Gestire i falsi positivi in Microsoft Sentinel

Importante

I rilevamenti personalizzati sono ora il modo migliore per creare nuove regole in Microsoft Sentinel Microsoft Defender XDR SIEM. Con i rilevamenti personalizzati, è possibile ridurre i costi di inserimento, ottenere rilevamenti in tempo reale illimitati e trarre vantaggio dall'integrazione senza problemi con dati, funzioni e azioni di correzione Defender XDR con il mapping automatico delle entità. Per altre informazioni, vedere Rilevamenti personalizzati sono ora l'esperienza unificata per la creazione di rilevamenti in Microsoft Defender XDR.

Le regole di analisi di Microsoft Sentinel avvisano l'utente quando si verifica qualcosa di sospetto nella rete. Nessuna regola di analisi è perfetta ed è inevitabile che si verifichino dei falsi positivi che devono essere gestiti. Questo articolo descrive come gestire i falsi positivi, usando l'automazione o modificando le regole di analisi pianificata.

Cause e prevenzione dei falsi positivi

Anche in una regola di analisi compilata correttamente, i falsi positivi spesso derivano da entità specifiche come utenti o indirizzi IP che devono essere esclusi dalla regola.

Gli scenari comuni includono:

  • Le normali attività di alcuni utenti, in genere le entità servizio, mostrano un modello che sembra sospetto.
  • L'attività intenzionale di analisi della sicurezza proveniente da indirizzi IP noti viene rilevata come dannosa.
  • Una regola che esclude gli indirizzi IP privati deve escludere anche alcuni indirizzi IP interni non privati.

Questo articolo descrive due metodi per evitare falsi positivi:

  • Le regole di automazione creano eccezioni senza modificare le regole di analisi.
  • Le modifiche alle regole di analisi pianificata consentono eccezioni più dettagliate e permanenti.

Nella tabella seguente vengono descritte le caratteristiche di ogni metodo:

Metodo Caratteristica
Regole di automazione
  • Può essere applicato a diverse regole di analisi.
  • Mantenere un audit trail. Le eccezioni chiudono immediatamente e automaticamente gli incidenti creati, registrando il motivo della chiusura e i commenti.
  • Vengono spesso generati dagli analisti.
  • Consenti l'applicazione di eccezioni per un periodo di tempo limitato. Ad esempio, gli interventi di manutenzione potrebbero generare falsi positivi che, al di fuori della finestra di manutenzione, sarebbero veri incidenti.
Modifiche alle regole di analisi
  • Consenti espressioni booleane avanzate ed eccezioni basate su subnet.
  • Consente di usare gli elenchi di controllo per centralizzare la gestione delle eccezioni.
  • In genere richiedono l'implementazione da parte dei tecnici del Centro operazioni di sicurezza (SOC).
  • Sono la soluzione di falsi positivi più flessibile e completa, ma sono più complesse.

Aggiungere eccezioni con regole di automazione (solo portale di Azure)

Questa procedura descrive come aggiungere una regola di automazione quando si verifica un incidente di falso positivo. Questa procedura è supportata solo nel portale di Azure.

Se Microsoft Sentinel è integrato nel portale Defender, crea regole di automazione da zero in base ai dettagli dell'incidente. Per altre informazioni, vedere Automatizzare la risposta alle minacce in Microsoft Sentinel con regole di automazione.

Per aggiungere una regola di automazione per gestire un falso positivo:

  1. In Microsoft Sentinel, in Eventi imprevisti selezionare l'evento imprevisto per cui si vuole creare un'eccezione.

  2. Nel riquadro dei dettagli dell'evento imprevisto sul lato selezionare Azioni > Crea regola di automazione.

  3. Nella barra laterale Crea nuova regola di automazione modificare facoltativamente il nome della nuova regola per identificare l'eccezione, anziché solo il nome della regola di avviso.

  4. In Condizioni aggiungere facoltativamente altri nomi di regola di Analisia cui applicare l'eccezione. Selezionare la casella a discesa contenente il nome della regola di analisi e selezionare altre regole di analisi dall'elenco.

  5. La barra laterale mostra le entità specifiche relative all'incidente attuale che potrebbero aver causato il falso positivo. Mantenere i suggerimenti automatici o modificare le condizioni suggerite per ottimizzare l'eccezione. Ad esempio, è possibile modificare una condizione in un indirizzo IP da applicare a un'intera subnet.

    Screenshot che mostra come creare una regola di automazione per un evento imprevisto in Microsoft Sentinel.

  6. Dopo aver soddisfatto le condizioni, scorrere verso il basso nel riquadro laterale per continuare a definire le operazioni eseguite dalla regola:

    Screenshot che mostra come completare la creazione e l'applicazione di una regola di automazione in Microsoft Sentinel.

    • La regola è già configurata per chiudere un evento imprevisto che soddisfa i criteri di eccezione.
    • È possibile mantenere il motivo di chiusura specificato così come è oppure modificarlo se un altro motivo è più appropriato.
    • È possibile aggiungere un commento all'incidente chiuso automaticamente per spiegare l'eccezione. Ad esempio, è possibile specificare che l'evento imprevisto ha origine da attività amministrative note.
    • Per impostazione predefinita, la regola è impostata per la scadenza automatica dopo 24 ore. Questa scadenza potrebbe essere quella desiderata e ridurre la probabilità di errori falsi negativi. Se vuoi un'eccezione con una durata maggiore, imposta Scadenza della regola a un'ora successiva.
  7. Se si desidera, è possibile aggiungere altre azioni. Ad esempio, è possibile aggiungere un tag all'evento imprevisto oppure eseguire un playbook per inviare un messaggio di posta elettronica o una notifica o per eseguire la sincronizzazione con un sistema esterno.

