SOC-ML gebruiken om bedreigingen in Microsoft Sentinel te detecteren
Notitie
Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.
Belangrijk
- SOC-ML afwijkingen zijn momenteel in preview. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bètaversies of preview-functies hebben of die nog niet algemeen beschikbaar zijn.
Wat zijn SOC-ML afwijkingen?
Met aanvallers en defenders die voortdurend streven naar voordeel in de cyberbeveiligingsaanval, vinden aanvallers altijd manieren om detectie te omzeilen. Het is echter onvermijdelijk dat aanvallen nog steeds leiden tot ongebruikelijk gedrag in de systemen die worden aangevallen. De op SOC gebaseerde ML machine learning van Microsoft Sentinel kunnen dit gedrag identificeren met analyseregelsjablonen die direct kunnen worden gebruikt. Hoewel afwijkingen niet noodzakelijkerwijs zelf duiden op schadelijk of zelfs verdacht gedrag, kunnen ze worden gebruikt om detecties, onderzoeken en opsporing van bedreigingen te verbeteren:
Aanvullende signalen voor het verbeteren van de detectie: beveiligingsanalisten kunnen afwijkingen gebruiken om nieuwe bedreigingen te detecteren en bestaande detecties effectiever te maken. Eén anomalie is geen sterk signaal van schadelijk gedrag, maar in combinatie met verschillende afwijkingen die zich op verschillende punten in de kill chain voordoen, is het cumulatieve effect veel sterker. Beveiligingsanalisten kunnen ook bestaande detecties verbeteren door van het ongebruikelijke gedrag dat door afwijkingen wordt geïdentificeerd, een voorwaarde te maken voor het in brand brengen van waarschuwingen.
Bewijs tijdens onderzoeken: beveiligingsanalisten kunnen ook afwijkingen gebruiken tijdens onderzoeken om te helpen een inbreuk te bevestigen, nieuwe paden te vinden voor het onderzoeken ervan en de mogelijke impact ervan te beoordelen. Deze efficiëntie vermindert de tijd die beveiligingsanalisten besteden aan onderzoeken.
Het begin van proactieve bedreigingszoekingen: Bedreigingen kunnen afwijkingen als context gebruiken om te bepalen of hun query's verdacht gedrag hebben aangetroffen. Wanneer het gedrag verdacht is, wijzen de afwijkingen ook naar mogelijke paden voor verdere hunting. Deze aanwijzingen door afwijkingen verminderen de tijd die nodig is om een bedreiging te detecteren en de kans om schade te veroorzaken.
Afwijkingen kunnen krachtige hulpprogramma's zijn, maar ze maken zeer veel ruis. Ze vereisen doorgaans veel omslachtiging voor specifieke omgevingen of complexe naverwerking. Microsoft Sentinel SOC-ML anomaliesjablonen zijn afgestemd door ons data science-team om out-of-the-box-waarde te bieden, maar als u ze verder moet afstemmen, is het proces eenvoudig en is er geen kennis van machine learning. De drempelwaarden en parameters voor veel van de afwijkingen kunnen worden geconfigureerd en afgestemd via de al vertrouwde gebruikersinterface van de analyseregel. De prestaties van de oorspronkelijke drempelwaarde en parameters kunnen worden vergeleken met de nieuwe parameters binnen de interface en zo nodig verder worden afgestemd tijdens een testfase of flightingfase. Zodra de anomalie voldoet aan de prestatiedoelstellingen, kan de anomalie met de nieuwe drempelwaarde of parameters worden gepromoveerd naar productie met één klik op een knop. Met microsoft Sentinel SOC-ML afwijkingen kunt u profiteren van afwijkingen zonder het harde werk.
Volgende stappen
In dit document hebt u geleerd hoe u met SOC-ML anomalieën in Microsoft Sentinel kunt detecteren.
- Meer informatie over het weergeven, maken, beherenen afstemmen van anomalieregels.
- Meer informatie over andere typen analyseregels.