Gérer les règles analytiques

Effectué

Gérer les règles analytiques

Pour régler le bruit et filtrer les menaces les plus importantes détectées, vous devez gérer les règles analytiques en continu. Cela permet de garantir que vos règles restent utiles et efficaces pour détecter des menaces de sécurité potentielles.

Vous pouvez effectuer les quatre actions suivantes sur les règles actives existantes :

• Modifier

• Désactiver

• Dupliquer

• DELETE

Modifier une règle

Vous pouvez modifier les règles existantes en sélectionnant Modifier dans le volet des détails. Pour modifier une règle, vous devez accéder aux mêmes pages que celles utilisées lors de la création de la règle. Les entrées précédentes que vous avez utilisées pour créer la règle sont conservées. Vous pouvez modifier les propriétés de la règle pour affiner le résultat de la détection des menaces.

Une modification standard que vous pouvez souhaiter implémenter consiste à attacher une réponse automatisée à une menace déjà détectée. Pour ce faire, sur la page Réponse automatisée, vous pouvez sélectionner l’un des playbooks existants qui définit l’activité automatisée qui s’exécute si la menace est détectée.

Par exemple, votre règle analytique peut détecter un incident qui a déjà été résolu, et vous souhaitez réduire les alertes supplémentaires si une activité similaire se produit. En joignant un playbook qui contient une activité automatisée, vous pouvez modifier l’état de l’incident ou ajouter des commentaires lorsqu’un incident similaire est détecté.

Désactiver les règles

Vous pouvez désactiver une règle lorsque vous effectuez une activité qui est susceptible de déclencher l’alerte de la règle. Les règles désactivées conservent leur configuration, que vous pouvez réactiver ultérieurement.

Dupliquer des règles

Lorsque vous dupliquez une règle, le doublon contient toutes les configurations fournies par la règle d’origine. Vous pouvez modifier la configuration en fonction de vos besoins. N’oubliez pas de modifier le nom de la règle dupliquée car, par défaut, la règle dupliquée porte le même nom que la règle d’origine, avec la chaîne Copie ajoutée.

Supprimer des règles

Lorsque vous supprimez la règle, vous êtes invité à confirmer l’opération avant que la fonctionnalité Analytique Microsoft Sentinel ne supprime la règle de l’ensemble des règles actives. Par exemple, vous pouvez supprimer une règle relative à un service ou à une ressource qui n’est pas utilisée, la règle n’étant plus nécessaire. La suppression d’une règle est définitive. Il n’existe pas de fonctionnalité d’annulation. Par conséquent, nous vous recommandons de commencer par désactiver la règle pendant un certain temps jusqu’à ce que vous soyez certain de ne pas en avoir besoin.

Vérifiez vos connaissances

1.

En raison d’une activité de maintenance en cours, vous devez cesser temporairement de recevoir des alertes à partir des règles analytiques. Quelle action devez-vous activer sur la règle pour obtenir cette configuration ?

DELETE

Désactiver

Dupliquer

2.

Quelle est la méthode la plus efficace pour modifier une règle analytique existante ?

Supprimer et recréer l’alerte avec la nouvelle logique.

Dupliquer la règle et la modifier pour obtenir les changements nécessaires.

Créer une règle.

Vous devez répondre à toutes les questions avant de vérifier votre travail.