Delen via

De uitvoering van uw geplande analyseregels bewaken en optimaliseren

  • Artikel

Om ervoor te zorgen dat de detectie van bedreigingen van Microsoft Sentinel volledige dekking biedt in uw omgeving, profiteert u van de hulpprogramma's voor uitvoeringsbeheer. Deze hulpprogramma's bestaan uit inzichten over de uitvoering van uw geplande analyseregels, op basis van de status- en controlegegevens van Microsoft Sentinel, en een faciliteit voor het handmatig opnieuw uitvoeren van eerdere uitvoeringen van regels op specifieke tijdvensters, voor test- en/of probleemoplossingsdoeleinden.

Belangrijk

Inzichten in analyseregels van Microsoft Sentinel en handmatig opnieuw uitvoeren zijn momenteel beschikbaar in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.

Samenvatting

Er zijn twee hulpprogramma's voor uitvoeringsbeheer voor geplande analyseregels: ingebouwde inzichten in geplande regels en de mogelijkheid om geplande regels on-demand opnieuw uit te voeren.

Op de pagina Analyse wordt het deelvenster Inzichten weergegeven als een ander tabblad in het detailvenster, naast het tabblad Info . Het deelvenster Inzichten bevat informatie over de activiteit en resultaten van een regel. Bijvoorbeeld: mislukte uitvoeringen, belangrijkste statusproblemen, het aantal waarschuwingen in de loop van de tijd en het sluiten van classificaties van incidenten die door de regel zijn gemaakt. Deze inzichten helpen uw beveiligingsanalisten potentiële problemen of onjuiste configuraties met analyseregels te identificeren en toe te staan om regelfouten te detecteren en op te lossen en regelconfiguraties te optimaliseren voor betere prestaties en nauwkeurigheid.

Ook op de pagina Analytics kunt u analyseregels op aanvraag opnieuw uitvoeren. Deze mogelijkheid biedt flexibiliteit en controle bij het valideren van de effectiviteit van de regels. Het kan handig zijn in scenario's zoals regelverfijning, testen, validatie en andere. De flexibiliteit om handmatige uitvoeringen te starten kan efficiënte beveiligingsbewerkingen ondersteunen, effectieve reactie op incidenten mogelijk maken en de algehele detectie- en reactiemogelijkheden van het systeem verbeteren.

Use cases and benefits of rule rerun

Hier volgen enkele scenario's die kunnen profiteren van het opnieuw afspelen van specifieke uitvoeringen van analyseregels:

Verfijning en afstemming van regels: analyseregels kunnen periodieke aanpassingen en afstemming vereisen op basis van het veranderende bedreigingslandschap en veranderende organisatiebehoeften. Door regels handmatig opnieuw uit te voeren, kunnen uw analisten de impact van regelwijzigingen beoordelen en hun effectiviteit valideren voordat ze in een productieomgeving worden geïmplementeerd.

Testen en valideren: bij het introduceren van nieuwe analyseregels, het aanbrengen van belangrijke wijzigingen in bestaande regels of het ontwikkelen van nieuwe incidentplaybooks, is het essentieel om hun prestaties en nauwkeurigheid grondig te testen. Met handmatig opnieuw uitvoeren kunt u verschillende scenario's simuleren, waaronder een end-to-end geautomatiseerde incidentstroom, en de regels valideren op basis van een consistente set gegevensinvoer. Dit proces zorgt ervoor dat de regels de verwachte waarschuwingen genereren zonder overmatige fout-positieven te produceren.

Incidentonderzoek: In het geval van een beveiligingsincident of verdachte activiteit willen uw analisten mogelijk aanvullende details weergeven in de waarschuwingen die al zijn gegenereerd. Ze kunnen dit doen door de regel bij te werken en deze opnieuw uit te voeren op specifieke uitvoeringsintervallen (een back-up van zeven dagen) om aanvullende informatie te verzamelen en gerelateerde gebeurtenissen te identificeren. Door handmatig opnieuw uit te voeren, kunnen uw analisten diepgaande onderzoeken uitvoeren en zorgen voor een uitgebreide dekking.

Naleving en controle: Sommige wettelijke vereisten of intern beleid vereisen mogelijk dat analyseregels periodiek of on-demand opnieuw worden uitgevoerd om continue bewaking en naleving te demonstreren. Handmatig opnieuw uitvoeren biedt de mogelijkheid om aan dergelijke verplichtingen te voldoen door ervoor te zorgen dat regels consistent worden toegepast en geschikte waarschuwingen genereren.

Vereisten

Als u de hulpprogramma's voor uitvoeringsbeheer wilt gebruiken, moet de status- en controlefunctie van Microsoft Sentinel zijn ingeschakeld, en met name de statuscontrole van de analyseregel. Meer informatie over het inschakelen van status en controle.

Inzichten in analyseregels weergeven

Als u van deze hulpprogramma's wilt profiteren, begint u met het onderzoeken van de inzichten op een bepaalde regel.

  1. Selecteer Analytics in het navigatiemenu van Microsoft Sentinel.

  2. Zoek en selecteer een regel (Gepland of NRT) waarvan u de inzichten wilt zien.

  3. Selecteer het tabblad Inzichten in het detailvenster.

    Schermopname van het selecteren van een analyseregel.

