Megosztás a következőn keresztül:

Téves riasztások kezelése a Microsoft Sentinelben

  • Cikk

A Microsoft Sentinel elemzési szabályai értesítik, ha valami gyanús történik a hálózaton. Egyetlen elemzési szabály sem tökéletes, és bizonyos hamis pozitívumokat kell kapnia, amelyeket kezelni kell. Ez a cikk azt ismerteti, hogyan kezelheti a hamis pozitív értékeket automatizálással vagy ütemezett elemzési szabályok módosításával.

Hamis pozitív okok és megelőzés

Még a helyesen összeállított elemzési szabályban is a hamis pozitív értékek gyakran olyan adott entitásokból származnak, mint például a felhasználók vagy az IP-címek, amelyeket ki kell zárni a szabályból.

Gyakori forgatókönyvek például a következők:

  • Bizonyos felhasználók, általában a szolgáltatásnevek által végzett normál tevékenységek gyanúsnak tűnő mintát mutatnak.
  • A rendszer rosszindulatúként észleli az ismert IP-címekről származó szándékos biztonsági ellenőrzési tevékenységet.
  • A magánhálózati IP-címeket kizáró szabálynak ki kell zárnia néhány olyan belső IP-címet is, amelyek nem privátak.

Ez a cikk két módszert ismertet a hamis pozitív értékek elkerülésére:

  • Az automatizálási szabályok kivételeket hoznak létre az elemzési szabályok módosítása nélkül.
  • Az ütemezett elemzési szabályok módosítása részletesebb és véglegesebb kivételeket engedélyez.

Az alábbi táblázat az egyes módszerek jellemzőit ismerteti:

Metódus Characteristic
Automatizálási szabályok
  • Több elemzési szabályra is alkalmazható.
  • Őrizze meg az auditnaplót. A kivételek azonnal és automatikusan lezárják a létrehozott incidenseket, rögzítve a lezárás okát és a megjegyzéseket.
  • Ezeket gyakran az elemzők állítják elő.
  • Kivételek alkalmazásának engedélyezése korlátozott ideig. A karbantartási munka például hamis pozitívumokat válthat ki, amelyek a karbantartási időkereten kívül valós incidensek lennének.
Elemzési szabályok módosítása
  • Speciális logikai kifejezések és alhálózat-alapú kivételek engedélyezése.
  • Figyelőlisták használatával központosíthatja a kivételkezelést.
  • A Security Operations Center (SOC) mérnökei általában implementálást igényelnek.
  • A legrugalmasabb és teljesebb hamis pozitív megoldás, de összetettebb.

Kivételek hozzáadása automatizálási szabályokkal (csak az Azure Portalon)

Ez az eljárás azt ismerteti, hogyan adhat hozzá automatizálási szabályt , ha hamis pozitív incidenst lát. Ez az eljárás csak az Azure Portalon támogatott.

Ha a Microsoft Sentinel be van kapcsolva a Defender portálra, az incidens részletei alapján hozzon létre teljesen új automatizálási szabályokat. További információ: Fenyegetéskezelés automatizálása a Microsoft Sentinelben automatizálási szabályokkal.

Automation-szabály hozzáadása a hamis pozitívok kezeléséhez:

  1. A Microsoft Sentinel Incidensek területén válassza ki azt az incidenst, amelyhez kivételt szeretne létrehozni.

  2. Az oldal incidens részletei paneljén válassza az Actions Create automation rule (Műveletek automatizálási szabály létrehozása) > lehetőséget.

  3. Az Új automatizálási szabály létrehozása oldalsávon szükség esetén módosítsa az új szabálynevet úgy, hogy a kivételt ne csak a riasztási szabály neve határozza meg.

  4. A Feltételek területen opcionálisan adjon hozzá további Analytics-szabályneveketa kivétel alkalmazásához. Válassza ki az elemzési szabály nevét tartalmazó legördülő listát, és válasszon további elemzési szabályokat a listából.

  5. Az oldalsáv az aktuális incidens azon adott entitásait jeleníti meg, amelyek a hamis pozitív eredményt okozhatták. Tartsa meg az automatikus javaslatokat, vagy módosítsa őket a kivétel finomhangolásához. Módosíthatja például egy IP-cím feltételét, hogy egy teljes alhálózatra vonatkozzon.

    Képernyőkép egy incidens automatizálási szabályának a Microsoft Sentinelben való létrehozásáról.

  6. Miután megfelelt a feltételeknek, görgessen le az oldalpanelen, hogy továbbra is meghatározza a szabályt:

    Képernyőkép egy automatizálási szabály Microsoft Sentinelben való létrehozásáról és alkalmazásáról.

    • A szabály már konfigurálva van egy olyan incidens bezárására, amely megfelel a kivételfeltételnek.
    • Megtarthatja a megadott záró okot, vagy módosíthatja, ha egy másik ok megfelelőbb.
    • Megjegyzést fűzhet az automatikusan bezárt incidenshez, amely elmagyarázza a kivételt. Megadhatja például, hogy az incidens ismert rendszergazdai tevékenységből származik.
    • Alapértelmezés szerint a szabály 24 óra elteltével automatikusan lejár. Ez a lejárat lehet a kívánt érték, és csökkenti a hamis negatív hibák esélyét. Ha hosszabb kivételt szeretne, állítsa a szabály lejárati idejét egy későbbi időpontra.

  7. Igény szerint további műveleteket is hozzáadhat. Hozzáadhat például egy címkét az incidenshez, vagy forgatókönyvet futtatva küldhet e-mailt vagy értesítést, vagy szinkronizálhat egy külső rendszerrel.

