重要事項
自訂偵測現在是跨 Microsoft Sentinel SIEM Microsoft Defender 全面偵測回應建立新規則的最佳方式。 透過自訂偵測,您可以降低擷取成本、取得無限制的即時偵測,並受益於與 Defender 全面偵測回應 資料、函式和補救動作的無縫整合,且具有自動實體對應。 如需詳細資訊,請參閱此部落格。
Microsoft Sentinel 的可自定義異常功能提供內建的異常範本,即開箱即用,立即產生價值。 這些異常範本是使用數千個資料來源和數百萬個事件進行開發為穩固,但這項功能也可讓您輕鬆地在使用者介面內變更異常的臨界值和參數。 依預設異常規則會啟用或啟動,因此能立即產生異常狀況。 您可以在 [記錄] 區段中的 [異常] 資料表中找到異常並查詢這些異常。
重要事項
Microsoft Sentinel 已在 Microsoft Defender 入口網站中正式推出,包括沒有 Microsoft Defender XDR 或 E5 授權的客戶。
從 2026 年 7 月開始,所有在 Azure 入口網站中使用 Microsoft Sentinel 的客戶都會重新導向至 Defender 入口網站,且只會在 Defender 入口網站中使用 Microsoft Sentinel。 從 2025 年 7 月開始,許多新客戶 會自動上線並重新導向至 Defender 入口網站。
如果您仍在 Azure 入口網站中使用 Microsoft Sentinel,建議您開始規劃 轉換至 Defender 入口網站 ,以確保順利轉換,並充分利用 Microsoft Defender 所提供的統一安全性作業體驗。 如需詳細資訊,請參閱 移轉時間:Microsoft 淘汰 Sentinel 的 Azure 入口網站,以取得更高的安全性。
檢視可自訂的異常規則範本
您現在可以在 [分析] 頁面的 [異常] 索引標籤找到以方格顯示的異常規則。
針對 Microsoft Defender 入口網站的使用者,請從 [Microsoft Defender] 導覽功能表中選取 [Microsoft Sentinel > 組態 > 分析 ]。
對於 Azure 入口網站中 Microsoft Sentinel 的使用者,請從 [Microsoft Sentinel] 導覽功能表中選取 [分析]。
在 [分析] 頁面中,選取 [異常] 索引標籤。
若要依下列一或多個準則篩選清單,請選取 [新增篩選] 並據以選擇。
狀態 - 規則是啟用還是停用。
策略 - 異常所涵蓋的 MITRE ATT&CK 架構策略。
技術 - 異常所涵蓋的 MITRE ATT&CK 架構技術。
數據源 - 需要擷取和分析的記錄類型,才能定義異常。
在詳細資料窗格中選取規則並檢視下列資訊:
描述 說明異常的運作方式及其所需的數據。
策略和技術 是異常所涵蓋的 MITRE ATT&CK 架構策略和技術。
參數 是異常的可設定屬性。
臨界值 是一個可設定的值,用於指示事件需要有多大的異常程度才能被視為異常並被建立。
規則頻率 是尋找異常的記錄處理作業之間的時間。
規則狀態 會告訴您在啟用時,規則是否在 生產 或 試飛(預備)模式中執行。
異常版本 會顯示規則所使用的範本版本。 如果您想要變更已使用中規則所使用的版本,您必須重新建立規則。
Microsoft Sentinel 隨附的規則無法被編輯或刪除。 若要自訂規則,您必須先建立規則的複本,然後自訂複本項目。 請參閱完整的指示。
附註
如果無法編輯規則,為什麼要有 [編輯] 按鈕?
