Azure Sentinel 'de anomali algılama Analytics kuralları ile çalışma

Önemli

SOC-ML anomali kural şablonlarını görüntüleme

Azure Sentinel 'in SOC-ML anoileri özelliği , ilk değer için yerleşik anomali şablonları sağlar. Bu anomali şablonlar, binlerce veri kaynağı ve milyonlarca olay kullanılarak sağlam olacak şekilde geliştirilmiştir, ancak bu özellik ayrıca, Kullanıcı arabirimi içinde anomali eşiklerini ve parametrelerini kolayca değiştirmenize olanak sağlar. Anomali kuralları, Günlükler bölümündeki anoiller tablosunda bulabileceğiniz anormallikleri oluşturmadan önce etkinleştirilmelidir.

  1. Azure Sentinel gezinti menüsünde analiz' ı seçin.

  2. Analiz dikey penceresinde kural şablonları sekmesini seçin.

  3. Anomali şablonlarının listesini filtreleyin:

    1. Kural türü filtresine ve ardından aşağıda görüntülenen açılan listeye tıklayın.

    2. Tümünü Seç işaretini kaldırın ve ardından anomali'i işaretleyin.

    3. Gerekirse, geri dönmek için aşağı açılan listenin üst kısmına tıklayın ve ardından Tamam' a tıklayın.

Anomali kurallarını etkinleştirme

Kural şablonlarından birine tıkladığınızda, Ayrıntılar bölmesinde bir kural oluştur düğmesi ile birlikte aşağıdaki bilgileri görürsünüz:

  • Açıklama anomali 'in nasıl çalıştığını ve gereken verileri açıklar.

  • Veri kaynakları , çözümlenmesi için kullanılması gereken günlüklerin türünü gösterir.

  • Tacler , anomali tarafından ele ALıNAN MITRE ve ATT&CK iskeetisidir.

  • Parametreler , anomali için yapılandırılabilir özniteliklerdir.

  • Eşik , bir anomali oluşturulmadan önce olayın olağan dışı olması gereken dereceyi belirten yapılandırılabilir bir değerdir.

  • Kural sıklığı , anormallikleri bulmak için günlük işleme işleri arasındaki süredir.

  • Anomali sürümü , bir kural tarafından kullanılan şablon sürümünü gösterir. Zaten etkin olan bir kural tarafından kullanılan sürümü değiştirmek istiyorsanız, kuralı yeniden oluşturmanız gerekir.

  • Son güncelleme tarihi anomali sürümünün değiştirilme tarihidir.

Bir kuralı etkinleştirmek için aşağıdaki adımları izleyin:

  1. Zaten kullanımda olmayan bir kural şablonu seçin. Kural oluşturma Sihirbazı 'nı açmak için kural oluştur düğmesine tıklayın.

    Her kural şablonu için sihirbaz biraz farklı olacaktır, ancak üç adım veya sekmeye sahiptir: genel, yapılandırma, İnceleme ve oluşturma.

    Sihirbazdaki değerlerden herhangi birini değiştiremezsiniz; önce kuralı oluşturmanız ve etkinleştirmeniz gerekir.

  2. Sekmelerde ilerleyin, Gözden geçirme ve oluşturma sekmesinde "doğrulama geçildi" iletisini bekleyin ve Oluştur düğmesini seçin.

    Her şablondan yalnızca bir etkin kural oluşturabilirsiniz. Sihirbazı tamamladıktan sonra etkin kurallar sekmesinde etkin bir anomali kuralı oluşturulur ve şablon ( kural ŞABLONLARı sekmesinde) kullanımda olarak işaretlenir.

    Not

    Gerekli verilerin kullanılabilir olduğu varsayıldığında, yeni kuralın etkin kurallar sekmesinde görünmesi 24 saate kadar sürebilir. Yeni kuralları görüntülemek için etkin kurallar sekmesini seçin ve yukarıdaki kural şablonları listesini filtreleyerek aynı şekilde filtreleyin.

Anomali kuralı etkinleştirildikten sonra, algılanan anormaller, Azure Sentinel çalışma alanınızın Günlükler bölümündeki anoiller tablosunda depolanır.

Her anomali kuralında bir eğitim dönemi bulunur ve bu eğitim dönemine gelene kadar bu durum tabloda görünmez. Eğitim dönemini her anomali kuralının açıklamasında bulabilirsiniz.

Anormalilerin kalitesini değerlendirin

Son 24 saatlik dönem içindeki bir kural tarafından oluşturulan anormalilerin bir örneğini inceleyerek bir anomali kuralının ne kadar iyi çalıştığını görebilirsiniz.

