Regras de anomalia de afinação
Esta atividade envolve a avaliação da produção do Splunk User Behavior Analytics (UBA) Modelos de anomalias e identificação de anomalias que sejam imprecisas ou irrelevantes para a organização do cliente. Esta é uma tarefa iterativa, com cada atividade de ajuste sucessiva a refinar ainda mais a saída da plataforma UBA. Espera-se que ao longo do tempo o número de anomalias que requerem ajuste diminua à medida que as regras das anomalias forem ajustadas para responder às necessidades organizacionais. Este procedimento é válido a partir da versão 5.3.0 do UBA.
Este artigo faz parte do Splunk User Behavior Analytics Manual do Proprietário, que descreve as tarefas de manutenção contínua recomendadas que o proprietário de uma implementação UBA deve garantir que sejam executadas para manter a implementação funcional. Para ver mais tarefas de manutenção, clique aqui para ver o manual completo .
Por que é que isso é importante?
As regras de anomalia são utilizadas para ajustar os resultados dos modelos de anomalias e alterar as anomalias subsequentes que são geradas pela UBA. Dois tipos de regras de anomalia podem ser configurados por um utilizador: Regras de Acção de Anomalia e Regras de Pontuação de Anomalia.
- As Regras de Ação de Anomalia podem ser utilizadas para adicionar anomalias a uma lista de observação, alterar a pontuação de uma anomalia ou eliminar uma anomalia. Um conjunto de condições de filtro determina em quais anomalias uma regra de ação de anomalia irá operar.
- As regras de pontuação de anomalias podem ser usadas para ajustar a pontuação para todas as anomalias geradas a partir de um modelo de anomalia específico. Pode ajustar as regras de pontuação específicas para cada modelo de anomalia ou pode ajustar o intervalo geral da pontuação base para um modelo de anomalia. Estes ajustamentos aplicam-se a todas as anomalias geradas a partir desse modelo.
Personalizar a saída dos modelos de anomalias UBA é uma atividade importante e contínua que é necessária para garantir que as anomalias e ameaças descobertas pela UBA sejam precisas e relevantes para o ambiente do cliente que protege. A UBA também tem limites máximos para o número de anomalias e ameaças que podem estar presentes a qualquer momento, e o ajuste adequado auxilia no cumprimento dessas limitações.
Cronograma
De duas em duas semanas
Pré-requisitos
É necessária uma conta de administrador para aceder à interface da regra de anomalia e configurar regras de anomalia.
Notas e avisos
- As anomalias não têm de ser detecções verdadeiras positivas para serem precisas. A UBA identifica anomalias relacionadas com o comportamento benigno por concepção e este tipo de anomalias não deve ser desligado do sistema. Apenas eliminará anomalias por imprecisão se a detecção parecer não ter funcionado correctamente. Se o modelo de anomalia parece ter funcionado corretamente mas a anomalia simplesmente não está relacionada com uma ação maliciosa, essa anomalia não deve ser desligada e deve permanecer no sistema.
- É possível ajustar um ambiente UBA a um ponto em que as anomalias funcionais já não são levantadas adequadamente. Para tal, recomenda-se uma abordagem conservadora da afinação, com pequenos ajustes feitos a cada iteração da tarefa até que o estado de anomalia desejado seja atingido.
- Esta atividade requer consulta com diferentes membros da equipa de operações de segurança para chegar a consenso sobre quais anomalias precisam de ajuste. Recomenda-se que esta seja conduzida em grupo ou atividade colaborativa.
- Esta atividade descreve um processo básico de afinação do 'Tipo de Anomalia', com supressões de pontuação de regra. Com o tempo, à medida que a maturidade com o produto UBA aumenta, técnicas de ajuste mais avançadas podem ser usadas em cada iteração da atividade de ajuste. Para obter informações sobre todas as opções de afinação, consulte Personalizar regras de pontuação de anomalias .
- Para uma implementação de UBA inferior a 10 nós, não é recomendado exceder mais de 1 milhão de anomalias. Se a sua implementação estiver a atingir este limite, considere realizar uma afinação mais agressiva.
- Para uma implantação de UBA de 10 nós ou mais, não é recomendado exceder mais de 1 milhão de anomalias. Se a sua implementação estiver a atingir este limite, considere realizar uma afinação mais agressiva.
- Espera-se que depois de definidas as regras de ação da anomalia as ameaças listadas na UBA mudem durante o próximo período de cálculo da ameaça da noite para o dia.
Procedimento
Se preferir seguir este procedimento em formato de vídeo, clique aqui para saltar para o final desta página.
Passo 1: Identificar anomalias a afinar
-
Na página principal do seu ambiente UBA, na barra de menus no canto superior direito da página, clique em
Explorar
e, em seguida, seleccione
Anomalias
a partir do menu suspenso.
