Analyseregels beheren

Voltooid

Analyseregels beheren

Als u de mate van ruis wilt aanpassen en op de belangrijkste bedreigingen wilt filteren, moet u de analyseregels voortdurend beheren. Dit helpt ervoor te zorgen dat uw regels nuttig en efficiënt blijven bij het detecteren van mogelijke beveiligingsrisico's.

U kunt de volgende vier acties uitvoeren op bestaande actieve regels:

• Bewerken

• Uitschakelen

• Dupliceren

• Delete

Regels bewerken

U kunt bestaande regels wijzigen door Bewerken te selecteren in het detailvenster. Als u een regel wilt bewerken, gaat u naar dezelfde pagina's waar u was om de regel te maken. De vorige invoer die u hebt gebruikt om de regel te maken, is bewaard. U kunt de eigenschappen van de regel wijzigen om het resultaat van de detectie van bedreigingen verder af te stemmen.

Een veelvoorkomende wijziging die u mogelijk wilt implementeren, is om een automatische reactie te koppelen aan een reeds gedetecteerde bedreiging. Als u dit wilt doen, kunt u op de pagina Automatische reactie een van de bestaande playbooks selecteren die de geautomatiseerde activiteit definieert die wordt uitgevoerd als de dreiging wordt gedetecteerd.

Uw analyseregel kan bijvoorbeeld een incident detecteren dat al is opgelost, en u wilt voorkomen dat er meer van dergelijke waarschuwingen worden gegenereerd als zich een soortgelijke activiteit voordoet. Door hier een playbook met geautomatiseerde activiteit aan te koppelen, kunt u de status van het incident wijzigen of opmerkingen toevoegen wanneer een soortgelijk incident wordt gedetecteerd.

Regels uitschakelen

U kunt een regel uitschakelen wanneer u een activiteit uitvoert waarmee de regelwaarschuwing kan worden geactiveerd. Uitgeschakelde regels behouden hun configuratie, en u kunt ze op een later tijdstip weer inschakelen.

Regels dupliceren

Wanneer u een regel dupliceert, bevat die regel de configuratie van de oorspronkelijke regel. U kunt de configuratie verder aanpassen op basis van uw vereisten. Vergeet niet om de naam van de gedupliceerde regel te wijzigen, omdat de dubbele regel standaard dezelfde naam heeft als de oorspronkelijke regel met daaraan de tekenreeks Kopie toegevoegd.

Regels verwijderen

Als u de regel verwijdert, wordt u om bevestiging gevraagd voordat Microsoft Sentinel Analytics deze verwijdert uit de set actieve regels. U kunt bijvoorbeeld een regel verwijderen die betrekking heeft op een service of een resource die niet meer in gebruik is, waardoor de regel overbodig is. Het verwijderen van een regel is permanent en er is geen functie voor ongedaan maken. Daarom raden we u aan om de regel eerst voor een bepaalde periode uit te schakelen, totdat u zeker weet dat u de regel niet meer nodig hebt.

Kennis testen

1.

Als gevolg van voortdurende onderhoudsactiviteiten moet u de ontvangst van waarschuwingen door analyseregels tijdelijk stoppen. Welke actie moet u op de regel inschakelen om deze configuratie te realiseren?

Delete

Uitschakelen

Dupliceren

2.

Wat is de meest efficiënte manier om een bestaande analyseregel te bewerken?

De waarschuwing verwijderen en deze opnieuw maken met de nieuwe logica.

De regel dupliceren en wijzigen om de benodigde wijzigingen te realiseren.

Een nieuwe regel maken.

U moet alle vragen beantwoorden voordat uw werk kan worden gecontroleerd.