  8. Válassza az Alkalmaz lehetőséget a kivétel aktiválásához.

Kivételek hozzáadása elemzési szabályok módosításával

A kivételek implementálásának másik lehetősége az elemzési szabály lekérdezésének módosítása. A kivételeket közvetlenül a szabályba is belefoglalhatja, vagy lehetőség szerint használhat egy figyelőlistára mutató hivatkozást. Ezután kezelheti a kivétellistát a figyelőlistában.

A lekérdezés módosítása

A meglévő elemzési szabályok szerkesztéséhez válassza az Automation lehetőséget a Microsoft Sentinel bal oldali navigációs menüjében. Jelölje ki a szerkeszteni kívánt szabályt, majd a jobb alsó sarokban lévő Szerkesztés gombra kattintva nyissa meg az Elemzési szabályok varázslót.

Az Elemzési szabályok varázsló elemzési szabályok létrehozásával és szerkesztésével kapcsolatos részletes útmutatásért lásd: Egyéni elemzési szabályok létrehozása a fenyegetések észleléséhez.

Ha kivételt szeretne megvalósítani egy tipikus szabályelőzményben, hozzáadhat egy feltételt, például where IPAddress !in ('<ip addresses>') a szabály lekérdezésének elejéhez. Ez a sor kizár bizonyos IP-címeket a szabályból.

let timeFrame = 1d;
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| where IPAddress !in ('10.0.0.8', '192.168.12.1')
...

Ez a kivételtípus nem korlátozódik az IP-címekre. Bizonyos felhasználókat kizárhat a UserPrincipalName mező használatával, vagy kizárhat bizonyos alkalmazásokat a használatával AppDisplayName.

Több attribútumot is kizárhat. Ha például az IP-címről 10.0.0.8 vagy a felhasználóról user@microsoft.comszeretne riasztásokat kizárni, használja a következőt:

| where IPAddress !in ('10.0.0.8')
| where UserPrincipalName != 'user@microsoft.com'

Ha pontosabb kivételt szeretne alkalmazni, és csökkenteni szeretné a hamis negatívok esélyét, kombinálhatja az attribútumokat. A következő kivétel csak akkor érvényes, ha mindkét érték ugyanabban a riasztásban jelenik meg:

| where IPAddress != '10.0.0.8' and UserPrincipalName != 'user@microsoft.com'

Alhálózatok kizárása

A szervezet által használt IP-tartományok kizárásához az alhálózat kizárása szükséges. Az alábbi példa bemutatja, hogyan zárhatja ki az alhálózatokat.

Az ipv4_lookup operátor nem szűrő operátor, hanem bővítési operátor. A where isempty(network) sor valójában elvégzi a szűrést azoknak az eseményeknek a vizsgálatával, amelyek nem mutatnak egyezést.

let subnets = datatable(network:string) [ "111.68.128.0/17", "5.8.0.0/19", ...];
let timeFrame = 1d;
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| evaluate ipv4_lookup(subnets, IPAddress, network, return_unmatched = true)
| where isempty(network)
...

Kivételek kezelése figyelőlisták használatával

Figyelőlistával kezelheti a szabályon kívüli kivételek listáját. Adott esetben ez a megoldás a következő előnyökkel jár:

  • Az elemzők kivételeket adhatnak hozzá a szabály szerkesztése nélkül, ami jobban követi az SOC ajánlott eljárásait.
  • Ugyanez a figyelőlista több szabályra is alkalmazható, ami lehetővé teszi a központi kivételkezelést.

A figyelőlista használata hasonló a közvetlen kivételhez. A figyelőlista meghívására használható _GetWatchlist('<watchlist name>') :

let timeFrame = 1d;
let logonDiff = 10m;
let allowlist = (_GetWatchlist('ipallowlist') | project IPAddress);
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| where IPAddress !in (allowlist)
...

Az alhálózat-szűrést figyelőlistával is elvégezheti. Az előző alhálózatok kizárási kódjában például lecserélheti az alhálózatok definícióját datatable egy figyelőlistára:

let subnets = _GetWatchlist('subnetallowlist');

Az előző példákban használt alábbi elemekről további információt a Kusto dokumentációjában talál:

A KQL-ről további információt a Kusto lekérdezésnyelv (KQL) áttekintésében talál.

Egyéb erőforrások:

Példa: Kivételek kezelése az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldáshoz

Az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás olyan funkciókat biztosít, amelyek segítségével kizárhatja a felhasználókat vagy rendszereket a riasztások aktiválásából.

  • Felhasználók kizárása. Használja az SAPUsersGetVIP függvényt a következőre:

    • Híváscímkék azon felhasználók számára, amelyeket ki szeretne zárni a riasztások aktiválásából. A SAP_User_Config figyelőlistán szereplő felhasználók megjelölése csillagokkal (*) helyettesítő karakterekkel a megadott elnevezési szintaxissal rendelkező összes felhasználó címkézéséhez.
    • Listázza azokat az SAP-szerepköröket és/vagy profilokat, amelyeket ki szeretne zárni a riasztások aktiválásából.

  • Kizárja a rendszereket. A SelectedSystemRoles paramétert támogató függvényekkel megállapíthatja, hogy csak bizonyos típusú rendszerek aktiválnak riasztásokat, beleértve csak az éles rendszereket, csak az UAT-rendszereket vagy mindkettőt.

További információ: Microsoft Sentinel-megoldás SAP-alkalmazások® adatainak referenciájához.

Kapcsolódó tartalom

További információk: