Sdílet prostřednictvím

Monitorování a optimalizace provádění naplánovaných analytických pravidel

  • Článek

Pokud chcete zajistit, aby detekce hrozeb v Microsoft Sentinelu poskytovala úplné pokrytí ve vašem prostředí, využijte jeho nástroje pro správu spouštění. Tyto nástroje se skládají z přehledů o provádění plánovaných analytických pravidel na základě dat microsoft Sentinelu o stavu a auditu a zařízení pro ruční opětovné spuštění předchozích spuštění pravidel v konkrétních časových oknech pro účely testování a/nebo řešení potíží.

Důležité

Přehledy analytických pravidel služby Microsoft Sentinel a ruční opětovné spuštění jsou aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Shrnutí

Existují dva nástroje pro správu spouštění pro naplánovaná analytická pravidla: integrované plánované přehledy pravidel a možnost opětovného spuštění naplánovaných pravidel na vyžádání.

Na stránce Analýza se na panelu Přehledy vedle karty Informace zobrazí jako další karta v podokně podrobností. Panel Přehledy poskytuje informace o aktivitě a výsledcích pravidla. Příklad: neúspěšné spuštění, hlavní problémy se stavem, počet výstrah v průběhu času a uzavření klasifikací incidentů vytvořených pravidlem. Tyto přehledy pomáhají analytikům zabezpečení identifikovat potenciální problémy nebo chybné konfigurace pomocí analytických pravidel a umožňují jim zjišťovat a opravovat chyby pravidel a optimalizovat konfigurace pravidel pro lepší výkon a přesnost.

Na stránce Analýza máte také možnost znovu spustit analytická pravidla na vyžádání. Tato funkce poskytuje flexibilitu a kontrolu při ověřování účinnosti pravidel. Může být užitečné ve scénářích, jako je upřesnění pravidel, testování, ověřování a další. Díky flexibilitě zahájit ruční opětovné spuštění může podporovat efektivní operace zabezpečení, umožnit efektivní reakci na incidenty a zlepšit celkové možnosti detekce a reakce systému.

Případy použití a výhody opětovného spuštění pravidla

Tady je několik scénářů, které můžou těžit z přehrání konkrétních spuštění analytických pravidel:

Upřesnění a ladění pravidel: Analytická pravidla můžou vyžadovat pravidelné úpravy a vyladění na základě vyvíjejícího se prostředí hrozeb a změny potřeb organizace. Díky ručnímu opětovnému spuštění pravidel můžou vaši analytici posoudit dopad úprav pravidel a ověřit jejich efektivitu před jejich nasazením v produkčním prostředí.

Testování a ověřování: Při zavádění nových analytických pravidel, provádění významných změn stávajících nebo vývoje nových playbooků incidentů je nezbytné důkladně otestovat jejich výkon a přesnost. Ruční opětovné spuštění umožňuje simulovat různé scénáře, včetně kompletního automatizovaného toku incidentu, a ověřit pravidla s konzistentní sadou vstupů dat. Tento proces zajišťuje, že pravidla generují očekávaná upozornění, aniž by vytvářela nadměrné falešně pozitivní výsledky.

Vyšetřování incidentů: V případě incidentu zabezpečení nebo podezřelé aktivity můžou vaši analytici chtít zobrazit další podrobnosti v již vygenerovaných výstrahách. Můžou to udělat tak, že pravidlo aktualizuje a znovu spustí v konkrétních intervalech provádění (vrátí se do sedmi dnů), aby shromáždily další informace a identifikovaly související události. Ruční opětovné spuštění umožňuje analytikům provádět podrobná šetření a pomáhá zajistit komplexní pokrytí.

Dodržování předpisů a auditování: Některé zákonné požadavky nebo interní zásady můžou vyžadovat pravidelné nebo průběžné monitorování a dodržování předpisů. Ruční opětovné spouštění poskytuje možnost splňovat takové povinnosti tím, že zajišťuje konzistentní použití pravidel a generování vhodných výstrah.

Požadavky

Pokud chcete používat nástroje pro správu spouštění, musíte mít povolenou funkci stavu a auditu služby Microsoft Sentinel a konkrétně monitorování stavu analytických pravidel. Zjistěte, jak povolit stav a audit.

Zobrazení přehledů analytických pravidel

Pokud chcete tyto nástroje využít, začněte prozkoumáním přehledů daného pravidla.

  1. V navigační nabídce Služby Microsoft Sentinel vyberte Analýza.

  2. Vyhledejte a vyberte pravidlo (naplánované nebo NRT), jehož přehledy chcete zobrazit.

  3. V podokně podrobností vyberte kartu Přehledy.

    Snímek obrazovky s výběrem analytického pravidla

  4. Když vyberete kartu Přehledy , zobrazí se selektor časového rámce. Vyberte časový rámec nebo ho ponechte jako výchozí posledních 24 hodin.

