Verwenden von anpassbaren Anomalien zur Erkennung von Bedrohungen in Microsoft Sentinel

  • Artikel

Was sind anpassbare Anomalien?

Da Angreifer und Verteidiger im Wettrüsten im Bereich der Cybersicherheit ständig um Vorteile kämpfen, finden Angreifer immer neue Wege, um der Erkennung zu entgehen. Allerdings führen Angriffe zwangsläufig immer noch zu einem ungewöhnlichen Verhalten in den angegriffenen Systemen. Die auf maschinellem Lernen basierenden anpassbaren Anomalien von Microsoft Sentinel können dieses Verhalten mithilfe von sofort einsatzbereiten Analyseregelvorlagen erkennen. Anomalien weisen zwar nicht zwangsläufig auf schädliches oder sogar verdächtiges Verhalten hin, können aber verwendet werden, um die Erkennungen, Untersuchungen und Bedrohungssuche zu verbessern:

  • Zusätzliche Signale zur Verbesserung der Erkennung: Sicherheitsanalyst*innen können Anomalien verwenden, um neue Bedrohungen zu erkennen und vorhandene Erkennungen effektiver zu gestalten. Eine einzige Anomalie ist kein starkes Signal für bösartiges Verhalten, aber eine Kombination aus mehreren Anomalien an verschiedenen Stellen in der KillChain sendet eine klare Botschaft. Sicherheitsanalysten können vorhandene Erkennungswarnungen genauer machen, indem sie sie zur Identifizierung eines anomaliealen Verhaltens konditionieren.

  • Beweise während der Untersuchungen: Sicherheitsanalyst*innen können Anomalien auch während der Untersuchungen verwenden, um eine Sicherheitsverletzung zu bestätigen, neue Untersuchungspfade zu finden und die potenziellen Auswirkungen zu bewerten. Diese Effizienz reduziert die Zeit, die Sicherheitsanalysten für Untersuchungen aufwenden.

  • Start der proaktiven Bedrohungssuche: Bedrohungsspezialisten können Anomalien als Kontext verwenden, um festzustellen, ob bei ihren Abfragen verdächtiges Verhalten festgestellt wurde. Wenn das Verhalten verdächtig ist, weisen die Anomalien auch auf potenzielle Pfade für die weitere Suche hin. Diese von Anomalien bereitgestellten Hinweise reduzieren sowohl die Zeit zum Erkennen einer Bedrohung als auch die Wahrscheinlichkeit, dass diese Schaden verursacht.

Anomalien können leistungsstarke Tools sein, verursachen aber bekanntermaßen stark abweichende Ergebnisse. Sie erfordern in der Regel eine aufwändige Optimierung für bestimmte Umgebungen oder komplexe Nachbearbeitung. Anpassbare Anomalievorlagen werden vom Data Science-Team von Microsoft Sentinel abgestimmt, um sofort einsatzbereite Werte bereitzustellen. Wenn Sie sie weiter optimieren müssen, ist der Prozess einfach und erfordert kein Wissen über maschinelles Lernen. Die Schwellenwerte und Parameter für viele der Anomalien können über die bereits vertraute Benutzeroberfläche für Analyseregel konfiguriert und optimiert werden. Die Leistung der ursprünglichen Schwellenwerte und Parameter kann mit der Leistung der neuen Schwellenwerte und Parameter innerhalb der Schnittstelle verglichen und bei Bedarf während einer Test- oder Flightingphase weiter optimiert werden. Sobald die Anomalie die Leistungsziele erfüllt, kann sie mit dem neuen Schwellenwert oder den neuen Parametern per Mausklick in die Produktionsumgebung übernommen werden. Mit den anpassbaren Anomalien von Microsoft Sentinel können Sie die Vorteile einer Anomalieerkennung ohne großen Aufwand nutzen.

UEBA-Anomalien

Einige Anomalieerkennungen von Microsoft Sentinel stammen aus dem User and Entity Behavior Analytics (UEBA)-Modul, das Anomalien basierend auf dem grundlegenden Verlaufsverhalten der einzelnen Entitäten in verschiedenen Umgebungen erkennt. Das Basisverhalten jeder Entität wird gemäß ihren eigenen bisherigen Aktivitäten, denen ihrer Peers und denen der Organisation als Ganzes festgelegt. Anomalien können durch die Korrelation verschiedener Attribute wie Aktionstyp, geografischer Standort, Gerät, Ressource, ISP etc. ausgelöst werden.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie anpassbare Anomalien in Microsoft Sentinel nutzen können.