Sentinel.

• Получите некоторые общие сведения о настраиваемых аномалиях.
• Просмотрите доступные типы аномалий в Microsoft Sentinel.
• Изучите другие типы правил аналитики.