  1. Azure Sentinel gezinti menüsünde analiz' ı seçin.

  2. Analiz dikey penceresinde etkin kurallar sekmesinin seçili olduğunu kontrol edin.

  3. Anomali kuralları için listeyi filtreleyin (yukarıdaki gibi).

  4. Değerlendirmek istediğiniz kuralı seçin ve ayrıntılar bölmesinin en üstünden adını sağa kopyalayın.

  5. Azure Sentinel gezinti menüsünde Günlükler' i seçin.

  6. Sorgular galerisinde en üstteki bir sorgu varsa onu kapatın.

  7. Günlükler dikey penceresinin sol bölmesindeki Tablolar sekmesini seçin.

  8. Zaman aralığı filtresini son 24 saat olarak ayarlayın.

  9. Aşağıdaki kusto sorgusunu kopyalayın ve sorgu penceresine yapıştırın (burada "sorgunuzu buraya yazın veya..." ifadesini yazın):

    Anomalies 
    | where AnomalyTemplateName contains "________________________________"
    

    Yukarıdaki bir yere kopyaladığınız kural adını, tırnak işaretleri arasına alt çizgi yerine yapıştırın.

  10. Çalıştır'a tıklayın.

Bazı sonuçlarınız olduğunda, anormalilerin kalitesini değerlendirmeye başlayabilirsiniz. Sonuçlarınız yoksa, zaman aralığını artırmayı deneyin.

Her anomali için sonuçları genişletin ve sonra anomali nedenler alanını genişletin. Bu, anomali 'in neden harekete geçirildiğinde size bildirir.

Bir anomali 'nin "reasonablelik" veya "kullanışlılığı", ortamınızın koşullarına bağlı olabilir, ancak çok fazla bozukluklar oluşturmak için bir anomali kuralının yaygın bir nedeni eşiğin çok düşüktür.

Anomali kurallarını ayarlama

Anomali kuralları, kutudan en yüksek verimlilik için tasarlanırken, her durum benzersizdir ve bazen anomali kuralların ayarlanmış olması gerekir.

Özgün etkin kuralı düzenleyemezsiniz, önce bir etkin anomali kuralını yinelemeli ve sonra kopyayı özelleştirmeniz gerekir.

Özgün anomali kuralı, devre dışı bırakılıp ya da silinene kadar çalışmaya devam edecektir.

Bu, orijinal yapılandırma ve yeni bir tane tarafından oluşturulan sonuçları karşılaştırma fırsatı sunmak için tasarımdır. Yinelenen kurallar varsayılan olarak devre dışıdır. Yalnızca belirli bir anomali kuralının özelleştirilmiş bir kopyasını yapabilirsiniz. İkinci bir kopya oluşturma girişimleri başarısız olur.

  1. Anomali kuralının yapılandırmasını değiştirmek için, etkin kurallar sekmesinde anomali kuralını seçin.

  2. Kuralın satırında herhangi bir yere sağ tıklayın veya satırın sonundaki üç noktaya (...) tıklayın ve ardından Yinele' ye tıklayın.

  3. Kuralın yeni kopyası, kural adında "-özelleştirilmiş" sonekine sahip olacaktır. Bu kuralı gerçekten özelleştirmek için bu kuralı seçin ve Düzenle' ye tıklayın.

  4. Kural, analiz Kuralı Sihirbazı 'nda açılır. Burada kuralın parametrelerini ve eşiğini değiştirebilirsiniz. Değiştirilebilen parametreler her bir anomali türü ve algoritmasıyla farklılık gösterir.

    Değişikliklerin sonuçlarının sonuçları Önizleme bölmesinde önizlemesini yapabilirsiniz. ML modelinin neden bu anomali 'i tanımladığını görmek için sonuçlar önizlemesindeki anomali kimliği 'ne tıklayın.

  5. Sonuç oluşturmak için özelleştirilmiş kuralı etkinleştirin. Değişikliklerinizin bazıları kuralın yeniden çalıştırılmasını gerektirebilir, bu yüzden işlemin bitmesini beklemeniz ve Günlükler sayfasında sonuçları denetlemeye geri dönebilmeniz gerekir. Özelleştirilmiş anomali kuralı, varsayılan olarak Fışıklandırma (test) modunda çalışır. Özgün kural varsayılan olarak Üretim modunda çalışmaya devam eder.

  6. Sonuçları karşılaştırmak için, yeni kuralı daha önce değerlendirmeküzere günlüklerde bulunan anoiller tablosuna dönün, yalnızca özgün kural adına sahip satırları ve aynı zamanda "-özelleştirilmiş" olan yinelenen kural adını anoortemplatename sütununda bulun.

    Özelleştirilmiş kurala ilişkin sonuçlardan memnun kaldıysanız, etkin kurallar sekmesine geri dönerek özelleştirilmiş kurala tıklayabilir, Düzenle düğmesine tıklayabilirsiniz ve genel sekmesinde, fışıklandırma ile üretime kadar geçiş yapabilirsiniz. Aynı anda üretimde aynı kuralın iki sürümü yoksa, özgün kural otomatik olarak Fışıklandırma olarak değişir.

Sonraki adımlar

bu belgede, Azure Sentinel 'de SOC-ML anomali algılama analizi kurallarıyla nasıl çalışaöğreneceksiniz.