Werken met analyseregels voor anomaliedetectie in Microsoft Sentinel

• Van toepassing op:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

De functie voor aanpasbare afwijkingen van Microsoft Sentinel biedt ingebouwde anomaliesjablonen voor onmiddellijke waarde out-of-the-box. Deze anomaliesjablonen zijn ontwikkeld om robuust te zijn met behulp van duizenden gegevensbronnen en miljoenen gebeurtenissen, maar met deze functie kunt u ook drempelwaarden en parameters voor de afwijkingen eenvoudig wijzigen in de gebruikersinterface. Anomalieregels zijn standaard ingeschakeld of geactiveerd, zodat afwijkingen buiten het vak worden gegenereerd. U kunt deze afwijkingen vinden en opvragen in de tabel Afwijkingen in de sectie Logboeken.

Belangrijk

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Aanpasbare sjablonen voor anomalieregels weergeven

U kunt nu anomalieregels vinden die worden weergegeven in een raster op het tabblad Afwijkingen op de pagina Analyse .

1. Voor gebruikers van Microsoft Sentinel in Azure Portal selecteert u Analytics in het navigatiemenu van Microsoft Sentinel.

   Voor gebruikers van het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal selecteert u Microsoft Sentinel > Configuration > Analytics in het navigatiemenu van Microsoft Defender.

2. Selecteer op de pagina Analyse het tabblad Afwijkingen .

3. Als u de lijst wilt filteren op een of meer van de volgende criteria, selecteert u Filter toevoegen en kiest u dienovereenkomstig.

   • Status : of de regel is ingeschakeld of uitgeschakeld.

   • Tactieken : de MITRE ATT&CK-frameworktactieken die worden gedekt door de anomalie.

   • Technieken : de MITRE ATT&CK-frameworktechnieken die worden gedekt door de anomalie.

   • Gegevensbronnen : het type logboek dat moet worden opgenomen en geanalyseerd voor de anomalie die moet worden gedefinieerd.

4. Selecteer een regel en bekijk de volgende informatie in het detailvenster:

   • Beschrijving legt uit hoe de anomalie werkt en de gegevens die nodig zijn.

   • Tactieken en technieken zijn de MITRE ATT&CK-frameworktactieken en -technieken die worden behandeld door de anomalie.

   • Parameters zijn de configureerbare kenmerken voor de anomalie.

   • Drempelwaarde is een configureerbare waarde die aangeeft in welke mate een gebeurtenis ongebruikelijk moet zijn voordat een anomalie wordt gemaakt.

   • Regelfrequentie is de tijd tussen logboekverwerkingstaken die de afwijkingen vinden.

   • De regelstatus geeft aan of de regel wordt uitgevoerd in de modus Productie of Flighting (fasering) wanneer deze is ingeschakeld.

   • Anomalieversie toont de versie van de sjabloon die wordt gebruikt door een regel. Als u de versie wilt wijzigen die wordt gebruikt door een regel die al actief is, moet u de regel opnieuw maken.

De regels die standaard bij Microsoft Sentinel worden geleverd, kunnen niet worden bewerkt of verwijderd. Als u een regel wilt aanpassen, moet u eerst een duplicaat van de regel maken en vervolgens het duplicaat aanpassen. Zie de volledige instructies.

Notitie

Waarom is er een knop Bewerken als de regel niet kan worden bewerkt?

Hoewel u de configuratie van een out-of-the-box anomalieregel niet kunt wijzigen, kunt u twee dingen doen:

1. U kunt de regelstatus van de regel tussen Productie en Flighting in-/uitschakelen.

2. U kunt feedback verzenden naar Microsoft over uw ervaring met aanpasbare afwijkingen.

De kwaliteit van afwijkingen beoordelen

U kunt zien hoe goed een anomalieregel presteert door een steekproef te bekijken van de afwijkingen die tijdens de afgelopen periode van 24 uur zijn gemaakt door een regel.

1. Voor gebruikers van Microsoft Sentinel in Azure Portal selecteert u Analytics in het navigatiemenu van Microsoft Sentinel.

   Voor gebruikers van het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal selecteert u Microsoft Sentinel > Configuration > Analytics in het navigatiemenu van Microsoft Defender.

2. Selecteer op de pagina Analyse het tabblad Afwijkingen .

3. Selecteer de regel die u wilt beoordelen en kopieer de id van de regel bovenaan het detailvenster naar rechts.

4. Selecteer Logboeken in het navigatiemenu van Microsoft Sentinel.

5. Als er een querygalerie boven aan de bovenkant wordt weergegeven, sluit u deze.

6. Selecteer het tabblad Tabellen in het linkerdeelvenster van de pagina Logboeken .

7. Stel het tijdsbereikfilter in op Afgelopen 24 uur.

8. Kopieer de Kusto-query hieronder en plak deze in het queryvenster (hier of ..."):

   Anomalies 
   | where RuleId contains "<RuleId>"
   

   Plak de regel-id die u hierboven hebt gekopieerd in plaats van <RuleId> tussen de aanhalingstekens.

