Share via

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Microsoft Sentinel 中获取针对分析规则的优化建议

  • 项目

重要

检测优化功能目前为预览版。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

在 SIEM 中优化威胁检测规则可能是一个困难、微妙且持续的过程,需要在最大化威胁检测覆盖范围与最小化误报率之间进行平衡。 Microsoft Sentinel 简化并优化了此过程,它使用机器学习分析来自数你的据源的数十亿个信号以及你在一段时间内对事件的响应,它推断模式并为你提供可行的建议和见解,这些建议和见解可以显著降低你的优化开销,并使你能够专注于检测和响应实际威胁。

优化建议和见解现在已内置于你的分析规则中。 本文将介绍这些见解显示哪些内容,以及如何实施建议。

查看规则见解和优化建议

若要了解 Microsoft Sentinel 是否针对你的任何分析规则提供了优化建议,请从 Microsoft Sentinel 导航菜单中选择“分析”。

任何具有建议的规则都会显示一个灯泡图标,如下所示:

包含建议指示器的分析规则列表的屏幕截图。

编辑规则以查看建议以及其他见解。 它们将显示在分析规则向导的“设置规则逻辑”选项卡上,位于所显示的“结果模拟”下方。

分析规则中的优化见解的屏幕截图。

见解类型

“优化见解”显示内容包括多个窗格,你可以滚动或滑动这些窗格,每个窗格显示不同的内容。 显示的见解对应的时间范围(14 天)显示在框架的顶部。

  1. 第一个见解窗格显示一些统计信息 - 每个事件的平均警报数、未关闭的事件数和已关闭的事件数,这些事件按分类(实报/误报)分组。 此见解可帮助你了解此规则的负载,并了解是否需要进行任何优化 - 例如,是否需要调整分组设置。

    规则效率见解的屏幕截图。

    此见解是 Log Analytics 查询的结果。 选择“每个事件的平均警报数”将转至 Log Analytics 中生成见解的查询。 选择“打开事件”将转至“事件”边栏选项卡。

  2. 第二个见解窗格为你建议可排除的实体列表。 这些实体与你已关闭并分类为“误报”的事件高度相关。 选择每个列出的实体旁边的加号,以在将来执行此规则时将其从查询中排除。

    实体排除建议的屏幕截图。

    此建议由 Microsoft 的高级数据科学和机器学习模型生成。 此窗格是否包含在“优化见解”显示内容中取决于是否有任何要显示的建议。

  3. 第三个见解窗格显示此规则生成的所有警报中最常出现的四个映射实体。 必须在规则上配置实体映射,此见解才会产生结果。 此见解可能会帮助你注意到任何“引人瞩目”并分散对其他实体的注意力的实体。 你可能想要在不同的规则中单独处理这些实体,也可能会决定它们是误报或其他干扰,然后将它们从规则中排除。

    常见实体见解的屏幕截图。

    此见解是 Log Analytics 查询的结果。 选择任一实体将转至 Log Analytics 中生成见解的查询。

后续步骤

有关详细信息,请参阅: