Detekce hrozeb v Microsoft Sentinelu pomocí přizpůsobitelných anomálií

Co jsou přizpůsobitelné anomálie?

S útočníky a obránci neustále bojuje za výhodu v kybernetickém závodu o zbraně, útočníci vždy hledají způsoby, jak se vyhnout detekci. Útoky však samozřejmě stále vedou k neobvyklému chování v systémech, které jsou napadeny. Přizpůsobitelné a anomálie založené na strojovém učení můžou microsoft Sentinel identifikovat toto chování pomocí šablon analytických pravidel, které se dají umístit tak, aby fungovaly hned od tohoto políčka. I když anomálie nemusí nutně znamenat škodlivé nebo dokonce podezřelé chování sami, je možné je použít ke zlepšení detekce, vyšetřování a proaktivního vyhledávání hrozeb:

• Další signály pro zlepšení detekce: Analytici zabezpečení můžou použít anomálie k detekci nových hrozeb a zvýšit efektivitu existujících detekcí. Jedna anomálie není silným signálem škodlivého chování, ale kombinace několika anomálií v různých bodech řetězce kill odesílá jasnou zprávu. Analytici zabezpečení můžou stávající výstrahy detekce přesněji nastavit tak, že je nastaví na identifikaci neobvyklého chování.

• Důkazy během vyšetřování: Bezpečnostní analytici můžou během vyšetřování také používat anomálie, které pomáhají potvrdit porušení zabezpečení, najít nové cesty pro jeho vyšetřování a posoudit jeho potenciální dopad. Tyto efektivity zkracují dobu strávenou analytiky zabezpečení na vyšetřování.

• Začátek proaktivního vyhledávání hrozeb: Lovci hrozeb můžou používat anomálie jako kontext, které pomáhají určit, jestli jejich dotazy odhalily podezřelé chování. Když je chování podezřelé, anomálie také ukazují na potenciální cesty pro další proaktivní vyhledávání. Tyto vodítka poskytovaná anomáliemi zkracují dobu detekce hrozby i její šance na poškození.

Anomálie můžou být výkonné nástroje, ale jsou notoricky hlučné. Obvykle vyžadují spoustu zdlouhavého ladění pro konkrétní prostředí nebo složité po zpracování. Přizpůsobitelné šablony anomálií ladí tým datových věd od Microsoft Sentinelu, aby poskytoval výchozí hodnotu. Pokud je potřebujete dále ladit, proces je jednoduchý a nevyžaduje žádné znalosti strojového učení. Prahové hodnoty a parametry pro řadu anomálií je možné nakonfigurovat a doladit prostřednictvím již známého uživatelského rozhraní analytického pravidla. Výkon původní prahové hodnoty a parametrů lze porovnat s novými parametry v rámci rozhraní a podle potřeby dále vyladit během testování nebo testovací fáze. Jakmile anomálie splňuje cíle výkonu, je možné anomálie s novou prahovou hodnotou nebo parametry zvýšit na produkční prostředí kliknutím na tlačítko. Přizpůsobitelné anomálie Microsoft Sentinelu umožňují získat výhodu detekce anomálií bez náročné práce.

Anomálie UEBA

Některé detekce anomálií Microsoft Sentinelu pocházejí z modulu User and Entity Behavior Analytics (UEBA), který zjišťuje anomálie na základě historického chování jednotlivých entit v různých prostředích. Základní chování každé entity je nastaveno podle vlastních historických aktivit, podle jejich partnerských vztahů a podle chování organizace jako celku. Anomálie se dají aktivovat korelací různých atributů, jako je typ akce, geografické umístění, zařízení, prostředek, ISP a další.

Další kroky

V tomto dokumentu jste zjistili, jak využít přizpůsobitelné anomálie v Microsoft Sentinelu.

• Naučte se zobrazovat , vytvářet, spravovat a vyladit pravidla anomálií.
• Další informace o analýze chování uživatelů a entit (UEBA)
• Prohlédněte si seznam aktuálně podporovaných anomálií.
• Seznamte se s dalšími typy analytických pravidel.