Microsoft Sentinel 'de tehditleri algılamak için SOC-ML anomali kullanın
Not
Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.
Önemli
- SOC-ML anomali şu anda önizleme aşamasındadır. beta, önizleme veya henüz genel kullanıma sunulmayan Azure özelliklerine uygulanan ek koşullar için Microsoft Azure önizlemeleri için ek kullanım koşulları 'na bakın.
SOC-ML bozukluklar nelerdir?
Saldırganlar ve savunması, siber güvenlik kolonları Race 'de sürekli olarak mücadele ediyor ve saldırganlar her zaman algılama yollarını buluyor. Kaçınılmaz, ancak saldırılar saldırıya uğrayan sistemlerde olağan dışı davranışlara neden olur. Microsoft Sentinel 'in SOC-ML machine learning tabanlı anomali, bu davranışı, kutudan hemen çalışmak üzere koyabileceğiniz analiz kuralı şablonlarıyla tanımlayabilir. Anormalilerin kendileri tarafından kötü amaçlı ya da şüpheli davranışları belirtmese de, algılamaları, araştırmalar ve tehdit arayamalarını geliştirmek için kullanılabilirler:
Algılamayı geliştirmek Için ek sinyaller: Güvenlik analistleri, yeni tehditleri tespit etmek ve var olan algılamaları daha etkili hale getirmek için bozukluklar kullanabilir Tek bir anomali kötü amaçlı bir davranışın güçlü bir sinyali değildir, ancak sonlandırma zincirindeki farklı noktalarda oluşan çeşitli bozukluklar ile birleştirildiğinde, birikmeli etkileri çok daha güçlüdür. Güvenlik analistleri, var olan algılamaları geliştirebilir ve uyarıların tetiklenme durumunu bilenler tarafından tanımlanan olağan dışı davranışı artırabilir.
Araştırmalar sırasında kanıt: Güvenlik analistleri, bir ihlayi onaylamaya, araştırmak için yeni yollar bulmaya ve olası etkisini değerlendirmenize yardımcı olmak için araştırmalar sırasında bozukluklar kullanabilir. Bu verimlilik, Güvenlik analistlerinin araştırmalar sırasında harcadığı süreyi azaltır.
Proaktif tehdit arayışları 'nın başlangıcı: tehdit arayanlara, sorgularının kapsam dışı şüpheli davranışlara sahip olup olmadığını belirlemede yardımcı olması için anomali kullanabilir. Davranış şüpheli olduğunda, anormaller Ayrıca daha fazla arama için olası yollara da işaret edilir. Anomali tarafından sunulan bu ipuçları, tehdidi algılayan süreyi ve zarar verme olasılığını azaltır.
Bozukluklar güçlü araçlar olabilir, ancak bunlar çok gürültülü oldukça gürültülü. Genellikle belirli ortamlar için çok sayıda sıkıcı ayarlama veya karmaşık işlem sonrası gerektirir. Microsoft Sentinel SOC-ML anomali şablonları, kullanıma hazır değer sağlamak için veri bilimi ekibimize göre ayarlanmıştır, ancak bunları daha sonra ayarlamanız gerekir, işlem basittir ve machine learning hakkında bilgi gerektirmez. Birçok anomali için eşikler ve parametreler, zaten tanıdık olan analiz kuralı Kullanıcı arabirimi aracılığıyla yapılandırılabilir ve ayarlanabilir. Özgün eşik ve parametrelerin performansı, arabirim içindeki yeni olanlarla karşılaştırılabilir ve bir test ya da fışıklandırma, aşama sırasında gerektiği şekilde ayarlanabilir. Anomali, performans hedeflerini karşıladıktan sonra, yeni eşik veya parametrelere sahip anomali, bir düğmeye tıklayarak üretime yükseltilebilir. Microsoft Sentinel SOC-ML anomali, sabit iş olmadan anormalilerin avantajını almanızı sağlar.
Sonraki adımlar
bu belgede, SOC-ML Microsoft Sentinel 'teki anormalleri algılamanıza nasıl yardımcı olduğunu öğrendiniz.
- Anomali kurallarını görüntülemeyi, oluşturmayı, yönetmeyi ve ince ayarlamayıöğrenin.
- Diğer analiz kuralı türlerihakkında bilgi edinin.