這很重要
自訂偵測目前是跨 Microsoft Sentinel SIEM Microsoft Defender 全面偵測回應建立新規則的最佳方式。 透過自訂偵測,您可以降低擷取成本、取得無限制的即時偵測,並受益於與 Defender 全面偵測回應資料、函式和補救動作的無縫整合,並具有自動實體對應。 欲了解更多資訊,請閱讀此部落格。
這很重要
偵測調整目前處於 預覽狀態。 有關適用於 Beta、預覽版或尚未普遍發佈的 Azure 功能的其他法律條款,請參閱 Microsoft Azure 預覽版的補充使用規定。
在 SIEM 中微調威脅偵測規則可能是一個困難、微妙且持續的過程,需要在最大化威脅偵測涵蓋範圍和最小化誤報率之間取得平衡。 Microsoft Sentinel 會使用機器學習來分析來自資料來源的數十億個訊號,以及一段時間內對事件的回應,以簡化此程式,推斷模式,並為您提供可採取動作的建議和深入解析,以大幅降低微調額外負荷,並讓您專注於偵測和回應實際威脅。
調整建議和深入解析現在內建於您的分析規則中。 本文將說明這些深入分析顯示的內容,以及如何實施建議。
查看規則洞察和調整建議
若要查看 Microsoft Sentinel 是否有任何分析規則的微調建議,請從 Microsoft Sentinel 導覽功能表中選取 [ 分析 ]。
任何具有建議的規則都會顯示燈泡圖示,如下所示:
編輯規則以檢視建議以及其他見解。 它們會一起出現在分析規則精靈的 設定規則邏輯 索引標籤上,在 結果模擬 顯示畫面下方。
洞察類型
Tuning insights 顯示包含數個窗格,您可以捲動或滑動查看,每個窗格都會顯示不同的內容。 顯示見解的時間範圍 - 14 天 - 顯示在框架頂端。
第一個分析窗格會顯示一些統計資訊:每個事件的平均警示數量、未解決事件的數量,以及已解決事件的數量,按分類(真/誤報)進行分組。 此深入解析可協助您找出此規則的負載,並瞭解是否需要任何調整 - 例如,是否需要調整分組設定。
此深入解析是 Log Analytics 查詢的結果。 選取 [每個事件的平均警示數] 會帶您前往 Log Analytics 中產生深入解析的查詢。 選取 [開啟事件] 會帶您前往 [事件] 界面。
第二個深入解析窗格會為您建議要排除的 實體 清單。 這些實體與您關閉的事件具有高度關聯,並分類為 [誤判]。 選取每個列出的實體旁邊的加號,以在未來執行此規則時將其從查詢中排除。
此建議是由 Microsoft 的進階資料科學和機器學習模型所產生。 此窗格是否包含於調整分析顯示中,取決於是否有任何建議可顯示。
第三個資訊分析窗格會顯示由此規則產生的所有警示中最常出現的四個映射實體。 您必須在規則上設定實體對應,此深入解析才能產生結果。 這種洞察力可能會幫助您意識到任何「佔據聚光燈」並將注意力從其他實體身上轉移開的實體。 您可能想要在不同的規則中個別處理這些實體,或者您可能會決定它們是誤判或其他雜訊,並將它們從規則中排除。
此深入解析是 Log Analytics 查詢的結果。 選取任一實體都可帶您前往產生深入解析的「記錄分析」查詢。
後續步驟
如需詳細資訊,請參閱: