使用SoC-ML检测Azure Sentinel中的威胁—— 这个SOC-ML就是一些分析异常的规则啊!!!和ML有毛关系?!难道是自己内置的异常检测算法你可以调整参数上报异常事件???

使用SoC-ML异常检测Azure Sentinel中的威胁

https://docs.microsoft.com/en-us/azure/sentinel/soc-ml-anomalies

 

什么是soc-ml异常?

由于攻击者和防守者在网络安全军备竞赛中不断争取优势,攻击者总是找到逃避探测的方法。但是,不可避免地,攻击仍将导致系统遭到攻击的不寻常行为。 Azure Sentinel的SoC-ML机器学习的异常可以通过分析规则模板来识别此行为,这些行为可以从框中开出来。虽然异常不一定表明自己是恶意甚至可疑的行为,但它们可以用来改善检测,调查和威胁狩猎

  • 提高检测的附加信号:安全分析师可以使用异常来检测新的威胁,并使现有的检测更有效。单一的异常是恶意行为的强烈信号,但是当结合杀死链上不同点的几个异常时,它们的累积效果要强大。安全分析师也可以通过使异常识别的不寻常行为来增强现有的检测,该行为是要解雇的警报的条件。

  • 调查期间的证据:安全分析师还可以在调查期间使用异常,以帮助确认违约,找到调查它的新路径,并评估其潜在影响。这些效率减少了时间安全分析师在调查中花费。

  • 主动威胁狩猎的开始:威胁猎人可以使用异常作为背景,以帮助确定他们的查询是否露出可疑行为。当行为可疑时,异常也指向进一步狩猎的潜在路径。这些由异常提供的线索减少了检测威胁的时间及其造成伤害的机会。

异常可能是强大的工具,但它们非常嘈杂。它们通常需要大量繁琐的调整针对特定环境或复杂的后处理。 Azure Sentinel SoC-ML异常模板由我们的数据科学团队调整,以提供开箱价值,但如果您需要进一步调整它们,该过程很简单,不需要了解机器学习。通过已熟悉的分析规则用户界面,可以配置和微调许多异常的阈值和参数。可以将原始阈值和参数的性能与接口内的新的性能进行比较,并且在测试期间根据需要进一步调谐,或飞行阶段。一旦异常符合性能目标,可以通过点击按钮来促进具有新阈值或参数的异常。 Azure Sentinel SoC-ML异常使您能够在没有艰苦工作的情况下获得异常的利益。

下一步

在本文档中,您了解到SoC-ML如何帮助您在Azure Sentinel中检测到异常。

 这个SOC-ML就是一些分析规则啊!!!

 

异常 异常规则模板使用 SOC-ML(机器学习)来检测特定类型的异常行为。每个规则都有自己独特的参数和阈值,适用于被分析的行为。

虽然这些规则配置无法更改或微调,但您可以复制规则、更改和微调副本。在这种情况下,请在Flighting模式下运行副本并在Production模式下同时运行原始版本然后比较结果,如果微调符合您的喜好,则将副本切换到生产

有关详细信息,请参阅使用 SOC-ML 异常检测 Azure Sentinel 中的威胁使用Azure Sentinel 中的异常检测分析规则

在 Azure Sentinel 中使用异常检测分析规则

 重要的

查看 SOC-ML 异常规则模板

Azure Sentinel 的SOC-ML 异常功能提供了内置的异常模板,可立即获得价值。这些异常模板通过使用数千个数据源和数百万个事件而开发,但此功能还使您可以在用户界面中轻松更改异常的阈值和参数。异常规则必须在它们生成异常之前激活,您可以在日志部分的异常表中找到这些异常规则

  1. 从 Azure Sentinel 导航菜单中,选择Analytics

  2. 分析边栏选项卡中,选择规则模板选项卡。

  3. 过滤异常模板列表

    1. 单击规则类型过滤器,然后单击下方显示的下拉列表。

    2. 取消标记全,然后标记异常

    3. 如有必要,单击下拉列表的顶部将其收回,然后单击确定

激活异常规则

当您单击其中一个规则模板时,您将在详细信息窗格中看到以下信息以及“创建规则”按钮:

  • 描述解释了异常的工作原理及其所需的数据

  • 数据源指示需要摄取以进行分析的日志类型。

  • Tactics是异常涵盖的 MITRE ATT&CK 框架策略

  • 参数是异常的可配置属性

  • 阈值是一个可配置的值,它指示在创建异常之前事件必须异常的程度。

  • 规则频率是发现异常的日志处理作业之间的时间。

  • 异常版本显示规则使用的模板版本。如果要更改已处于活动状态的规则所使用的版本,则必须重新创建该规则。

  • 模板上次更新是异常版本更改的日期。

完成以下步骤以激活规则:

