Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważne
Wykrywanie niestandardowe jest teraz najlepszym sposobem tworzenia nowych reguł w Microsoft Defender XDR SIEM usługi Microsoft Sentinel. Dzięki wykrywaniu niestandardowemu można zmniejszyć koszty pozyskiwania, uzyskać nieograniczoną liczbę wykrywania w czasie rzeczywistym i korzystać z bezproblemowej integracji z Defender XDR danych, funkcji i akcji korygowania z automatycznym mapowaniem jednostek. Aby uzyskać więcej informacji, przeczytaj ten blog.
Co to są dostosowywalne anomalie?
Atakujący i obrońcy nieustannie walczą o przewagę w wyścigu zbrojeń cyberbezpieczeństwa, a atakujący zawsze znajdują sposoby unikania wykrywania. Nieuchronnie jednak ataki nadal powodują nietypowe zachowanie w atakowanych systemach. Konfigurowalne anomalie oparte na uczeniu maszynowym w usłudze Microsoft Sentinel mogą identyfikować to zachowanie za pomocą szablonów reguł analitycznych, które można używać od razu po instalacji. Chociaż anomalie nie muszą wskazywać złośliwego lub nawet podejrzanego zachowania samodzielnie, mogą one służyć do ulepszania wykrywania, badania i wyszukiwania zagrożeń:
Dodatkowe sygnały umożliwiające poprawę wykrywania: analitycy zabezpieczeń mogą używać anomalii do wykrywania nowych zagrożeń i zwiększyć skuteczność istniejących wykryć. Pojedyncza anomalia nie jest silnym sygnałem złośliwego zachowania, ale połączenie kilku anomalii w różnych punktach łańcucha zabić wysyła jasny komunikat. Analitycy zabezpieczeń mogą zwiększyć dokładność istniejących alertów wykrywania, konfigurując je w celu identyfikacji nietypowego zachowania.
Dowody podczas badań: analitycy zabezpieczeń mogą również używać anomalii podczas badania, aby pomóc potwierdzić naruszenie, znaleźć nowe ścieżki do jego zbadania i ocenić jego potencjalny wpływ. Te efektywności skracają czas, jaki analitycy zabezpieczeń poświęcają na dochodzenia.
Początek proaktywnych polowań na zagrożenia: Łowcy zagrożeń mogą używać anomalii jako kontekstu, aby określić, czy ich zapytania odkryły podejrzane zachowanie. Gdy zachowanie jest podejrzane, anomalie wskazują również możliwe kierunki do dalszego śledzenia. Te wskazówki dostarczane przez anomalie skracają zarówno czas wykrywania zagrożenia, jak i jego szansę na szkodę.
Anomalie mogą być potężnymi narzędziami, ale są notorycznie głośne. Zazwyczaj wymagają dużo żmudnego dostrajania dla określonych środowisk lub złożonego przetwarzania końcowego. Dostosowywalne szablony anomalii są dostrojone przez zespół ds. nauki o danych usługi Microsoft Sentinel w celu zapewnienia gotowej wartości. Jeśli chcesz je dostroić dalej, proces jest prosty i nie wymaga znajomości uczenia maszynowego. Próg i parametry dla wielu anomalii można skonfigurować i dostosować za pomocą znanego już interfejsu użytkownika reguł analitycznych. Wydajność oryginalnego progu i parametrów można porównać z nowymi w interfejsie i zoptymalizować, jeśli to konieczne, podczas fazy testowania lub wdrażania. Gdy anomalia spełnia cele wydajności, można awansować anomalię z nowym progiem lub parametrami do środowiska produkcyjnego naciśnięciem przycisku. Możliwość dostosowywania anomalii w usłudze Microsoft Sentinel umożliwia uzyskanie korzyści z wykrywania anomalii bez ciężkiej pracy.
Anomalie UEBA
Niektóre wykrycia anomalii w usłudze Microsoft Sentinel pochodzą z aparatu analizy zachowań użytkowników i jednostek (UEBA), który wykrywa anomalie w oparciu o podstawowe zachowanie historyczne każdej jednostki w różnych środowiskach. Zachowanie punktu odniesienia każdej jednostki jest ustawiane zgodnie z własnymi działaniami historycznymi, ich elementami równorzędnymi i całościami organizacji. Anomalie mogą być wyzwalane przez korelację różnych atrybutów, takich jak typ akcji, lokalizacja geograficzna, urządzenie, zasób, usługodawca internetowym i inne.
Dalsze kroki
W tym dokumencie przedstawiono sposób korzystania z możliwych do dostosowania anomalii w usłudze Microsoft Sentinel.
- Dowiedz się , jak wyświetlać, tworzyć i dostosowywać reguły anomalii oraz zarządzać nimi.
- Dowiedz się więcej o analizie zachowań użytkowników i jednostek (UEBA).
- Zobacz listę aktualnie obsługiwanych anomalii.
- Dowiedz się więcej o innych typach reguł analizy.