    Snímek obrazovky se selektorem časového rámce na stránce Analýza

Na panelu Přehledy se aktuálně zobrazují čtyři druhy přehledů. Za každým přehledem následuje odkaz Zobrazit všechny odkazy, které vás přesoují na stránku Protokoly , a zobrazí dotaz, který vytvořil přehled spolu s úplnými nezpracovanými výsledky. Tady jsou přehledy:

  • Neúspěšná spuštění zobrazí seznam neúspěšných spuštění tohoto pravidla v daném časovém rámci. Za tímto přehledem následuje také odkaz na panel Spuštění pravidla, kde můžete zobrazit seznam všech dob, kdy pravidlo běží, a můžete přehrát konkrétní spuštění pravidla.

  • Hlavní problémy se stavem zobrazují seznam nejběžnějších problémů se stavem tohoto pravidla během daného časového rámce. Za tímto přehledem následuje také odkaz Na spuštění zobrazení, který vás přesoudí na stránku Protokoly , kde se zobrazí dotaz všech dob, kdy se toto pravidlo spustilo.

  • Graf výstrah zobrazuje graf počtu výstrah vygenerovaných tímto pravidlem v daném časovém rámci.

  • Klasifikace incidentů zobrazuje souhrn klasifikace uzavřených incidentů vytvořených tímto pravidlem během daného časového rámce.

Znovu spustit analytická pravidla

Existuje několik scénářů, které by mohly vést k opětovnému spuštění pravidla.

  • Pravidlo se nepovedlo spustit kvůli dočasné podmínce, která se vrátila k normálnímu stavu nebo kvůli chybné konfiguraci. Po opravě chybné konfigurace nebo opravy podmínky budete chtít znovu spustit pravidlo ve stejném časovém intervalu (tj. na stejných datech) jako spuštění, které selhalo, a zmírnit mezery v pokrytí.

  • Pravidlo bylo úspěšně spuštěno, ale nezadalo dostatek informací v výstrahách, které vygeneroval. V takovém případě můžete chtít pravidlo upravit tak, aby poskytovalo další informace, a to bez ohledu na to, jestli změníte dotaz nebo nastavení rozšiřování. Pak budete chtít znovu spustit pravidlo ve stejném časovém okně (tj. na stejných datech) jako spuštění, pro které chcete získat další informace.

  • Možná experimentujete s psaním nebo úpravou pravidla a chcete zjistit, jak by různá nastavení ovlivnila výstrahy, které pravidlo vygeneruje. Pro platné porovnání chcete pravidlo znovu spustit ve stejném časovém intervalu.

Tady je postup, jak znovu spustit pravidlo:

  1. Na stránce Analýza vyberte na panelu nástrojů v horní části panelu nástrojů spuštění pravidla (Preview). Otevře se panel Spuštění pravidla.

    Snímek obrazovky znázorňuje, jak získat přístup k panelu spuštění pravidla

    K panelu Spuštění pravidla se můžete dostat také tak, že na kartě Přehledy vyberete možnost Znovu spustit pravidla z neúspěšných spuštění (viz výše).

    Snímek obrazovky s panelem spuštění pravidla

  2. Vyberte spuštění pravidla, která chcete přehrát, podle časového intervalu, ve kterém byly původně spuštěny, jak je zobrazeno ve sloupci Čas spuštění. Můžete zvolit více než jedno spuštění pravidla.

    Snímek obrazovky s výběrem spuštění pravidla, které se má spustit znovu

  3. Vyberte Spustit přehrání. Zobrazí se oznámení, která ukazují průběh požadavků a že pravidla byla zařazena do fronty pro spuštění.

    Snímek obrazovky s oznámeními o spuštění pravidel

  4. Výběrem možnosti Aktualizovat zobrazíte aktualizovaný stav spuštění pravidla. Uvidíte, že se mezi nimi zobrazují vaše požadavky se stavem Probíhá (nakonec se zobrazí jako Úspěch) a typ aktivovaný uživatelem, a ne aktivovaný systémem.

    Snímek obrazovky s průběhem opětovného spuštění pravidla

    Všimněte si také, že doba provádění požadovaných opakovaných spuštění je stejná jako spuštění původního spuštění aktivovaného systémem, a ne čas spuštění. Ukážeme vám, na jaké časové období se vaše opětovné spuštění odkazuje.

    Můžete přehrát pouze spuštění pravidel aktivovaných systémem, ne uživatelem aktivovaná pravidla.

Výběrem možnosti Zobrazit úplné podrobnosti na konci řádku libovolného běhu pravidla zobrazíte jeho úplné nezpracované podrobnosti na obrazovce Protokoly .

Další kroky