Monitorare e ottimizzare l'esecuzione delle regole di analisi pianificata

Per garantire che il rilevamento delle minacce di Microsoft Sentinel fornisca una copertura completa nell'ambiente in uso, sfruttare i relativi strumenti di gestione dell'esecuzione. Questi strumenti sono costituiti da informazioni dettagliate sull'esecuzione delle regole di analisi pianificata, in base all'integrità e ai dati di controllo di Microsoft Sentinel e una funzionalità per rieseguire manualmente le esecuzioni precedenti di regole in intervalli di tempo specifici, per scopi di test e/o risoluzione dei problemi.

Importante

Le informazioni dettagliate sulle regole di analisi di Microsoft Sentinel e la riesecuzione manuale sono attualmente disponibili in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Riepilogo

Sono disponibili due strumenti di gestione dell'esecuzione per le regole di analisi pianificata: informazioni dettagliate sulle regole pianificate predefinite e la possibilità di rieseguire regole pianificate su richiesta.

Nella pagina Analisi il pannello informazioni dettagliate viene visualizzato come un'altra scheda nel riquadro dei dettagli, insieme alla scheda Informazioni. Il pannello Informazioni dettagliate fornisce informazioni sull'attività e i risultati di una regola. Ad esempio: esecuzioni non riuscite, principali problemi di integrità, conteggio degli avvisi nel tempo e classificazioni di chiusura degli eventi imprevisti creati dalla regola. Queste informazioni dettagliate aiutano gli analisti della sicurezza a identificare potenziali problemi o errori di configurazione con le regole di analisi e consentono loro di individuare e correggere gli errori delle regole e ottimizzare le configurazioni delle regole per migliorare le prestazioni e l'accuratezza.

Anche nella pagina Analisi è possibile eseguire nuovamente le regole di analisi su richiesta. Questa funzionalità offre flessibilità e controllo nella convalida dell'efficacia delle regole. Può essere utile in scenari quali perfezionamento delle regole, test, convalida e altri. Avere la flessibilità di avviare riesecuzioni manuali può supportare operazioni di sicurezza efficienti, abilitare una risposta efficace agli eventi imprevisti e migliorare le funzionalità generali di rilevamento e risposta del sistema.

Casi d'uso e vantaggi della ripetizione della regola

Ecco alcuni scenari che possono trarre vantaggio dalla riproduzione di esecuzioni specifiche delle regole di analisi:

Perfezionamento e ottimizzazione delle regole: le regole di analisi possono richiedere rettifiche periodiche e ottimizzazione in base al panorama delle minacce in evoluzione e alla modifica delle esigenze dell'organizzazione. Con la riesecuzione manuale delle regole, gli analisti possono valutare l'impatto delle modifiche alle regole e convalidarne l'efficacia prima di distribuirle in un ambiente di produzione.

Test e convalida: quando si introducono nuove regole di analisi, si apportano modifiche significative a quelle esistenti o si sviluppano nuovi playbook degli eventi imprevisti, è essenziale testare accuratamente le prestazioni e l'accuratezza. La ripetizione manuale consente di simulare diversi scenari, tra cui il flusso di eventi imprevisti automatizzati end-to-end e di convalidare le regole rispetto a un set coerente di input di dati. Questo processo garantisce che le regole generino gli avvisi previsti senza produrre falsi positivi eccessivi.

Indagine sugli eventi imprevisti: in caso di evento imprevisto di sicurezza o attività sospetta, gli analisti potrebbero voler visualizzare dettagli aggiuntivi negli avvisi già generati. A tale scopo, è possibile aggiornare la regola e rieseguirla in intervalli di esecuzione specifici (tornando indietro fino a sette giorni) per raccogliere informazioni aggiuntive e identificare gli eventi correlati. La ripetizione manuale consente agli analisti di eseguire indagini approfondite e di garantire una copertura completa.

Conformità e controllo: alcuni requisiti normativi o criteri interni possono richiedere la ripetizione periodica o su richiesta di regole di analisi per dimostrare il monitoraggio e la conformità continui. La riesecuzione manuale consente di soddisfare tali obblighi assicurandosi che le regole vengano applicate in modo coerente e generino avvisi appropriati.

Prerequisiti

Per usare gli strumenti di gestione delle esecuzioni, è necessario che la funzionalità di integrità e controllo di Microsoft Sentinel sia abilitata e, in particolare, il monitoraggio dello stato delle regole di analisi. Informazioni su come abilitare l'integrità e il controllo.

Visualizzare le informazioni dettagliate sulle regole di analisi

Per sfruttare questi strumenti, iniziare esaminando le informazioni dettagliate su una determinata regola.

