Verwalten von Analyseregeln

Abgeschlossen

Verwalten von Analyseregeln

Zum Verringern unnötiger Informationen und Filtern der erkannten wichtigen Bedrohungen müssen Sie die Analyseregeln fortlaufend verwalten. So können Sie sicherstellen, dass Ihre Regeln bei der Erkennung potenzieller Sicherheitsbedrohungen nützlich und effizient bleiben.

Sie können die folgenden vier Aktionen auf vorhandene aktive Regeln anwenden:

  • Bearbeiten

  • Deaktivieren

  • Duplizieren

  • Löschen

Bearbeiten von Regeln

Sie können vorhandene Regeln ändern, indem Sie im Detailbereich Bearbeiten auswählen. Zum Bearbeiten einer Regel navigieren Sie zu den Seiten, auf denen Sie die Regel erstellt haben. Die vorherigen Eingaben zum Erstellen der Regel bleiben erhalten. Sie können beliebige Eigenschaften der Regel ändern, um das Ergebnis der Bedrohungserkennung zu optimieren.

Eine typische Änderung, die Sie möglicherweise vornehmen möchten, ist das Anfügen einer automatischen Antwort an eine bereits erkannte Bedrohung. Dazu können Sie auf der Seite Automatisierte Reaktion eines der vorhandenen Playbooks auswählen, das die automatisierte Aktivität definiert, die beim Erkennen der Bedrohung ausgeführt wird.

Zum Beispiel könnte Ihre Analyseregel einen Incident erkennen, der bereits behoben wurde, und Sie möchten weitere Warnungen reduzieren, sollten ähnliche Aktivitäten auftreten. Durch Anfügen eines Playbooks, das automatisierte Aktivitäten enthält, können Sie den Incidentstatus ändern oder Kommentare hinzufügen, wenn ein ähnlicher Incident erkannt wird.

Screenshot der Bearbeitung einer vorhandenen Analyseregel.

Deaktivieren von Regeln

Sie können eine Regel deaktivieren, wenn Sie eine Aktivität ausführen, die die Regelwarnung auslösen kann. Deaktivierte Regeln behalten ihre Konfiguration bei und können zu einem späteren Zeitpunkt erneut aktiviert werden.

Duplizieren von Regeln

Wenn Sie eine Regel duplizieren, enthält die Regel sämtliche Konfigurationsinformationen der ursprünglichen Regel. Sie können die Konfiguration basierend auf Ihren Anforderungen weiter modifizieren. Vergessen Sie nicht, den Namen der duplizierten Regel zu ändern, denn standardmäßig hat die duplizierte Regel denselben Namen wie die ursprüngliche Regel mit der angefügten Zeichenfolge Copy.

Löschen von Regeln

Beim Löschen der Regel werden Sie zur Bestätigung aufgefordert, ehe Microsoft Sentinel Analytics die Regel aus der Gruppe aktiver Regeln entfernt. Sie können z. B. eine Regel für nicht verwendete Dienste oder Ressourcen löschen, wodurch die Regel nicht mehr benötigt wird. Das Löschen einer Regel ist dauerhaft, und es gibt keine Rückgängig-Funktion. Daher wird empfohlen, die Regel zunächst für einen bestimmten Zeitraum zu deaktivieren, bis Sie sicher sind, dass Sie Sie nicht brauchen.

Überprüfen Sie Ihr Wissen

1.

Aufgrund laufender Wartungsmaßnahmen müssen Sie das Empfangen von Warnungen von Analyseregeln vorübergehend aussetzen. Welche Aktion sollte für die Regel aktiviert werden, um diese Konfiguration umzusetzen?

2.

Was ist die effizienteste Methode zum Bearbeiten einer vorhandenen Analyseregel?