雖然您無法變更現成異常規則的設定,但可以做兩件事:
您可以在實際執行環境與發行小眾測試版之間切換規則的規則狀態。
您可以將您對自訂異常的體驗,提交意見反應給 Microsoft。
評估異常品質
您可以檢閱過去 24 小時期間內規則所建立的異常範例,以查看異常規則的執行成效。
對於 Azure 入口網站中 Microsoft Sentinel 的使用者,請從 [Microsoft Sentinel] 導覽功能表中選取 [分析]。
針對 Microsoft Defender 入口網站的使用者,請從 [Microsoft Defender] 導覽功能表中選取 [Microsoft Sentinel > 組態 > 分析 ]。
在 [分析] 頁面中,選取 [異常] 索引標籤。
選取您想要評估的規則,並將其識別碼從詳細資料窗格頂端複製到右側。
從 Microsoft Sentinel 導覽功能表,選取 [記錄]。
如果 [查詢] 資源庫快顯到頂端,請將其關閉。
選取 [記錄] 頁面左窗格中的 [資料表] 索引標籤。
將 [時間範圍] 篩選條件設定為 [過去 24 小時]。
複製下方的 Kusto 查詢,並將其貼到查詢視窗中 (其中指出「在這裡輸入您的查詢或...」):
Anomalies | where RuleId contains "<RuleId>"將您在上方複製的規則識別碼貼上,以取代引號之間的
<RuleId>。選取 [執行]。
當您有一些結果時,就可以開始評估異常的品質。 如果您沒有結果,請嘗試增加時間範圍。
展開每個異常的結果,然後展開 AnomalyReasons 欄位。 這會告訴您引發異常的原因。
異常的「合理性」或「實用性」可能取決於您環境的條件,但異常規則產生太多異常的常見原因,則是臨界值太低。
調整異常規則
雖然異常規則是針對現成可用的最大效率所設計,但每個情況都是唯一的,且有時需要微調異常規則。
因為您無法編輯原始的作用中規則,所以您必須先複製作用中的異常規則,然後再自訂複本。
原始異常規則會持續執行,直到您將其停用或刪除為止。
這是設計方式,讓您有機會比較原始設定和新設定所產生的結果。 重複規則預設是停用的。 您只能建立任何指定異常規則的一個自訂複本。 嘗試建立第二個複本將會失敗。
若要變更異常規則的設定,請在 [異常] 索引標籤中選取清單中的規則。
以滑鼠右鍵按一下規則資料列的任何位置,或以滑鼠左鍵按一下資料列結尾處的省略符號 (...),然後從捷徑功能表選取 [複製]。
新的規則會出現在清單中,具有下列特性:
- 規則名稱會與原始名稱相同,並於結尾處附加 " - Customized"。
- 規則的狀態會是 [已停用]。
- FLGT 徽章會出現在該列的開頭,表示規則處於試飛模式。
若要自訂此規則,請選取規則,然後在詳細資料窗格中,或從規則的捷徑功能表中選取 [編輯]。
隨即會在 [分析規則精靈] 中開啟此規則。 您可以在這裡變更規則的參數及其臨界值。 可變更的參數會隨著每個異常類型和演算法而有所不同。
您可以在 [結果預覽] 窗格中預覽變更的結果。 選取結果預覽中的 [異常識別碼],以查看 ML 模型識別該異常的原因。
啟用自訂規則以產生結果。 某些變更可能需要再次執行規則,因此您必須等候規則完成,然後返回以檢查記錄頁面上的結果。 自訂的異常規則預設會在 [發行小眾測試版] (測試) 模式中執行。 原始規則預設會繼續在 [生產] 模式中執行。
若要比較結果,請回到 記錄 中的 Anomalies 數據表,如 先前一樣評估新規則,只使用下列查詢來尋找原始規則所產生的異常以及重複的規則。
Anomalies | where AnomalyTemplateId contains "<RuleId>"將您在原始規則複製的規則識別碼貼上,取代引號之間的
<RuleId>。 原始和複本規則中的AnomalyTemplateId值皆與原始規則中的RuleId值相同。
如果您滿意自訂規則的結果,您可以回到 [異常] 索引標籤、選取自訂規則、選取 [編輯] 按鈕,然後在 [一般] 索引標籤上,將其從 [發行小眾測試版] 切換至 [實際執行環境]。 原始規則會自動變更為 [發行小眾測試版],因為您無法同時在生產環境中有兩個相同規則的版本。
後續步驟
在本文件中,您已了解如何在 Microsoft Sentinel 中使用可自訂的異常偵測分析規則。