使用可自訂的異常來偵測 Microsoft Sentinel 中的威脅

什麼是可自訂的異常？

隨著攻擊者和防禦者在網絡安全軍備競賽中不斷爭奪優勢，攻擊者總是想方設法規避偵測。 不過，不可避免地，攻擊仍然會導致系統遭到攻擊的異常行為。 Microsoft Sentinel 的可自訂機器學習型異常可以使用分析規則範本來識別此行為，而這些範本可以立即開始運作。 雖然異常不一定會自行指出惡意或甚至可疑的行為，但可以用來改善偵測、調查和威脅搜捕：

• 其他改善偵測的訊號：安全性分析可以使用異常來偵測新的威脅，並使現有的偵測更有效率。 單一異常不是惡意行為的強訊號，而是終止鏈結上不同點的數個異常組合會傳送清楚的訊息。 安全性分析師可以藉由將現有偵測警示調理為異常行為的識別，使其更精確。

• 調查期間的證據：安全分析師也可以在調查期間使用異常來協助確認安全性缺口、尋找新的調查途徑，以及評估其潛在影響。 這些效率可減少安全性分析師在調查上花費的時間。

• 主動式威脅搜捕的開始：威脅獵人可以使用異常作為內容來協助判斷其查詢是否發現可疑行為。 當行為可疑時，異常也會指向潛在路徑來進一步搜捕。 異常所提供的這些線索可同時減少偵測威脅的時間及其造成損害的機會。

異常可能是功能強大的工具，但它們臭名昭著的嘈雜。 它們通常需要對特定環境或複雜的後續處理進行大量繁瑣的調整。 Microsoft Sentinel 的數據科學小組會調整可自定義的異常範本，以提供現用可用的值。 如果您需要進一步調整它們，程序很簡單，而且不需要瞭解機器學習。 您可以透過熟悉的分析規則使用者介面，設定和微調許多異常的閾值和參數。 原始閾值和參數的效能可以與介面內的閾值和參數進行比較，並在測試期間或正式發行前小眾測試階段期間進一步調整。 一旦異常符合了效能目標，具有新閾值或參數的異常就可以透過按一下按鈕提升至生產環境。 Microsoft Sentinel 可自定義的異常可讓您在不費力的情況下，獲得異常偵測的好處。

UEBA 異常狀況

Microsoft Sentinel 的一些異常偵測來自其 使用者和實體行為分析 （UEBA） 引擎，其會根據每個實體在各種環境中的基準歷程記錄行為來偵測異常。 每個實體的基準行為都是根據其本身的歷程記錄活動、其同儕節點的歷程記錄活動，以及組織整體的歷程記錄活動來設定。 異常狀況可能是由動作類型、地理位置、裝置、資源、ISP 等不同屬性的相互關聯所觸發。

下一步

在此文件中，您已了解如何利用 Microsoft Sentinel 中可自訂的異常。

• 了解如何檢視、建立、管理及微調異常規則。
• 深入了解啟用使用者與實體行為分析 (UEBA)。
• 請參閱目前支援的異常狀況清單。
• 了解其他類型的分析規則。