Använda SOC-ML för att identifiera hot i Microsoft Sentinel

  • Artikel
  • 2 minuter för att läsa

Anteckning

Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.

Viktigt

  • SOC-ML avvikelser finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Microsoft Azure-förhandsversioner för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som ännu inte har släppts i allmän tillgänglighet.

Vad är SOC-ML avvikelser?

När angripare och försvar ständigt strider för att få fördelar i cybersäkerhetsarvet hittar angripare alltid sätt att undvika identifiering. Oundvikligen leder attacker dock fortfarande till onormalt beteende i de system som attackeras. Microsoft Sentinel soc-ML maskininlärningsbaserade avvikelser kan identifiera det här beteendet med analysregelmallar som kan användas direkt. Avvikelser indikerar inte nödvändigtvis skadligt eller rentav misstänkt beteende på egen hand, men de kan användas för att förbättra identifieringar, undersökningar och hotjakt:

  • Ytterligare signaler för att förbättra identifieringen: Säkerhetsanalytiker kan använda avvikelser för att identifiera nya hot och göra befintliga identifieringar effektivare. En enskild avvikelse är inte en stark signal om skadligt beteende, men när den kombineras med flera avvikelser som inträffar vid olika punkter i händelsekedjan är deras kumulativa effekt mycket starkare. Säkerhetsanalytiker kan också förbättra befintliga identifieringar genom att göra det ovanliga beteende som identifieras av avvikelser till ett villkor för att aviseringar ska kunna uttjas.

  • Bevis under utredningar: Säkerhetsanalytiker kan också använda avvikelser under undersökningar för att bekräfta en överträdelse, hitta nya vägar för att undersöka den och utvärdera dess potentiella påverkan. Dessa effektivitetsbesparingar minskar den tid som säkerhetsanalytikerna lägger på utredningar.

  • Start av proaktiv hotjakt: Hotjakter kan använda avvikelser som kontext för att avgöra om deras frågor har upptäckt misstänkt beteende. När beteendet är misstänkt pekar avvikelserna också på potentiella vägar för ytterligare jakt. Dessa ledtrådar som tillhandahålls av avvikelser minskar både tiden för att identifiera ett hot och dess risk för skada.

Avvikelser kan vara kraftfulla verktyg, men de är mycket brusiga. De kräver vanligtvis mycket omedveten justering för specifika miljöer eller komplex efterbearbetning. Microsoft Sentinel SOC-ML-avvikelsemallarna justeras av vårt datavetenskapsteam för att tillhandahålla ett out-of-the-box-värde, men om du behöver finjustera dem ytterligare är processen enkel och kräver ingen kunskap om maskininlärning. Tröskelvärdena och parametrarna för många av avvikelserna kan konfigureras och finjusteras via användargränssnittet för den redan välbekanta analysregeln. Prestanda för det ursprungliga tröskelvärdet och parametrarna kan jämföras med de nya i gränssnittet och justeras ytterligare vid behov under en testnings- eller flygfas. När avvikelsen uppfyller prestandamålen kan avvikelsen med det nya tröskelvärdet eller parametrarna höjas upp till produktion genom att klicka på en knapp. Med Microsoft Sentinel SOC-ML-avvikelser kan du få fördelarna med avvikelser utan det hårda arbetet.

Nästa steg

I det här dokumentet har du lärt dig hur SOC-ML hjälper dig att identifiera avvikelser i Microsoft Sentinel.