9. Selecteer Uitvoeren.

Wanneer u enkele resultaten hebt, kunt u beginnen met het beoordelen van de kwaliteit van de afwijkingen. Als u geen resultaten hebt, kunt u het tijdsbereik verhogen.

Vouw de resultaten voor elke anomalie uit en vouw vervolgens het veld AnomalyReasons uit. Dit zal je vertellen waarom de anomalie is ontslagen.

De 'redelijkheid' of 'bruikbaarheid' van een anomalie kan afhankelijk zijn van de omstandigheden van uw omgeving, maar een veelvoorkomende reden voor een anomalieregel om te veel afwijkingen te produceren, is dat de drempelwaarde te laag is.

Anomalieregels afstemmen

Hoewel anomalieregels zijn ontworpen voor maximale effectiviteit, is elke situatie uniek en soms moeten anomalieregels worden afgestemd.

Omdat u een oorspronkelijke actieve regel niet kunt bewerken, moet u eerst een actieve anomalieregel dupliceren en vervolgens de kopie aanpassen.

De oorspronkelijke anomalieregel blijft actief totdat u deze uitschakelt of verwijdert.

Dit is standaard, zodat u de mogelijkheid hebt om de resultaten te vergelijken die zijn gegenereerd door de oorspronkelijke configuratie en de nieuwe. Dubbele regels zijn standaard uitgeschakeld. U kunt slechts één aangepast exemplaar van een bepaalde anomalieregel maken. Pogingen om een tweede kopie te maken, mislukken.

1. Als u de configuratie van een anomalieregel wilt wijzigen, selecteert u de regel in de lijst op het tabblad Afwijkingen .

2. Klik met de rechtermuisknop op een willekeurige plaats in de rij van de regel of klik met de linkermuisknop op het beletselteken (...) aan het einde van de rij en selecteer Dupliceren in het contextmenu.

   Er wordt een nieuwe regel weergegeven in de lijst, met de volgende kenmerken:

   • De regelnaam is hetzelfde als het origineel, met ' - Aangepast' toegevoegd aan het einde.
   • De status van de regel wordt uitgeschakeld.
   • De FLGT-badge wordt aan het begin van de rij weergegeven om aan te geven dat de regel zich in de flighting-modus bevindt.

3. Als u deze regel wilt aanpassen, selecteert u de regel en selecteert u Bewerken in het detailvenster of in het contextmenu van de regel.

4. De regel wordt geopend in de wizard Analyseregels. Hier kunt u de parameters van de regel en de drempelwaarde wijzigen. De parameters die kunnen worden gewijzigd, variëren per anomalietype en elk algoritme.

   U kunt de resultaten van uw wijzigingen bekijken in het voorbeeldvenster Resultaten. Selecteer een anomalie-id in de voorbeeldweergave van de resultaten om te zien waarom het ML-model die anomalie identificeert.

5. Schakel de aangepaste regel in om resultaten te genereren. Voor sommige wijzigingen moet de regel mogelijk opnieuw worden uitgevoerd, dus u moet wachten totdat deze is voltooid en teruggaan om de resultaten op de logboekpagina te controleren. De aangepaste anomalieregel wordt standaard uitgevoerd in de flightingmodus (testmodus). De oorspronkelijke regel wordt standaard nog steeds uitgevoerd in de productiemodus .

6. Als u de resultaten wilt vergelijken, gaat u terug naar de tabel Afwijkingen in Logboeken om de nieuwe regel zoals voorheen te evalueren. Gebruik in plaats daarvan alleen de volgende query om te zoeken naar afwijkingen die zijn gegenereerd door de oorspronkelijke regel en de dubbele regel.

   Anomalies 
   | where AnomalyTemplateId contains "<RuleId>"
   

   Plak de regel-id die u hebt gekopieerd uit de oorspronkelijke regel in plaats van <RuleId> tussen de aanhalingstekens. De waarde van AnomalyTemplateId zowel de oorspronkelijke als de dubbele regels is identiek aan de waarde van RuleId de oorspronkelijke regel.

Als u tevreden bent met de resultaten voor de aangepaste regel, kunt u teruggaan naar het tabblad Afwijkingen , de aangepaste regel selecteren, de knop Bewerken selecteren en op het tabblad Algemeen schakelen van Flighting naar Productie. De oorspronkelijke regel wordt automatisch gewijzigd in Flighting , omdat u niet tegelijkertijd twee versies van dezelfde regel in productie kunt hebben.

Volgende stappen

In dit document hebt u geleerd hoe u kunt werken met aanpasbare analyseregels voor anomaliedetectie in Microsoft Sentinel.

• Krijg achtergrondinformatie over aanpasbare afwijkingen.
• Bekijk de beschikbare anomalietypen in Microsoft Sentinel.
• Verken andere typen analyseregels.