Usare le regole di analisi per il rilevamento di anomalie in Microsoft Sentinel

Importante

I rilevamenti personalizzati sono ora il modo migliore per creare nuove regole in Microsoft Sentinel Microsoft Defender XDR SIEM. Con i rilevamenti personalizzati, è possibile ridurre i costi di inserimento, ottenere rilevamenti in tempo reale illimitati e trarre vantaggio dall'integrazione senza problemi con dati, funzioni e azioni di correzione Defender XDR con il mapping automatico delle entità. Per altre informazioni, leggere il post di blog Rilevamenti personalizzati sono ora l'esperienza unificata per la creazione di rilevamenti in Microsoft Defender XDR.

La funzionalità personalizzabile per le anomalie di Microsoft Sentinel offre modelli di anomalie integrati per offrire vantaggi immediati fin da subito. Questi modelli di anomalie sono stati sviluppati per essere affidabili usando migliaia di origini dati e milioni di eventi, ma la funzionalità di anomalie personalizzabili consente anche di modificare facilmente soglie e parametri per le anomalie all'interno dell'interfaccia utente. Le regole di anomalia sono abilitate per impostazione predefinita, quindi genereranno anomalie senza configurazione aggiuntiva. È possibile trovare e interrogare queste anomalie nella tabella Anomalie nella sezione Log.

Importante

Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.

Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.

Visualizza modelli di regole per anomalie personalizzabili

È ora possibile trovare le regole anomalie visualizzate in una griglia nella scheda Anomalie della pagina Analisi .

  1. Per gli utenti del portale Microsoft Defender, selezionare Microsoft Sentinel > Configurazione > Analisi dal menu di navigazione di Microsoft Defender.

    Per gli utenti di Microsoft Sentinel nel portale di Azure, selezionare Analisi dal menu di spostamento Microsoft Sentinel.

  2. Nella pagina Analisi selezionare la scheda Anomalie .

  3. Per filtrare l'elenco in base a uno o più dei criteri seguenti, selezionare Aggiungi filtro e scegliere di conseguenza.

    • Stato : se la regola è abilitata o disabilitata.

    • Tattiche - le tattiche del framework MITRE ATT&CK coperte dall'anomalia.

    • Tecniche - le tecniche del framework MITRE ATT&CK coperte dall'anomalia.

    • Origini dati : tipo di log che devono essere inseriti e analizzati per definire l'anomalia.

  4. Selezionare una regola e visualizzare le informazioni seguenti nel riquadro dei dettagli:

    • La descrizione illustra il funzionamento dell'anomalia e i dati necessari.

    • Le tattiche e le tecniche sono le tattiche e le tecniche del framework MITRE ATT&CK coperte dall'anomalia.

    • I parametri sono gli attributi configurabili per l'anomalia.

    • Threshold è un valore configurabile che indica il grado in cui un evento deve essere insolito prima della creazione di un'anomalia.

    • La frequenza delle regole è il tempo tra i processi di elaborazione dei log che trovano le anomalie.

    • Lo stato della regola indica se la regola viene eseguita in modalità di produzione o di anteprima (staging) se abilitata.

    • La versione anomala mostra la versione del modello usata da una regola. Se si vuole modificare la versione usata da una regola già attiva, è necessario ricreare la regola.

Le regole fornite con Microsoft Sentinel non possono essere modificate o eliminate. Per personalizzare una regola, è prima necessario creare un duplicato della regola e quindi personalizzare il duplicato. Per istruzioni complete, vedere Ottimizzare le regole delle anomalie.

Nota

Perché è presente un pulsante Modifica se la regola non può essere modificata?

Anche se non è possibile modificare la configurazione di una regola di anomalia predefinita, è possibile eseguire due operazioni:

  1. È possibile attivare o disattivare lo stato della regola tra Produzione e Anteprima.

  2. È possibile inviare commenti e suggerimenti a Microsoft sull'esperienza con anomalie personalizzabili.

Valutare la qualità delle anomalie

È possibile vedere le prestazioni di una regola di anomalia esaminando un esempio delle anomalie create da una regola nell'ultimo periodo di 24 ore.

  1. Per gli utenti di Microsoft Sentinel nel portale di Azure, selezionare Analisi dal menu di spostamento Microsoft Sentinel.

    Per gli utenti del portale Microsoft Defender, seleziona Microsoft Sentinel > Configuration > Analytics dal menu di navigazione di Microsoft Defender.

