Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Benutzerdefinierte Erkennungen sind jetzt die beste Möglichkeit, neue Regeln in Microsoft Sentinel SIEM Microsoft Defender XDR zu erstellen. Mit benutzerdefinierten Erkennungen können Sie Erfassungskosten reduzieren, unbegrenzte Echtzeiterkennungen erhalten und von der nahtlosen Integration in Defender XDR-Daten, -Funktionen und -Wartungsaktionen mit automatischer Entitätszuordnung profitieren. Weitere Informationen finden Sie in diesem Blog.
Was sind anpassbare Anomalien?
Mit Angreifern und Verteidigern, die ständig um Vorteile im Wettrennen der Cybersicherheit kämpfen, finden Angreifer immer Möglichkeiten, die Erkennung zu umgehen. Zwangsläufig führen Angriffe jedoch immer noch zu einem ungewöhnlichen Verhalten in den Systemen, die angegriffen werden. Microsoft Sentinels anpassbare, machine learning-basierte Anomalien können dieses Verhalten mit Analyseregelvorlagen identifizieren, die sofort einsatzbereit sind. Anomalien zeigen zwar nicht unbedingt böswilliges oder sogar verdächtiges Verhalten selbst an, sie können jedoch verwendet werden, um Erkennungen, Untersuchungen und Bedrohungssuche zu verbessern:
Zusätzliche Signale zur Verbesserung der Erkennung: Sicherheitsanalysten können Anomalien verwenden, um neue Bedrohungen zu erkennen und vorhandene Erkennungen effektiver zu machen. Eine einzige Anomalie ist kein starkes Signal für bösartiges Verhalten, aber eine Kombination aus mehreren Anomalien an verschiedenen Stellen in der KillChain sendet eine klare Botschaft. Sicherheitsanalysten können vorhandene Erkennungswarnungen genauer machen, indem sie sie zur Identifizierung eines anomaliealen Verhaltens konditionieren.
Nachweise bei Untersuchungen: Sicherheitsanalysten können auch Anomalien bei Untersuchungen verwenden, um eine Verletzung zu bestätigen, neue Wege zur Untersuchung zu finden und ihre potenziellen Auswirkungen zu bewerten. Diese Effizienz reduziert die Zeit, die Sicherheitsanalysten für Untersuchungen aufwenden.
Der Beginn proaktiver Bedrohungssuche: Bedrohungssucher können Anomalien als Kontext verwenden, um zu bestimmen, ob ihre Abfragen verdächtiges Verhalten entdeckt haben. Wenn das Verhalten verdächtig ist, zeigen die Anomalien auch auf potenzielle Pfade für die weitere Suche. Diese Hinweise von Anomalien reduzieren sowohl die Zeit, um eine Bedrohung zu erkennen als auch ihre Chance, Schaden zu verursachen.
Anomalien können leistungsstarke Tools sein, verursachen aber bekanntermaßen stark abweichende Ergebnisse. Sie erfordern in der Regel viele mühsame Optimierungen für bestimmte Umgebungen oder komplexe Nachbearbeitungen. Anpassbare Anomalievorlagen werden vom Data Science-Team von Microsoft Sentinel abgestimmt, um sofort einsatzbereite Werte bereitzustellen. Wenn Sie sie weiter optimieren müssen, ist der Prozess einfach und erfordert kein Wissen über maschinelles Lernen. Die Schwellenwerte und Parameter für viele der Anomalien können über die bereits vertraute Analyseregel-Benutzeroberfläche konfiguriert und optimiert werden. Die Leistung der ursprünglichen Schwellenwerte und Parameter kann mit der Leistung der neuen Schwellenwerte und Parameter innerhalb der Schnittstelle verglichen und bei Bedarf während einer Test- oder Flightingphase weiter optimiert werden. Sobald die Anomalie die Leistungsziele erfüllt, kann die Anomalie mit dem neuen Schwellenwert oder den neuen Parametern mit dem Klick auf eine Schaltfläche zur Produktion heraufgestuft werden. Mit den anpassbaren Anomalien von Microsoft Sentinel können Sie die Vorteile einer Anomalieerkennung ohne großen Aufwand nutzen.
UEBA-Anomalien
Einige Anomalieerkennungen von Microsoft Sentinel stammen aus dem Benutzer- und Entitätsverhaltensanalysemodul (UEBA), das Anomalien basierend auf dem grundlegenden Verlaufsverhalten der einzelnen Entitäten in verschiedenen Umgebungen erkennt. Das Basisverhalten jeder Entität wird gemäß ihren eigenen bisherigen Aktivitäten, denen ihrer Peers und denen der Organisation als Ganzes festgelegt. Anomalien können durch die Korrelation verschiedener Attribute wie Aktionstyp, geografischer Standort, Gerät, Ressource, ISP etc. ausgelöst werden.
Nächste Schritte
In diesem Dokument haben Sie erfahren, wie Sie anpassbare Anomalien in Microsoft Sentinel nutzen können.
- Erfahren Sie, wie Sie Anomalieregeln anzeigen, erstellen, verwalten und optimieren.
- Erfahren Sie mehr über Die Benutzer- und Entitätsverhaltensanalyse (UEBA).
- Siehe die Liste der derzeit unterstützten Anomalien.
- Erfahren Sie mehr über andere Arten von Analyseregeln.