Gestire le regole di analisi

Completato

Gestire le regole di analisi

Per ridurre il disturbo e filtrare le minacce più importanti rilevate, è consigliabile gestire le regole di analisi su base continuativa. In questo modo le regole restano utili ed efficienti nel rilevamento di potenziali minacce alla sicurezza.

È possibile eseguire le seguenti quattro azioni sulle regole attive esistenti:

• Modifica

• Disabilitazione

• Duplicato

• Elimina

Modificare le regole

È possibile modificare le regole esistenti selezionando Modifica nel riquadro dei dettagli. Per modificare una regola, si usano le stesse pagine usate per la sua creazione. Gli input precedenti usati per creare la regola vengono conservati. È possibile modificare le proprietà della regola per ottimizzare ulteriormente il risultato del rilevamento delle minacce.

Una modifica tipica che può essere utile implementare consiste nell'allegare una risposta automatica a una minaccia già rilevata. A tale scopo, nella pagina Risposta automatica è possibile selezionare un playbook che definisce l'attività automatica che verrà eseguita in caso di rilevamento della minaccia.

Ad esempio, è possibile che la regola di analisi rilevi un evento imprevisto che è già stato risolto e si vuole ridurre gli avvisi che vengono generati al verificarsi di un'attività simile. Se si aggiunge un playbook che contiene un'attività automatica, è possibile modificare lo stato dell'evento imprevisto o aggiungere commenti quando viene rilevato un evento imprevisto simile.

Disabilitare le regole

È possibile disabilitare una regola quando si esegue un'attività che può attivare l'avviso della regola. Le regole disabilitate conservano la configurazione e possono essere abilitate di nuovo in un secondo momento.

Duplicare le regole

Quando si duplica una regola, il duplicato contiene tutta la configurazione della regola originale. Si può quindi procedere a modificare la configurazione in base alle propri esigenze. Ricordarsi di modificare il nome della regola duplicata perché, per impostazione predefinita, la regola duplicata ha lo stesso nome di quella originale con in più la stringa copia accodata.

Eliminare regole

L'eliminazione della regola richiede la conferma prima che Microsoft Sentinel Analytics la rimuova dal set di regole attive. Ad esempio, è possibile eliminare una regola relativa a un servizio o una risorsa che non è in uso. In questo caso la regola non serve più. L'eliminazione di una regola è permanente e non esiste una funzionalità di annullamento dell'operazione. Pertanto, è consigliabile prima disabilitare la regola per un periodo di tempo fino a quando non si è certi che non è più necessaria.

Verificare le conoscenze

1.

A causa dell'attività di manutenzione continua, è necessario interrompere temporaneamente la ricezione di avvisi dalle regole analitiche. Quale azione è necessario attivare sulla regola per ottenere tale configurazione?

Elimina

Disabilitazione

Duplicato

2.

Qual è il modo più efficiente per modificare una regola di analisi esistente?

Eliminare e ricreare l'avviso con la nuova logica.

Duplicare la regola e modificarla in base alle esigenze.

Creare una nuova regola.

Devi rispondere a tutte le domande prima di controllare il lavoro svolto.