-
Na página Tabela de Anomalias, reveja a lista de anomalias com a equipa de segurança operacional que faz a triagem de eventos da UBA. Nesta revisão, o objetivo é identificar 2-3 tipos de anomalias que devem ser afinados. Trata-se de um processo de avaliação individual para cada cliente, mas considere as seguintes categorias ao identificar anomalias a ajustar:
- Anomalias sobre-representadas em número face a outras anomalias. Isso pode ser avaliado olhando para o número listado ao lado de cada tipo de anomalia no painel esquerdo da página. Se houver uma categoria que tenha significativamente mais anomalias do que os outros tipos, esta pode ser uma candidata à afinação.
- Anomalias que não sejam desejáveis ou que digam respeito ao negócio. Cada organização tem objetivos diferentes para a deteção de segurança, e nem todas as organizações vão preocupar-se com todo o tipo de anomalia. Se estiver presente um tipo de anomalia que não seja um ponto de preocupação para o negócio, seja pelo comportamento individual a ser aceite ou pelo comportamento não apresentar risco para o negócio, este tipo de anomalia poderá apresentar um bom candidato para tuning.
-
Anomalias que aparecem frequentemente em ameaças falso-positivas. Se houver um tipo de anomalia que aparece frequentemente em ameaças UBA que são categorizadas como 'Falsos Positivos' pela equipa de operações de segurança, esse tipo de anomalia pode apresentar um bom candidato para ajuste.
- Com uma lista de tipos de Anomalia a afinar identificada, prossiga para a próxima etapa da atividade.
Passo 2: Identificar métodos de afinação
-
No ecrã Tabela de Anomalias, na barra de menus do lado esquerdo do ecrã, seleccione o terceiro ícone para baixo para ir para a página Regras de Anomalia.
-
Na página Regras de Anomalia, revise primeiro as regras existentes para ver se alguma delas se aplica a tipos de anomalias que foram selecionados para ajuste nesta atividade. Se uma regra existente já estiver configurada relacionada a um Tipo de Anomalia que tenha sido identificado nesta atividade de ajuste, edite essa regra existente e aumente ainda mais a supressão de pontuação dentro da regra, em vez de criar uma nova regra.
Informações sobre a configuração das regras de ação de anomalias podem ser encontradas em Tomar medidas sobre anomalias com regras de ação de anomalias .
-
Para cada Tipo de Anomalia que não seja representado por uma regra existente, execute as seguintes etapas:
- No canto superior direito da página, clique em Nova Regra de Ação de Anomalia .
-
Na Etapa 1 do painel Nova Regra de Ação de Anomalia, selecione a ação da regra.
-
Para Tipos de Anomalia que estão sobre-representados em comparação com outras anomalias, ou onde o Tipo de Anomalia foi frequentemente incluído em ameaças de Falsos Positivos, recomenda-se a utilização de uma acção Alterar Pontuação de Anomalias. É melhor começar com um ajuste relativo da pontuação subtraindo 1 da pontuação geral da anomalia. Isso pode ser ajustado em atividades subsequentes, se necessário.
-
Para Tipos de Anomalia que não são de interesse para a empresa, utilize uma ação Eliminar Anomalias. Note que isso impedirá que este tipo de Anomalia seja levantado, portanto, use-o com moderação. Recomenda-se seleccionar Mover para a Lixo como o método de eliminação para que as anomalias possam ser recuperadas posteriormente, se necessário.
-
Para Tipos de Anomalia que estão sobre-representados em comparação com outras anomalias, ou onde o Tipo de Anomalia foi frequentemente incluído em ameaças de Falsos Positivos, recomenda-se a utilização de uma acção Alterar Pontuação de Anomalias. É melhor começar com um ajuste relativo da pontuação subtraindo 1 da pontuação geral da anomalia. Isso pode ser ajustado em atividades subsequentes, se necessário.
-
No mesmo painel, seleccione um Âmbito de Regra:
- Aplicar a Anomalias Futuras aplica a regra a quaisquer anomalias futuras que sejam geradas.
- Aplicar a Anomalias Futuras e Existentes aplica a regra a anomalias futuras e recaptura anomalias existentes com a regra aplicada.
- No canto inferior direito do painel Nova regra de ação de anomalia, clique em Seguinte .
-
Na Etapa 2 do painel Nova regra de ação de anomalia, clique em
Tipo de Anomalia
na secção cinzenta à esquerda, e seleccione o tipo de anomalia pretendido na lista à direita do painel.
- No canto inferior direito do painel Nova regra de ação de anomalia, clique em Seguinte .
-
Na Etapa 3 do painel Nova Regra de Ação de Anomalia, insira um Nome de Regra e uma Descrição da Regra significativos nos respectivos painéis. É uma boa prática incluir a data de criação na descrição da regra para auxiliar o processo de revisão em outras iterações de ajuste.
- Com todos os Tipos de Anomalia para esta ronda de afinação resolvidos, esta iteração de actividade está agora concluída.
Vídeo de vídeo
No vídeo a seguir, pode ver um percurso do procedimento descrito acima.
Próximos passos
Estes recursos podem ajudá-lo a compreender e implementar estas orientações:
- Documentos do Splunk: Personalizar regras de pontuação de anomalias
- Documentos do Splunk: Tomar medidas sobre anomalias com regras de ação de anomalias
- Tipo de produto: Splunk User Behavior Analytics Manual do Proprietário