分析ルールを管理する
分析ルールを管理する
ノイズを調整し、検出されたより重要な脅威をフィルター処理するには、分析ルールを継続的に管理する必要があります。 これにより、ルールが潜在的なセキュリティ上の脅威を検出する際に有用かつ効率的であり続けるようにすることができます。
既存のアクティブなルールに対して、次の 4 つのアクションを実行できます。
[編集]
Disable
複製
削除
ルールを編集する
詳細ウィンドウで [編集] を選択すると、既存のルールを変更することができます。 ルールを編集するには、ルールを作成したときと同じページを操作します。 ルールの作成に使用した前の入力は保持されています。 ルールのプロパティを変更して、脅威検出の結果をさらに調整することができます。
行う可能性のある典型的な変更は、既に検出された脅威に自動応答をアタッチすることです。 これを行うには、[自動応答] ページで、脅威が検出された場合に実行する自動化されたアクティビティが定義されている既存のプレイブックのいずれかを選択します。
たとえば、既に解決済みのインシデントが分析ルールによって検出されていて、同様のアクティビティが発生した場合にさらなるアラートを減らしたいことがあります。 自動化されたアクティビティを含むプレイブックをアタッチすることによって、同様のインシデントが検出されたときにインシデントの状態を変更したり、コメントを追加したりできます。
ルールの無効化
ルールのアラートをトリガーする可能性のあるアクティビティを実行しているときに、ルールを無効にすることができます。 ルールを無効にしても構成は保持され、後で再び有効にすることができます。
ルールを複製する
ルールを複製すると、そのルールには元のルールから得られる構成がすべて含まれます。 要件に応じて、その構成をさらに変更できます。 複製したルールの名前を忘れずに変更してください。既定では、複製したルールの名前は元のルールと同じ名前に文字列「Copy」が付いたものになります。
規則の削除
ルールを削除すると、それが Microsoft Azure Sentinel の分析でアクティブなルールのセットから削除される前に、確認を求めるメッセージが表示されます。 たとえば、使用されていないサービスやリソースに関するルールは不要になるため、削除することができます。 ルールは削除すると完全に失われ、元に戻す機能はありません。 そのため、ルールが確実に不要であるとわかるまでの間は、まずは無効にしておくことをお勧めします。