  4. Wanneer u het tabblad Inzichten selecteert, wordt de tijdskaderkiezer weergegeven. Selecteer een tijdsbestek of laat dit staan als de standaardwaarde van de afgelopen 24 uur.

    Schermopname van de timeframeselector op de pagina Analytics.

In het deelvenster Inzichten worden momenteel vier soorten inzichten weergegeven. Elk inzicht wordt gevolgd door een koppeling Alle weergeven waarmee u naar de pagina Logboeken gaat en de query weergeeft die het inzicht heeft geproduceerd, samen met de volledige onbewerkte resultaten. Dit zijn de inzichten:

  • Mislukte uitvoeringen geven een lijst weer met mislukte uitvoeringen van deze regel in het opgegeven tijdsbestek. Dit inzicht wordt ook gevolgd door een koppeling naar het deelvenster Regeluitvoeringen , waar u een lijst ziet van alle keren dat de regel wordt uitgevoerd en u kunt specifieke uitvoeringen van de regel opnieuw afspelen.

  • De belangrijkste statusproblemen geven een lijst weer van de meest voorkomende statusproblemen voor deze regel gedurende de opgegeven periode. Dit inzicht wordt ook gevolgd door een koppeling voor weergaveuitvoeringen waarmee u naar de pagina Logboeken gaat waar u een query ziet van alle keren dat deze regel is uitgevoerd.

  • In de waarschuwingsgrafiek ziet u een grafiek van het aantal waarschuwingen dat door deze regel in het opgegeven tijdsbestek wordt gegenereerd.

  • Incidentclassificatie toont een samenvatting van de classificatie van gesloten incidenten die tijdens de opgegeven periode door deze regel zijn gemaakt.

Analyseregels opnieuw uitvoeren

Er zijn verschillende scenario's die ertoe kunnen leiden dat u een regel opnieuw uitvoert.

  • Een regel kan niet worden uitgevoerd vanwege een tijdelijke voorwaarde die is teruggezet naar normaal of vanwege een onjuiste configuratie. Nadat u de onjuiste configuratie of het herstellen van de voorwaarde hebt gecorrigeerd, moet u de regel opnieuw uitvoeren in hetzelfde tijdvenster (dat wil weten op dezelfde gegevens) als de uitvoering die is mislukt, om de hiaten in de dekking te beperken.

  • Er is een regel uitgevoerd, maar er is onvoldoende informatie opgegeven in de waarschuwingen die zijn gegenereerd. In dit geval kunt u de regel bewerken om meer informatie te geven, of u nu de query of de verrijkingsinstellingen wijzigt. Vervolgens wilt u de regel opnieuw uitvoeren in hetzelfde tijdvenster (dat wil gezegd, op dezelfde gegevens) als de uitvoering waarvoor u meer informatie wilt.

  • Mogelijk experimenteert u met het schrijven of bewerken van een regel en wilt u zien hoe verschillende instellingen van invloed zijn op de waarschuwingen die de regel genereert. Voor een geldige vergelijking wilt u de regel opnieuw uitvoeren in hetzelfde tijdvenster.

U kunt als volgt een regel opnieuw uitvoeren:

  1. Selecteer op de pagina Analyse regeluitvoeringen (preview) in de werkbalk bovenaan. Het deelvenster Regeluitvoering wordt geopend.

    Schermopname van het uitvoeren van een venster voor het openen van regels.

    U kunt ook naar het deelvenster Regeluitvoeringen gaan door regels opnieuw uit te voeren te selecteren in de weergave Mislukte uitvoeringen op het tabblad Inzichten (zie hierboven).

    Schermopname van het deelvenster regeluitvoeringen.

  2. Selecteer de regeluitvoeringen die u opnieuw wilt afspelen, afhankelijk van het tijdvenster waarin ze oorspronkelijk zijn uitgevoerd, zoals weergegeven in de kolom Uitvoeringstijd . U kunt meer dan één regeluitvoering kiezen.

    Schermopname van het kiezen van regeluitvoeringen die opnieuw moeten worden uitgevoerd.

  3. Selecteer Opnieuw afspelen uitvoeren. Meldingen worden weergegeven met de voortgang van de aanvragen en dat de regels in de wachtrij zijn geplaatst voor uitvoering.

    Schermopname van meldingen over het uitvoeren van regels.

  4. Selecteer Vernieuwen om de bijgewerkte status van de uitvoeringen van de regel weer te geven. U ziet dat uw aanvragen worden weergegeven, met de status Wordt uitgevoerd (dit wordt uiteindelijk weergegeven als Geslaagd) en een type door de gebruiker geactiveerd in plaats van door het systeem geactiveerd.

    Schermopname van de voortgang van het opnieuw uitvoeren van regels.

    U ziet ook dat de uitvoeringstijd van de aangevraagde nieuwe uitvoeringen hetzelfde is als de uitvoering van de oorspronkelijke door het systeem geactiveerde uitvoering, en niet de uitvoeringstijd van uw nieuwe uitvoering. Dit is om aan te geven welk tijdvenster uw nieuwe opdracht verwijst.

    U kunt alleen door het systeem geactiveerde regeluitvoeringen opnieuw afspelen, niet door de gebruiker geactiveerde regels.

Selecteer Volledige details weergeven aan het einde van de regel van een regeluitvoering om de volledige, onbewerkte details in het scherm Logboeken weer te geven.

Volgende stappen