  8. Selezionare Applica per attivare l'eccezione.

Aggiungere eccezioni modificando le regole di analisi

Un'altra opzione per l'implementazione delle eccezioni consiste nel modificare la query delle regole di analisi. È possibile includere eccezioni direttamente nella regola o, preferibilmente, quando possibile, usare un riferimento a un watchlist. È quindi possibile gestire l'elenco di eccezioni nell'elenco di controllo.

Modifica la query

Per modificare le regole di analisi esistenti, selezionare Automazione dal menu di navigazione a sinistra di Microsoft Sentinel. Selezionare la regola da modificare e quindi selezionare Modifica in basso a destra per aprire la Procedura guidata regole di analisi.

Per istruzioni dettagliate su come usare la Creazione guidata regole di analisi per creare e modificare regole di analisi, vedi Creare regole di analisi personalizzate per rilevare le minacce.

Per implementare un'eccezione in un tipico preambolo della regola, è possibile aggiungere una condizione simile where IPAddress !in ('<ip addresses>') all'inizio della query delle regole. Questa riga esclude dalla regola indirizzi IP specifici.

let timeFrame = 1d;
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| where IPAddress !in ('10.0.0.8', '192.168.12.1')
...

Questo tipo di eccezione non è limitato agli indirizzi IP. È possibile escludere utenti specifici usando il UserPrincipalName campo o escludere app specifiche usando AppDisplayName.

È anche possibile escludere più attributi. Ad esempio, per escludere gli avvisi dall'indirizzo 10.0.0.8 IP o dall'utente user@microsoft.com, usare:

| where IPAddress !in ('10.0.0.8')
| where UserPrincipalName != 'user@microsoft.com'

Per implementare un'eccezione con granularità più fine, se applicabile, e ridurre la probabilità di falsi negativi, è possibile combinare gli attributi. L'eccezione seguente si applica solo se entrambi i valori vengono visualizzati nello stesso avviso:

| where IPAddress != '10.0.0.8' and UserPrincipalName != 'user@microsoft.com'

Escludere le subnet

L'esclusione degli intervalli IP usati da un'organizzazione richiede l'esclusione della subnet. Nell'esempio seguente viene illustrato come escludere le subnet.

L'operatore ipv4_lookup è un operatore di arricchimento, non un operatore di filtro. La where isempty(network) riga esegue effettivamente il filtraggio, mantenendo solo gli eventi il cui indirizzo IP non corrisponde ad alcuna voce di subnet.

let subnets = datatable(network:string) [ "111.68.128.0/17", "5.8.0.0/19", ...];
let timeFrame = 1d;
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| evaluate ipv4_lookup(subnets, IPAddress, network, return_unmatched = true)
| where isempty(network)
...

Usare gli elenchi di controllo per gestire le eccezioni

È possibile usare un watchlist per gestire l'elenco di eccezioni al di fuori della regola stessa. Se applicabile, questa soluzione presenta i vantaggi seguenti:

  • Un analista può aggiungere eccezioni senza modificare la regola, seguendo così meglio le best practice SOC.
  • La stessa watchlist può essere applicata a diverse regole, abilitando la gestione centrale delle eccezioni.

L'uso di un elenco di controllo è simile all'uso di un'eccezione diretta. Usa _GetWatchlist('<watchlist name>') per aprire la watchlist:

let timeFrame = 1d;
let logonDiff = 10m;
let allowlist = (_GetWatchlist('ipallowlist') | project IPAddress);
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| where IPAddress !in (allowlist)
...

È anche possibile applicare filtri alle subnet usando un watchlist. Nel codice di esclusione delle subnet precedenti, ad esempio, è possibile sostituire la definizione delle datatable subnet con un elenco di controllo:

let subnets = _GetWatchlist('subnetallowlist');

Per altre informazioni sugli elementi seguenti usati negli esempi precedenti, vedere la documentazione di Kusto:

Per altre informazioni su KQL, vedi panoramica di Kusto Query Language (KQL).

Altre risorse:

Esempio: Gestire le eccezioni per la soluzione Microsoft Sentinel per le applicazioni SAP®

La soluzione Microsoft Sentinel per le applicazioni SAP® offre funzioni che è possibile usare per escludere utenti o sistemi dall'attivazione degli avvisi.

  • Escludere gli utenti. Usare la funzione SAPUsersGetVIP per:

    • Tag di chiamata per gli utenti da escludere dall'attivazione degli avvisi. Contrassegna gli utenti nella watchlist SAP_User_Config, utilizzando gli asterischi (*) come caratteri jolly per contrassegnare tutti gli utenti con una sintassi di denominazione specifica.
    • Elencare ruoli e/o profili SAP specifici da escludere dall'attivazione degli avvisi.
  • Escludere i sistemi. Usare funzioni che supportano il parametro SelectedSystemRoles per determinare che solo tipi specifici di sistemi attivano avvisi, inclusi solo i sistemi di produzione , solo i sistemi UAT o entrambi.

Per altre informazioni, vedere Microsoft Sentinel soluzione per informazioni di riferimento sui dati delle applicazioni SAP®.

Per altre informazioni, vedere: