Использование правил аналитики для обнаружения аномалий в Microsoft Sentinel

Функция настраиваемых аномалий Microsoft Sentinel предоставляет встроенные шаблоны аномалий для немедленного использования. Эти шаблоны обнаружения аномалий тщательно продуманы для надежного применения к тысячам разных источников данных и миллионам событий. Кроме того, эта функция позволяет легко изменять параметры и пороги для аномалий в пользовательском интерфейсе. Правила обнаружения аномалий включены или активированы по умолчанию, поэтому сообщения об аномалиях будут создаваться автоматически. Эти аномалии можно найти и выполнить запрос в таблице Аномалий в разделе Журналы.

Просмотр шаблонов правил для настраиваемых аномалий

Теперь вы можете найти правила аномалий, отображаемые в сетке на вкладке "Аномалии " на странице "Аналитика ".

1. Для пользователей портала Microsoft Defender выберите Microsoft Sentinel > Configuration > Analytics в меню навигации Microsoft Defender.

   Для пользователей Microsoft Sentinel на портале Azure выберите "Аналитика " в меню навигации Microsoft Sentinel.

2. На странице "Аналитика" выберите вкладку "Аномалии ".

3. Чтобы отфильтровать список по одному или нескольким из следующих критериев, выберите " Добавить фильтр " и выберите соответствующий вариант.

   • Состояние — включено или отключено ли правило.

   • Тактика - тактика ATT&CK платформы MITRE, охватываемая аномалией.

   • Методы — техники платформы MITRE ATT&CK, затронутые аномалией.

   • Источники данных — тип журналов, которые необходимо принять и проанализировать для определения аномалии.

4. Выберите правило и просмотрите следующие сведения в области сведений:

   • Описание объясняет, как работает аномалия и необходимые данные.

   • Тактика и методы — это тактика и приемы платформы MITRE ATT&CK, охватываемые аномалией.

   • Параметры — это настраиваемые атрибуты аномалии.

   • Пороговое значение — это настраиваемое значение, указывающее степень, в которой событие должно быть необычным перед созданием аномалии.

   • Частота правил — это время между заданиями обработки журналов, которые находят аномалии.

   • Состояние правила указывает, выполняется ли правило в рабочем режиме или в промежуточном (стадия) режиме, когда включено.

   • Версия аномалий показывает версию шаблона, используемого правилом. Если вы хотите изменить версию, уже используемую активным правилом, вам нужно будет повторно создать правило.

Стандартные правила в Microsoft Sentinel нельзя изменить или удалить. Чтобы настроить правило, необходимо сначала создать дубликат правила, а затем настроить этот дубликат. См. полные инструкции.

Оценка качества обнаружения аномалий

Чтобы проверить, насколько хорошо работает правило обнаружения аномалий, просмотрите примеры аномалий, созданных правилом за последние 24 часа.

1. Для пользователей Microsoft Sentinel на портале Azure выберите "Аналитика " в меню навигации Microsoft Sentinel.

   Для пользователей портала Microsoft Defender выберите Microsoft Sentinel > Configuration > Analytics в меню навигации Microsoft Defender.

2. На странице "Аналитика" выберите вкладку "Аномалии ".

3. Выберите правило, которое вы решили оценить, и скопируйте его идентификатор в верхней части области сведений справа.

4. В меню навигации Microsoft Sentinel выберите журналы.

5. Если коллекция "Запросы" появится в верхней части, закройте ее.

6. Выберите вкладку "Таблицы " на левой панели страницы "Журналы ".

7. Задайте для фильтра диапазона времени значение "Последние 24 часа".

8. Скопируйте приведенный ниже запрос Kusto и вставьте его в окно запроса (где отображается сообщение "Введите запрос или..."):

   Anomalies 
   | where RuleId contains "<RuleId>"
   

   Вставьте скопированный ранее идентификатор правила вместо <RuleId> между кавычками.

