Dela via

Få finjusteringsrekommendationer för dina analysregler i Microsoft Sentinel

  • Artikel

Viktigt

Identifieringsjusteringen är för närvarande i förhandsversion. Se kompletterande användningsvillkor för Microsoft Azure-förhandsversioner för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som på annat sätt ännu inte har släppts i allmän tillgänglighet.

Att finjustera hotidentifieringsregler i SIEM kan vara en svår, känslig och kontinuerlig process för att balansera mellan att maximera täckningen för hotidentifiering och minimera falska positiva frekvenser. Microsoft Sentinel förenklar och effektiviserar den här processen genom att använda maskininlärning för att analysera miljarder signaler från dina datakällor samt dina svar på incidenter över tid, härleda mönster och ge dig användbara rekommendationer och insikter som avsevärt kan sänka justeringskostnaderna och göra att du kan fokusera på att identifiera och svara på faktiska hot.

Justering av rekommendationer och insikter är nu inbyggda i dina analysregler. Den här artikeln förklarar vad dessa insikter visar och hur du kan implementera rekommendationerna.

Visa regelinsikter och justera rekommendationer

Om du vill se om Microsoft Sentinel har några justeringsrekommendationer för någon av dina analysregler väljer du Analys på Microsoft Sentinel-navigeringsmenyn.

Alla regler som har rekommendationer visar en glödlampaikon, som du ser här:

Skärmbild av lista över analysregler med rekommendationsindikator.

Redigera regeln för att visa rekommendationerna tillsammans med andra insikter. De visas tillsammans på fliken Ange regellogik i guiden för analysregler, under resultatsimuleringens visning.

Skärmbild av justering av insikter i analysregeln.

Typer av insikter

Visning av justeringsinsikter består av flera fönster som du kan rulla eller svepa igenom, där var och en visar något annat. Tidsramen – 14 dagar – för vilken insikterna visas visas överst i ramen.

  1. Det första insiktsfönstret visar viss statistisk information – det genomsnittliga antalet aviseringar per incident, antalet öppna incidenter och antalet stängda incidenter, grupperade efter klassificering (sant/falskt positivt). Den här insikten hjälper dig att ta reda på belastningen på den här regeln och förstå om någon justering krävs , till exempel om grupperingsinställningarna behöver justeras.

    Skärmbild av insikt om regeleffektivitet.

    Den här insikten är resultatet av en Log Analytics-fråga. Om du väljer Genomsnittliga aviseringar per incident kommer du till frågan i Log Analytics som skapade insikten. Om du väljer Öppna incidenter kommer du till bladet Incidenter .

  2. Det andra insiktsfönstret rekommenderar en lista över entiteter som ska undantas. Dessa entiteter är starkt korrelerade med incidenter som du stängde och klassificerade som falska positiva. Välj plustecknet bredvid varje listad entitet för att undanta den från frågan i framtida körningar av den här regeln.

    Skärmbild av rekommendation om entitetsundantag.

    Den här rekommendationen produceras av Microsofts avancerade datavetenskaps- och maskininlärningsmodeller. Det här fönstrets inkludering i visning av justeringsinsikter beror på att det finns några rekommendationer att visa.

  3. Det tredje insiktsfönstret visar de fyra mest förekommande mappade entiteterna för alla aviseringar som skapas av den här regeln. Entitetsmappning måste konfigureras för regeln för att den här insikten ska kunna generera resultat. Den här insikten kan hjälpa dig att bli medveten om alla entiteter som "samlar spotlighten" och drar uppmärksamheten bort från andra. Du kanske vill hantera dessa entiteter separat i en annan regel, eller så kanske du bestämmer dig för att de är falska positiva identifieringar eller på annat sätt brus och undanta dem från regeln.

    Skärmbild av insikter om de viktigaste entiteterna.

    Den här insikten är resultatet av en Log Analytics-fråga. Om du väljer någon av entiteterna kommer du till frågan i Log Analytics som skapade insikten.

Nästa steg

Mer information finns i: