你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
重要
自定义检测现在是跨 Microsoft Sentinel SIEM Microsoft Defender XDR 创建新规则的最佳方式。 使用自定义检测,可以降低引入成本,获得无限的实时检测,并通过自动实体映射与Defender XDR数据、函数和修正作的无缝集成受益。 有关详细信息,请阅读 此博客。
重要
检测调优目前处于 预览阶段。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
优化 SIEM 中的威胁检测规则可能是在最大化威胁检测覆盖率和最大程度地降低误报率之间实现一种困难、微妙和持续平衡的过程。 Microsoft Sentinel 通过使用机器学习分析来自数据源的数十亿个信号以及一段时间内对事件的响应,总结出规律,并为您提供可操作的建议和见解,从而大幅降低优化负担,使您能够专注于检测和响应实际威胁,从而简化和优化这个过程。
优化建议和见解现在内置于分析规则中。 本文将介绍这些见解的显示内容,以及如何实施建议。
查看规则见解和优化建议
若要查看 Microsoft Sentinel 是否有任何分析规则的优化建议,请从 Microsoft Sentinel 导航菜单中选择 Analytics 。
任何具有建议的规则都会显示灯泡图标,如下所示:
编辑规则以查看建议以及其他见解。 它们将显示在分析规则向导的 “设置规则逻辑 ”选项卡上,结果 模拟 显示下方。
见解类型
优化见解显示包含多个窗格,可以滚动或轻扫,每个窗格显示不同的内容。 显示见解的时间范围(14 天)显示在帧顶部。
第一个见解窗格显示一些统计信息 - 每个事件的平均警报数、打开的事件数和已关闭事件数,按分类分组(true/false positive)。 此见解可帮助你了解该规则的负载情况,并判断是否需要进行任何调优——例如,需要调整分组设置时。
此见解是 Log Analytics 查询的结果。 选择每个事件的平均警报,可导航至 Log Analytics 中生成此洞察的查询。 选择 “打开事件 ”会将你带到 “事件” 边栏选项卡。
第二个见解窗格建议你列出要排除的 实体 。 这些实体与您关闭并归类为误报的事件密切相关。 选择每个列出的实体旁边的加号,以便在以后执行此规则时将其从查询中排除。
此建议由Microsoft的高级数据科学和机器学习模型生成。 此窗格是否包含在“调优见解”显示中,取决于是否存在可显示的建议。
第三个见解窗格显示此规则生成的所有警报中出现频率最高的四个映射实体。 必须在规则上配置实体映射,以便此洞察产生成果。 此见解可以帮助你识别那些“占据焦点”,并使其他实体失去关注的实体。 你可能想要在不同的规则中单独处理这些实体,或者你可能决定它们是误报或其他干扰,并从规则中排除它们。
此见解是 Log Analytics 查询的结果。 选择任一实体会将你带到 Log Analytics 中生成见解的查询。
后续步骤
有关详细信息,请参见: