Microsoft Sentinel 的
可自定义的异常功能
提供
内置异常模板
,具有开箱即用的即时价值。 这些异常模板是使用数千个数据源和数百万个事件开发而成,非常可靠,而且该项功能还能够让你在用户界面中轻松更改异常的阈值和参数。 默认已启用或激活异常情况规则,因此它们将现成地生成异常情况。 可以在“日志”部分中的“异常情况”表中查找和查询这些异常情况。
查看可自定义的异常规则模板
现在可以查找“分析”页上“异常情况”选项卡的网格中显示的异常情况规则。 可按以下条件筛选该列表:
状态 - 规则是已启用还是已禁用。
策略 - 异常情况涵盖的 MITRE ATT&CK 框架策略。
技术 - 异常情况涵盖的 MITRE ATT&CK 框架技术。
数据源 - 需要为所要定义的异常情况引入并分析的日志类型。
选择规则时,你将在详细信息窗格中看到以下信息:
“描述”:说明异常的工作原理及其所需的数据。
策略和技术是
异常涵盖的 MITRE ATTCK& 框架策略和技术。
“参数”:指异常的可配置属性。
“阈值”:指可配置值,该值指示在创建异常前,事件必须达到的异常程度。
“规则频率”:指查找异常的日志处理作业之间经过的时间。
“规则状态”告知规则在启用后是在“生产”还是“外部测试”(暂存)模式下运行。
“异常版本”:显示规则使用的模板版本。 若要更改已处于活动状态的规则使用的版本,则必须重新创建该规则。
无法编辑或删除 Microsoft Sentinel 现成附带的规则。 若要自定义某个规则,必须先创建该规则的副本,然后自定义该副本。
参阅完整说明
。
既然无法编辑规则,为何会出现“编辑”按钮?
虽然无法更改现成异常情况规则的配置,但可以执行两项操作:
可以在“生产”与“外部测试”之间切换规则的规则状态。
可以向 Microsoft 提交有关可自定义异常情况体验的反馈。
评估异常质量
若要了解异常规则的执行情况,可以查看过去 24 小时内使用规则创建的异常示例。
从 Microsoft Sentinel 导航菜单中,选择“分析”。
在“分析”页上,选择“异常情况”选项卡。
选择要评估的规则,并将其 ID 从详细信息窗格顶部复制到右侧。
从 Microsoft Sentinel 导航菜单中,选择“日志”。
如果顶部弹出“查询”库,请关闭该库。
选择“日志”页左窗格中的“表”选项卡。
将“时间范围”筛选规则设置为“过去 24 小时”。
复制下面的 Kusto 查询,并将其粘贴到查询窗口(其中显示“在此键入查询或…”):
Anomalies
| where RuleId contains "<RuleId>"
粘贴前面复制的规则 ID 并覆盖引号之间的 <RuleId>。
选择“运行”。
当收到一些结果后,即可开始评估异常的质量。 如果没有收到结果,可尝试延长时间范围。
展开每个异常的结果,然后展开“AnomalyReasons”字段。 此字段将提供触发异常的具体原因。
异常的“合理性”或“有用性”可能取决于环境条件,但异常规则产生过多异常的常见原因是阈值过低。
优化异常规则
虽然异常规则专为最大限度提高开箱即用的效率而设计,但每一种情况都有其独特性,因此有时需要优化异常规则。
你无法编辑原始活动规则,因此必须先复制活动异常规则,然后自定义副本。
原始异常规则将继续运行,直到你禁用或删除该规则。
此设置经专门设计,目的是可以让你比较原始配置与新配置生成的不同结果。 系统默认禁用所有重复的规则。 对于任何给定异常规则,你只能创建一个自定义副本。 创建第二个副本的尝试将会以失败告终。
若要更改异常情况规则的配置,请从“异常情况”选项卡上的列表中选择该规则。
右键单击规则行上的任意位置,或左键单击行尾的省略号 (...),然后从上下文菜单中选择“复制”。
具有以下特征的新规则将显示在列表中:
该规则的名称与原始规则相同,但末尾追加了“- Customized”。
该规则的状态为“已禁用”。
FLGT 标志显示在行首,指示该规则处于“外部测试”模式。
若要自定义此规则,请选择该规则,然后在详细信息窗格或该规则的上下文菜单中选择“编辑”。
该规则将在“分析规则”向导中打开。 你可在此更改该规则的参数及其阈值。 可更改的参数因每种异常类型和算法而异。
你可以在“结果预览”窗格中预览相关更改的结果。 选择结果预览中的“异常 ID”,即可查看 ML 模型识别该异常的原因。
启用自定义规则来生成结果。 有些更改可能需要重新运行规则,因此你必须等到重新运行完成后,再返回“日志”页检查相关结果。 自定义异常规则默认在外部测试(测试)模式下运行。 原始规则默认继续在生产模式下运行。
若要比较结果,请返回到“日志”中的“异常情况”表以便如前所述评估新规则,并仅使用以下查询来查找原始规则以及重复规则生成的异常情况。
Anomalies
| where AnomalyTemplateId contains "<RuleId>"
粘贴从原始规则复制的规则 ID 并覆盖引号之间的 <RuleId>。 原始规则和重复规则中的 AnomalyTemplateId 值与原始规则中的 RuleId 值相同。
如果你对自定义规则生成的结果感到满意,可以返回到“异常情况”选项卡,选择该自定义规则,选择“编辑”按钮,然后在“常规”选项卡上将“外部测试”切换为“生产”。 原始规则将自动更改为“外部测试”,因为你无法同时生产同一规则的两个版本。
你已经通过本文档了解如何在 Microsoft Sentinel 中使用可自定义异常情况检测分析规则。
获取有关可自定义异常的一些背景信息。
查看 Microsoft Sentinel 中的可用异常情况类型。
浏览其他分析规则类型。