1. Dal menu di spostamento di Microsoft Sentinel selezionare Analisi.

2. Trovare e selezionare una regola (Pianificata o NRT) di cui si desidera visualizzare le informazioni dettagliate.

3. Selezionare la scheda Informazioni dettagliate nel riquadro dei dettagli.

   

4. Quando si seleziona la scheda Informazioni dettagliate, verrà visualizzato il selettore dell'intervallo di tempo. Selezionare un intervallo di tempo o lasciare il predefinito delle ultime 24 ore.

   

Il pannello Informazioni dettagliate mostra attualmente quattro tipi di informazioni dettagliate. Ogni informazione è seguita da un collegamento Visualizza tutto che consente di accedere alla pagina Log e visualizza la query che ha prodotto le informazioni dettagliate insieme ai risultati non elaborati completi. Ecco le informazioni dettagliate:

• Esecuzioni non riuscite visualizza un elenco di esecuzioni non riuscite di questa regola nell'intervallo di tempo specificato. Questa informazione dettagliata è seguita anche da un collegamento al pannello Esecuzioni della regola pannello, in cui è possibile visualizzare un elenco di tutte le volte in cui la regola è stata eseguita ed è possibile riprodurre esecuzioni specifiche della regola.

• Problemi di integrità principali visualizza un elenco dei problemi di integrità più comuni per questa regola durante l'intervallo di tempo specificato. Questa informazione dettagliata è seguita anche da un collegamento Visualizza esecuzioni che consente di visualizzare la pagina di Log in cui verrà visualizzata una query di tutte le volte in cui è stata eseguita questa regola.

• Grafico avvisi mostra un grafico del numero di avvisi generati da questa regola nell'intervallo di tempo specificato.

• Classificazione degli eventi imprevisti mostra un riepilogo della classificazione degli eventi imprevisti chiusi creati da questa regola durante l'intervallo di tempo specificato.

Rieseguire le regole di analisi

Esistono diversi scenari che potrebbero portare a rieseguire una regola.

• Impossibile eseguire una regola a causa di una condizione temporanea che è tornata normale o a causa di una configurazione errata. Dopo aver corretto la configurazione errata o ripristinato la condizione, è consigliabile rieseguire la regola nello stesso intervallo di tempo (ovvero sugli stessi dati) dell'esecuzione non riuscita, per attenuare le lacune nella copertura.

• Una regola ha avuto esito positivo nell'esecuzione, ma non ha fornito informazioni sufficienti negli avvisi generati. In questo caso è possibile modificare la regola per fornire altre informazioni, modificando la query o le impostazioni di arricchimento. Si vuole quindi rieseguire la regola nello stesso intervallo di tempo (ovvero sugli stessi dati) dell'esecuzione per cui si vogliono ottenere altre informazioni.

• Si potrebbe sperimentare la scrittura o la modifica di una regola e vedere in che modo le diverse impostazioni influiscono sugli avvisi generati dalla regola. Per un confronto valido, si vuole rieseguire la regola nello stesso intervallo di tempo.

Ecco come rieseguire una regola:

1. Nella pagina Analisi, selezionare Esecuzioni della regola (anteprima) sulla barra degli strumenti nella parte superiore. Verrà aperto il pannello Esecuzioni della regola.

   

   È anche possibile accedere al pannello Esecuzioni della regola selezionando Regole di riesecuzione da Esecuzioni non riuscite visualizzata nella scheda Informazioni dettagliate (vedere sopra).

   

2. Selezionare le esecuzioni della regola che si desidera riprodurre, in base all’intervallo di tempo in cui sono state eseguite originariamente, come visualizzato nella colonna Tempo di esecuzione. È possibile scegliere più di una esecuzione della regola.

   

3. Selezionare Riesegui esecuzione. Verranno visualizzate notifiche che mostrano lo stato di avanzamento delle richieste e che le regole sono state messe in coda per l'esecuzione.

   

4. Selezionare Aggiorna per visualizzare lo stato aggiornato delle esecuzioni della regola. Si noterà che le richieste vengono visualizzate tra di esse, con lo stato In corso (verrà visualizzato come Operazione riuscita) e una tipologia Attivata dall'utente anziché Attivata dal sistema.

   

   Si noterà anche che il tempo di esecuzione delle riesecuzioni delle richieste è uguale all'esecuzione originale attivata dal sistema e non il tempo di esecuzione della riesecuzione. Questo serve a indicare l’intervallo di tempo a cui si riferisce la riesecuzione.

   È possibile riprodurre solo le esecuzioni di regole attivate dal sistema, non quelle attivate dall'utente.

Selezionare Visualizza dettagli completi alla fine della riga di qualsiasi esecuzione della regola per visualizzare i dettagli completi e non elaborati nella schermata Log.

Passaggi successivi

• Monitorare l'integrità e controllare l'integrità delle regole di analisi.
• Informazioni sul controllo e il monitoraggio dello stato in Microsoft Sentinel.
• Attivare il controllo e il monitoraggio dello stato in Microsoft Sentinel.
• Vedere altre informazioni sugli schemi delle tabelle SentinelHealth e SentinelAudit.