  2. Nella pagina Analisi selezionare la scheda Anomalie .

  3. Selezionare la regola da valutare e copiarne l'ID dalla parte superiore del riquadro dei dettagli a destra.

  4. Dal menu di navigazione di Microsoft Sentinel, selezionare Logs.

  5. Se si apre sopra una galleria Query, chiudila.

  6. Selezionare la scheda Tabelle nel riquadro sinistro della pagina Log .

  7. Impostare il filtro Intervallo di temposu Ultime 24 ore.

  8. Copia la query Kusto seguente e incollala nella finestra di query (dove è visualizzato "Digitare la query qui o..."):

    Anomalies 
    | where RuleId contains "<RuleId>"
    

    Incolla l'ID della regola che hai copiato sopra al posto di <RuleId>, tra virgolette.

  9. Selezionare Esegui.

Quando si hanno alcuni risultati, è possibile iniziare a valutare la qualità delle anomalie. Se non si hanno risultati, provare ad aumentare l'intervallo di tempo.

Espandere i risultati per ogni anomalia e quindi espandere il campo AnomalyReasons . Questo ti spiegherà perché l'anomalia si è attivata.

La "ragionevolezza" o "utilità" di un'anomalia può dipendere dalle condizioni dell'ambiente, ma un motivo comune per cui una regola di anomalia produce troppe anomalie è che la soglia è troppo bassa.

Ottimizza le regole di rilevamento delle anomalie

Sebbene le regole di anomalia siano progettate per garantire la massima efficacia per impostazione predefinita, ogni situazione è diversa e talvolta le regole di anomalia devono essere regolate.

Poiché non è possibile modificare una regola attiva originale, è prima necessario duplicare una regola di anomalia attiva e quindi personalizzare la copia.

La regola di anomalia originale continuerà a essere in esecuzione fino a quando non viene disabilitata o eliminata. La regola originale continua a essere eseguita in base alla progettazione, quindi è possibile confrontare i risultati generati dalla configurazione originale e da quello nuovo. Le regole duplicate sono disabilitate per impostazione predefinita. È possibile creare una sola copia personalizzata di una determinata regola di anomalia. I tentativi di eseguire una seconda copia avranno esito negativo.

  1. Per modificare la configurazione di una regola di anomalia, selezionare la regola dall'elenco nella scheda Anomalie .

  2. Fare clic con il pulsante destro del mouse in un punto qualsiasi della riga della regola oppure fare clic con il pulsante sinistro del mouse sui puntini di sospensione (...) alla fine della riga, quindi scegliere Duplica dal menu di scelta rapida.

    Nell'elenco verrà visualizzata una nuova regola con le caratteristiche seguenti:

    • Il nome della regola sarà lo stesso dell'originale, con " - Personalizzato" aggiunto alla fine.
    • Lo stato della regola sarà Disabilitato.
    • Il badge FLGT verrà visualizzato all'inizio della riga per indicare che la regola è in modalità Flighting.
  3. Per personalizzare questa regola, selezionare la regola e selezionare Modifica nel riquadro dei dettagli o dal menu di scelta rapida della regola.

  4. La regola si apre nella procedura guidata delle regole di Analisi. Qui è possibile modificare i parametri della regola e la relativa soglia. I parametri che possono essere modificati variano in base a ogni tipo di anomalia e algoritmo.

    È possibile visualizzare in anteprima i risultati delle modifiche nel riquadro anteprima Risultati. Selezionare un ID anomalie nell'anteprima dei risultati per vedere perché il modello di Machine Learning identifica tale anomalia.

  5. Abilitare la regola personalizzata per generare risultati. Alcune modifiche potrebbero richiedere che la regola venga eseguita di nuovo, quindi è necessario attendere che termini e tornare a controllare i risultati nella pagina dei log. La regola di anomalia personalizzata viene eseguita in modalità Flighting (di test) per impostazione predefinita. La regola originale continua a essere eseguita in modalità di produzione per impostazione predefinita.

  6. Per confrontare i risultati, tornare alla tabella Anomalies in Logs per valutare la nuova regola come in precedenza, usare solo la query seguente per cercare le anomalie generate dalla regola originale e dalla regola duplicata.

    Anomalies 
    | where AnomalyTemplateId contains "<RuleId>"
    

    Incolla l'ID della regola che hai copiato dalla regola originale al posto di <RuleId> tra virgolette. Il valore di AnomalyTemplateId nelle regole originali e duplicate è identico al valore di RuleId nella regola originale.

Se si è soddisfatti dei risultati per la regola personalizzata, è possibile tornare alla scheda Anomalie , selezionare la regola personalizzata, selezionare il pulsante Modifica e nella scheda Generale passare da Anteprima a Produzione. La regola originale cambierà automaticamente in Flighting perché non è possibile avere due versioni della stessa regola in produzione contemporaneamente.

Passaggi successivi

Per altre informazioni sul rilevamento anomalie in Microsoft Sentinel, vedere le risorse seguenti: