Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
Detecções personalizadas agora são a melhor maneira de criar regras no SIEM do Microsoft Sentinel e no Microsoft Defender XDR. Com detecções personalizadas, você pode reduzir os custos de ingestão, obter detecções ilimitadas em tempo real e se beneficiar da integração perfeita com os dados, funções e ações de correção do Defender XDR com o mapeamento automático de entidades. Para obter mais informações, leia este blog.
O que são anomalias personalizáveis?
Com invasores e defensores constantemente lutando por vantagem na corrida armamentista de segurança cibernética, os atacantes estão sempre encontrando maneiras de escapar da detecção. Inevitavelmente, porém, os ataques ainda resultam em um comportamento incomum nos sistemas sendo atacados. As anomalias personalizáveis e baseadas em aprendizado de máquina do Microsoft Sentinel podem identificar esse comportamento com modelos de regra de análise que podem ser utilizados imediatamente. Embora as anomalias não indiquem necessariamente comportamentos mal-intencionados ou mesmo suspeitos por si só, elas podem ser usadas para melhorar detecções, investigações e busca de ameaças:
Sinais adicionais para melhorar a detecção: os analistas de segurança podem usar anomalias para detectar novas ameaças e tornar as detecções existentes mais eficazes. Uma única anomalia não é um sinal forte de comportamento mal-intencionado, mas uma combinação de várias anomalias em pontos diferentes na cadeia de morte envia uma mensagem clara. Os analistas de segurança podem tornar os alertas de detecção existentes mais precisos, condicionando-os à identificação de comportamento anômalo.
Evidências durante as investigações: analistas de segurança também podem usar anomalias durante as investigações para ajudar a confirmar uma violação, encontrar novos caminhos para investigá-la e avaliar seu potencial impacto. Essas eficiências reduzem o tempo gasto pelos analistas de segurança em investigações.
O início de buscas proativas contra ameaças: caçadores de ameaças podem usar anomalias como contexto para ajudar a determinar se suas consultas descobriram comportamento suspeito. Quando o comportamento é suspeito, as anomalias também apontam para possíveis caminhos para investigação adicional. Essas pistas fornecidas por anomalias reduzem tanto o tempo para detectar uma ameaça quanto sua chance de causar danos.
As anomalias podem ser ferramentas poderosas, mas são, sem dúvida, barulhentas. Normalmente, eles exigem muito ajuste entediante para ambientes específicos ou pós-processamento complexo. Modelos de anomalias personalizáveis são ajustados pela equipe de ciência de dados do Microsoft Sentinel, para fornecer um valor pronto para uso. Se você precisar ajustá-los ainda mais, o processo será simples e não exigirá nenhum conhecimento do aprendizado de máquina. Os limites e parâmetros para muitas das anomalias podem ser configurados e ajustados por meio da interface de usuário da regra de análise já familiar. O desempenho do limite original e dos parâmetros pode ser comparado com os novos dentro da interface e ajustados ainda mais conforme necessário durante uma fase de teste ou de voo. Depois que a anomalia atender aos objetivos de desempenho, a anomalia com o novo limite ou parâmetros poderá ser promovida para produção com o clique de um botão. As anomalias personalizáveis do Microsoft Sentinel permitem que você obtenha o benefício da detecção de anomalias sem o trabalho árduo.
Anomalias da UEBA
Algumas das detecções de anomalias do Microsoft Sentinel vêm de seu mecanismo UEBA (Análise de Comportamento de Usuário e Entidade), que detecta anomalias com base no comportamento histórico de linha de base de cada entidade em vários ambientes. O comportamento de linha de base de cada entidade é definido de acordo com as atividades históricas delas, com aquelas dos respectivos pares e com aquelas da organização como um todo. As anomalias podem ser disparadas pela correlação de diferentes atributos, como tipo de ação, localização geográfica, dispositivo, recurso, ISP, entre outros.
Próximas etapas
Neste documento, você aprendeu a aproveitar anomalias personalizáveis no Microsoft Sentinel.
- Saiba como exibir, criar, gerenciar e ajustar regras de anomalias.
- Saiba mais sobre a UEBA (Análise de Comportamento de Usuário e Entidade).
- Consulte a lista de anomalias com suporte no momento.
- Saiba mais sobre outros tipos de regras de análise.