Részletes javaslatokat kaphat az elemzési szabályokhoz a Microsoft Sentinelben
Fontos
Az észlelés finomhangolása jelenleg előzetes verzióban érhető el. A Microsoft Azure Previews kiegészítő használati feltételei című cikkben talál további jogi feltételeket, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem elérhető Azure-funkciókra vonatkoznak.
A fenyegetésészlelési szabályok finomhangolása a SIEM-ben nehéz, kényes és folyamatos folyamat lehet a fenyegetésészlelési lefedettség maximalizálása és a téves pozitív arányok minimalizálása között. A Microsoft Sentinel leegyszerűsíti és leegyszerűsíti ezt a folyamatot azáltal, hogy gépi tanulással elemzi az adatforrásokból származó jelek milliárdjait, valamint az incidensekre adott válaszait az idő múlásával, mintákat hoz létre, és olyan végrehajtható javaslatokat és megállapításokat biztosít, amelyek jelentősen csökkenthetik a hangolási terhelést, és lehetővé teszik, hogy a tényleges fenyegetések észlelésére és megválaszolására összpontosítson.
A javaslatok és megállapítások finomhangolása mostantól beépített az elemzési szabályokba. Ez a cikk ismerteti, mit mutatnak be ezek az elemzések, és hogyan valósíthatja meg a javaslatokat.
Szabályelemzések és finomhangolási javaslatok megtekintése
Annak megtekintéséhez, hogy a Microsoft Sentinel rendelkezik-e hangolási javaslatokkal valamelyik elemzési szabályhoz, válassza az Elemzés lehetőséget a Microsoft Sentinel navigációs menüjében.
Minden javaslattal rendelkező szabály egy villanykörte ikont jelenít meg az itt látható módon:
Szerkessze a szabályt a javaslatok és a többi megállapítás megtekintéséhez. Ezek együtt jelennek meg az elemzési szabály varázsló Szabálylogika beállítása lapján, az Eredmények szimulációjának megjelenítése alatt.
Elemzések típusai
Az Elemzések hangolása kijelző több panelből áll, amelyeken görgethet vagy pöccinthet, amelyek mindegyike valami mást mutat. Az az időkeret – 14 nap –, amelyre vonatkozóan az elemzések megjelennek, a keret tetején jelenik meg.
Az első elemzési panel statisztikai adatokat jelenít meg – az incidensenkénti riasztások átlagos számát, a nyitott incidensek számát és a lezárt incidensek számát besorolás szerint csoportosítva (igaz/hamis pozitív). Ez a megállapítás segít megállapítani a szabály terhelését, és megérteni, hogy szükség van-e finomhangolásra – például ha módosítani kell a csoportosítási beállításokat.
Ez az elemzés egy Log Analytics-lekérdezés eredménye. Ha az Átlagos riasztások incidensenként lehetőséget választja, a Log Analytics lekérdezéséhez nyitja meg az elemzést. Az Incidensek megnyitása lehetőség kiválasztásával az Incidensek panelre lép.
A második elemzési panel az entitások kizárását javasolja. Ezek az entitások szorosan összefüggnek az Ön által lezárt és hamis pozitívként besorolt incidensekkel. Válassza ki az egyes felsorolt entitások melletti pluszjelet, hogy kizárja azt a lekérdezésből a szabály későbbi végrehajtásakor.
Ezt a javaslatot a Microsoft fejlett adatelemzési és gépi tanulási modelljei állítják elő. A panel Hangolási elemzések kijelzőbe való felvétele attól függ, hogy vannak-e megjelenítendő javaslatok.
A harmadik elemzési panelen a szabály által létrehozott riasztások közül a négy leggyakrabban megjelenő leképezett entitás látható. Az entitásleképezést konfigurálni kell a szabályon ahhoz, hogy ez a megállapítás bármilyen eredményt eredményezjen. Ez a megállapítás segíthet megismerni azokat az entitásokat, amelyek "kiemelik a reflektorfényt", és felhívják a figyelmet más entitásokra. Előfordulhat, hogy ezeket az entitásokat külön szeretné kezelni egy másik szabályban, vagy dönthet úgy, hogy hamis pozitívak vagy egyéb zajok, és kizárja őket a szabályból.
Ez az elemzés egy Log Analytics-lekérdezés eredménye. Az entitások bármelyikének kiválasztásával megnyílik a Log Analytics lekérdezése, amely az elemzést eredményezte.
Következő lépések
További információkért lásd: