Автор: Зубайр Рахим
В Microsoft Security Insight Podcast Инносент Вафула и Род Трент рассказывают о возможностях машинного обучения Microsoft Sentinel. В этой статье я сосредоточусь на правилах обнаружения угроз, основанных на машинном обучении.
1. Что такое встроенное правило машинного обучения?
2. Как включить встроенное правило машинного обучения
3. Что такое настраиваемое правило машинного обучения?
4. Как создать и настроить правило Customizable ML
5. Как активировать оповещение при обнаружении аномалии.
6. Принесите свою собственную платформу машинного обучения
Встроенные правила обнаружения угроз машинного обучения:
Шаблоны поведенческой аналитики машинного обучения основаны на проприетарных алгоритмах машинного обучения Microsoft, поэтому вы не можете увидеть внутреннюю логику того, как они работают и когда запускаются.
Поскольку логика скрыта и, следовательно, не может быть изменена, вы можете создать только одно правило для каждого шаблона этого типа.
Чтобы создать/включить эти правила, перейдите в раздел Аналитика › Шаблоны правил. Нажмите Тип правила и выберите Fusion and ML Behavior Analytics.
Чтобы включить правило ML Behavior, выберите правило и нажмите Создать правило, после чего нажмите Далее: Автоматический ответ ›, если вы хотите настроить автоматический ответ, если нет, нажмите Далее : Просмотрите и нажмите Создать. Подождите 7 дней после включения этого оповещения, чтобы Microsoft Sentinel построила профиль нормальной активности для вашей среды. Если эти правила недоступны в вашей среде, напишите мне в LinkedIn.
При срабатывании оповещения автоматически создается инцидент.
Fusion: Microsoft Sentinel использует механизм корреляции Fusion с его масштабируемыми алгоритмами машинного обучения для обнаружения сложных многоэтапных атак путем сопоставления множества низкоточных предупреждений и событий в нескольких продуктах с высокоточными и требующими принятия мер инцидентами. Поскольку логика скрыта и, следовательно, не может быть изменена, с помощью этого шаблона можно создать только одно правило. В разделе «Активное правило» по умолчанию включено Расширенное многоэтапное обнаружение атак. Убедитесь, что в правиле включены все соединители данных.
Настраиваемое правило машинного обучения:
Поскольку злоумышленники и защитники постоянно борются за преимущество в гонке вооружений в области кибербезопасности, злоумышленники всегда находят способы избежать обнаружения. Однако атаки неизбежно приведут к необычному поведению атакуемых систем. Настраиваемые аномалии Microsoft Sentinel, основанные на машинном обучении, могут идентифицировать такое поведение с помощью шаблонов правил аналитики, которые можно сразу же запустить в работу. Хотя аномалии сами по себе не обязательно указывают на злонамеренное или даже подозрительное поведение, их можно использовать для улучшения обнаружения, расследования и поиска угроз.
Некоторые из аномалий включены по умолчанию, но вы можете включить или отключить аномалии в соответствии с вашими источниками данных. Чтобы включить аномалию, перейдите в раздел Аналитика › Шаблоны правил. Нажмите Тип правила и выберите Аномалия. Вы также можете отфильтровать аномалию, выбрав Источники данных.
Как я уже говорил, эти правила в некоторой степени можно настраивать, поэтому для настройки этих правил на вкладке Активные правила щелкните правой кнопкой мыши аномалию и выберите Дублировать.
Таким образом, будет создано повторяющееся правило с суффиксом Customized.
Теперь нажмите edit, после чего выберите Mode Production или Flighting. Если вы выберете производственный режим, исходная аномалия будет изменена на режим полета. Нажмите «Далее» на Configuration, теперь вы можете изменить порог оценки аномалии. Порог оценки аномалии — это оценка для создания аномалии, когда оценка аномалии превышает выбранное значение.
Аномалия не вызывает оповещение, которое вы можете найти при срабатывании аномалии в таблице аномалий.
Теперь, если вы хотите активировать оповещение при обнаружении аномалии, вы можете создать правило расписания или правило NRT. Чтобы создать правило запроса NRT, перейдите в Analytics, нажмите создать и выберите правило запроса NRT.
В запросе правила напишите приведенный ниже запрос.
Аномалии
| проект TimeGenerated, AnomalyTemplateName, Description, UserName, RuleConfigVersion, Score, ExtendedLinks, Tactics, Techniques
Включить или отключить инцидент.
В Alert Automation выберите Playbook.
Затем нажмите «Далее»: проверьте после прохождения проверки Создайте правило.
Здесь вы можете увидеть, когда аномалия, обнаруженная в моей среде, вызвала предупреждение.
Используйте собственную платформу машинного обучения (BYO-ML):
Для организаций, которые имеют ресурсы машинного обучения и хотели бы создавать настраиваемые модели машинного обучения для своих уникальных бизнес-потребностей, Microsoft Sentinel предлагает платформу BYO-ML. Платформа использует среду Azure Databricks/Apache Spark и Jupyter Notebooks для создания среды машинного обучения.
Подробнее:
https://docs.microsoft.com/en-us/azure/sentinel/bring-your-own-ml
Спасибо
