k detekci hrozeb v Microsoft Sentinel použijte SOC-ML anomálie.
Poznámka
Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.
Důležité
- SOC-ML anomálie jsou momentálně ve verzi PREVIEW. další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, preview nebo jinak ještě nedostupné ve všeobecné dostupnosti, najdete v tématu dodatečné podmínky použití pro Microsoft Azure preview.
co jsou SOCy neMLé anomálie?
S útočníky a napadenými uživateli neustále bojují s využitím kyberbezpečnosti rukou, útočníci často hledají způsoby, jak obejít detekci. Nenevyhnutelné, ale v případě útoku přesto dojde k neobvyklému chování v systémech, které se budou nacházet. anomálie založené na ML SOCech na základě strojového učení od microsoftu můžou toto chování identifikovat pomocí šablon pravidel analýz, které se dají dát do práce přímo. I když anomálie nemusí nutně označovat škodlivé nebo dokonce podezřelé chování samy sebe, můžou se využít ke zlepšení detekce, vyšetřování a lovu hrozeb:
Další signály ke zlepšení detekce: analytici zabezpečení můžou pomocí anomálií detekovat nové hrozby a efektivněji zvýšit efektivitu stávajících detekcí. Jediná anomálie není silné signalizace škodlivého chování, ale v kombinaci s několika anomáliemi, ke kterým dochází v různých místech dezaktivačního řetězu, je jejich Kumulativní efekt mnohem silnější. Analytiky zabezpečení můžou vylepšit existující detekci, což vede k odhalení neobvyklého chování zjištěného anomáliemi a podmínky, které se mají aktivovat.
Důkaz během šetření: analytiky zabezpečení také můžou při vyšetřování použít anomálie k potvrzení porušení, hledání nových cest k jejich vyšetřování a vyhodnocení jeho potenciálního dopadu. Tyto efektivity snižují čas strávený analytiky zabezpečení při vyšetřování.
Začátek proaktivního vyhledávání hrozeb: Threat Hunters může použít anomálie jako kontext, aby bylo možné určit, jestli jejich dotazy mají zjištěné podezřelé chování. Když je chování podezřelé, anomálie také směřuje k potenciálním cestám pro další lov. Tato označení, která poskytuje anomálie, omezují dobu odhalení hrozby a jejich pravděpodobnosti způsobit poškození.
Anomálie můžou být výkonné nástroje, ale obvykle odlaďuje se velmi vysokou úrovní šumu. Obvykle vyžadují spoustu zdlouhavého vyladění pro konkrétní prostředí nebo složité následné zpracování. šablony anomálií Microsoft Sentinel SOC-ML jsou vyladěny týmem pro datové vědy, aby poskytovaly předem nastavenou hodnotu, ale měli byste je ještě dál ladit, proces je jednoduchý a nevyžaduje žádné znalosti strojového učení. Prahové hodnoty a parametry pro mnohé anomálie je možné nakonfigurovat a vyladit prostřednictvím již známého uživatelského rozhraní pravidla Analytics. Výkon původní prahové hodnoty a parametrů lze porovnat s novými možnostmi v rámci rozhraní a dále vyladěny podle potřeby při testování, nebo v letu, fázi. Jakmile anomálie splní výkonnostní cíle, může být anomálie s novou prahovou hodnotou nebo parametry povýšená na produkční prostředí pomocí tlačítka. Microsoft Sentinel SOC-ML anomálie vám umožní získat výhody anomálií bez nutnosti pevné práce.
Další kroky
v tomto dokumentu jste zjistili, jak vám SOC ML pomáhá detekovat anomálie v Microsoft Sentinel.
- Naučte se zobrazovat, vytvářet, spravovat a vyladit pravidla anomálií.
- Seznamte se s dalšími typy analytických pravidel.