9. Выберите Выполнить.

Если появятся какие-то результаты, можно оценить их качество. Если результатов нет, попробуйте увеличить диапазон времени.

Разверните результаты для каждой аномалии, а затем разверните поле AnomalyReasons . Это позволит определить причину срабатывания средства обнаружения аномалий.

"Обоснованность" или "полезность" аномалии может зависеть от условий среды, но слишком большое количестве аномалий обычно объясняется слишком низким порогом.

Настройка правил обнаружения аномалий

Наши правила обнаружения аномалий тщательно продуманы для достижения максимальной эффективности, но каждая ситуация является уникальной и иногда требует дополнительной настройки правил обнаружения аномалий.

Вы не можете изменить исходное активное правило, поэтому сначала дублируйте активное правило обнаружения аномалий, а затем настройте созданную копию.

Исходное правило обнаружения аномалий будет работать до тех пор, пока вы не отключите или не удалите его.

Такое поведение специально реализовано, чтобы вы могли сравнивать результаты, полученные с исходной и новой конфигурациями. По умолчанию новые копии правил отключены. Вы можете создать только одну копию любого правила обнаружения аномалий для дополнительной настройки. Попытка создать вторую копию завершится ошибкой.

1. Чтобы изменить конфигурацию правила аномалий, выберите правило из списка на вкладке "Аномалии ".

2. Щелкните правой кнопкой мыши в любом месте строки правила или щелкните правой кнопкой мыши многоточие (...) в конце строки, а затем выберите "Дублировать " в контекстном меню.

   В списке появится новое правило со следующими характеристиками:

   • Имя правила будет таким же, как и исходное, с добавлением в конце слова "- Customized".
   • Состояние правила будет отключено.
   • Значок FLGT появится в начале строки, чтобы указать, что правило находится в режиме полета.

3. Чтобы настроить это правило, выберите правило и выберите "Изменить " в области сведений или в контекстном меню правила.

4. Правило откроется в мастере правил аналитики. Здесь вы можете изменить параметры правила и порог. Доступные для изменения параметры зависят от алгоритма и типа аномалии.

   Вы можете просмотреть результаты изменений в области предварительного просмотра результатов. Выберите идентификатор аномалии в предварительной версии результатов, чтобы узнать, почему модель машинного обучения определяет аномалию.

5. Включите настроенное правило, чтобы получить результаты. Возможно, для некоторых изменений потребуется повторно выполнить правило. В этом случае дождитесь его завершения, и только после этого переходите к проверке результатов на странице журналов. По умолчанию настраиваемое правило аномалий выполняется в режиме Flighting (тестирования). Исходное правило продолжает работать в режиме рабочей среды по умолчанию.

6. Чтобы сравнить результаты, вернитесь в таблицу аномалий в журналах, чтобы оценить новое правило, как и раньше; вместо этого используйте следующий запрос, чтобы искать аномалии, созданные исходным правилом, а также дублирующим правилом.

   Anomalies 
   | where AnomalyTemplateId contains "<RuleId>"
   

   Вставьте скопированный идентификатор из исходного правила вместо <RuleId> между кавычками. Значение AnomalyTemplateId в исходном и дублированном правилах идентично значению RuleId в исходном правиле.

Если вы удовлетворены результатами настраиваемого правила, вы можете вернуться на вкладку Аномалии, выбрать настраиваемое правило, нажмите кнопку Изменить и на вкладке Общие переключитесь с Контрольное тестирование на Продакшн. Исходное правило автоматически изменится на Flighting , так как в рабочей среде не может быть двух версий одного и того же правила.

Следующие шаги

Из этого документа вы узнали, как работать с правилами аналитики для обнаружения настраиваемых аномалий в Microsoft Sentinel.

• Получите некоторые фоновые сведения о настраиваемых аномалиях.
• Просмотрите доступные типы аномалий в Microsoft Sentinel.
• Изучите другие типы правил аналитики.