  1. 选择尚未标记为IN USE的规则模板单击创建规则按钮以打开规则创建向导。

    每个规则模板的向导会略有不同,但它包含三个步骤或选项卡:GeneralConfigurationReview 和 create

    您不能更改向导中的任何值;您首先必须创建并激活规则。

  2. 循环浏览选项卡,等待查看和创建选项卡上的“验证通过”消息,然后选择创建按钮。

    您只能从每个模板创建一个活动规则。完成向导后,将在活动规则选项卡中创建活动异常规则,模板(在规则模板选项卡中)将标记为IN USE

     笔记

    假设所需数据可用,新规则最多可能仍需要 24 小时才能显示在“活动规则”选项卡中。要查看新规则,请选择“活动规则”选项卡并按照与过滤上述规则模板列表相同的方式对其进行过滤。

激活异常规则后,检测到的异常将存储在Azure Sentinel 工作区日志部分异常表中

每个异常规则都有一个训练期,在训练期过后异常才会出现在表格中。您可以在每个异常规则的描述中找到训练周期。

评估异常的质量

您可以通过查看规则在过去 24 小时内创建的异常样本来了解异常规则的执行情况。

  1. 从 Azure Sentinel 导航菜单中,选择Analytics

  2. 分析边栏选项卡中,检查是否选择活动规则选项卡。

  3. 过滤异常规则列表(如上)。

  4. 选择要评估的规则,然后将其名称从详细信息窗格的顶部复制到右侧。

  5. 从 Azure Sentinel 导航菜单中,选择Logs

  6. 如果查询库在顶部弹出,请将其关闭。

  7. 选择“日志”边栏选项卡左窗格中的表”选项卡

  8. 时间范围过滤器设置过去 24 小时

  9. 复制下面的 Kusto 查询并将其粘贴到查询窗口中(其中显示“在此处输入您的查询或...”):

    库斯托
    Anomalies 
    | where AnomalyTemplateName contains "________________________________"
    

    粘贴您在上面复制的规则名称以代替引号之间的下划线。

  10. 单击运行

当您有一些结果时,您可以开始评估异常的质量。如果您没有结果,请尝试增加时间范围。

展开每个异常的结果,然后展开AnomalyReasons字段。这将告诉您异常触发的原因。

异常的“合理性”或“有用性”可能取决于您的环境条件,但异常规则产生过多异常的一个常见原因是阈值太低。

 

 

看了下他自定义规则的东西,和SoC-ML的规则还是有点区别。。。

 

 

 

5. 单击下一步移至规则逻辑设置。

 

规则逻辑设置

 

所述集规则逻辑选项卡定义规则逻辑并配置其他规则设置,如:

 

规则查询

 

规则查询是将运行以发现异常行为或检测威胁的查询。当尝试使用 Windows 内置库 comsvc​​s.dll在主机上转储进程时,上面屏幕截图中显示的查询将触发警报。 

 

警报丰富

 

这些规则创建设置包括以下配置:

 

  • 实体映射
  • 自定义细节

 

在实体映射部分允许向上映射,从它们在查询结果中可用的字段通过Azure的哨兵(如帐户,文件,主机,IP等)认可的五个实体。这使 Azure Sentinel 能够识别和分类这些字段中的数据以进行进一步分析。

在自定义细节部分允许在堆焊从这些事件中生成的警报事件的数据。配置后,这些设置使您能够更快、更有效地进行分类、调查和响应。

查询调度

 

您可以在此处设置运行新创建的分析规则的计划。

警报阈值

 

设置警报阈值允许定义所创建规则的敏感度级别。您可能只想在查询返回一定数量的结果时创建警报。

 

事件分组

 

在此部分中,您可以设置规则查询结果如何分组到警报中。

 

抑制

 

您可以在生成警报后的一段时间内停止运行查询。这意味着,如果您开启抑制,您的规则将在您指定的时间段(最多 24 小时)内暂时禁用。

 

 

单击下一步移至事件设置选项卡。

 

结果模拟

 

该结果模拟部分在其发展阶段帮助Azure的哨兵用户测试的规则,他们被部署到生产环境之前。

 

 

事件设置

 

在此选项卡上,您可以定义 Azure Sentinel 发出警报的方式。该选项卡包括以下配置:

 

  • 事件设置
  • 警报分组

 

您可以禁用从警报创建事件或从一组警报创建单个事件。

事件设置

 

默认情况下启用这些设置。启用后,将根据此规则触发的每个 Azure Sentinel 警报创建单独的事件。您可以在需要时切换到禁用。 

 

posted @ 2021-07-27 20:47  bonelee  阅读(98)  评论(0编辑  收藏  举报