Tworzenie zaplanowanych reguł analizy na podstawie szablonów
Zdecydowanie najbardziej typowym typem reguły analizy zaplanowane reguły są oparte na zapytaniach Kusto, które są skonfigurowane do uruchamiania w regularnych odstępach czasu i badają nieprzetworzone dane z zdefiniowanego okresu "lookback". Te zapytania mogą wykonywać złożone operacje statystyczne na danych docelowych, ujawniając punkty odniesienia i wartości odstające w grupach zdarzeń. Jeśli liczba wyników przechwyconych przez zapytanie przekroczy próg skonfigurowany w regule, reguła generuje alert.
Firma Microsoft udostępnia szeroką gamę szablonów reguł analitycznych za pośrednictwem wielu rozwiązań dostępnych w centrum zawartości i zdecydowanie zachęca cię do tworzenia reguł przy użyciu tych szablonów. Zapytania w zaplanowanych szablonach reguł są pisane przez ekspertów ds. zabezpieczeń i nauki o danych od firmy Microsoft lub od dostawcy rozwiązania dostarczającego szablon.
W tym artykule pokazano, jak utworzyć zaplanowaną regułę analizy przy użyciu szablonu.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Wyświetlanie istniejących reguł analizy
Aby wyświetlić zainstalowane reguły analizy w usłudze Microsoft Sentinel, przejdź do strony Analiza . Na karcie Szablony reguł są wyświetlane wszystkie zainstalowane szablony reguł. Aby znaleźć więcej szablonów reguł, przejdź do centrum zawartości w usłudze Microsoft Sentinel, aby zainstalować powiązane rozwiązania produktów lub zawartość autonomiczną.
W sekcji Konfiguracja menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.
Na ekranie Analiza wybierz kartę Szablony reguł.
Jeśli chcesz filtrować listę szablonów zaplanowanych :
Wybierz pozycję Dodaj filtr i wybierz pozycję Typ reguły z listy filtrów.
Z wyświetlonej listy wybierz pozycję Zaplanowane. Następnie wybierz pozycję Zastosuj.
Tworzenie reguły na podstawie szablonu
W tej procedurze opisano sposób tworzenia reguły analizy na podstawie szablonu.
W sekcji Konfiguracja menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.
Na ekranie Analiza wybierz kartę Szablony reguł.
Wybierz nazwę szablonu, a następnie wybierz przycisk Utwórz regułę w okienku szczegółów, aby utworzyć nową aktywną regułę na podstawie tego szablonu.
Każdy szablon zawiera listę wymaganych źródeł danych. Po otwarciu szablonu źródła danych są automatycznie sprawdzane pod kątem dostępności. Jeśli źródło danych nie jest włączone, przycisk Utwórz regułę może być wyłączony lub może zostać wyświetlony komunikat z tym skutkiem.
Zostanie otwarty kreator tworzenia reguły. Wszystkie szczegóły są wypełniane automatycznie.
Przejrzyj karty kreatora, dostosowując logikę i inne ustawienia reguły, jeśli jest to możliwe, aby lepiej dopasować je do konkretnych potrzeb.
Po końcu kreatora tworzenia reguły usługa Microsoft Sentinel tworzy regułę. Nowa reguła zostanie wyświetlona na karcie Aktywne reguły .
Powtórz proces, aby utworzyć więcej reguł. Aby uzyskać więcej informacji na temat dostosowywania reguł w kreatorze tworzenia reguł, zobacz Tworzenie niestandardowej reguły analizy od podstaw.
Napiwek
Upewnij się, że wszystkie reguły skojarzone z połączonymi źródłami danych są włączone, aby zapewnić pełne pokrycie zabezpieczeń dla danego środowiska. Najbardziej efektywnym sposobem włączenia reguł analizy jest bezpośrednio ze strony łącznika danych, która zawiera listę powiązanych reguł. Aby uzyskać więcej informacji, zobacz Łączenie źródeł danych.
Reguły wypychania do usługi Microsoft Sentinel można również wypychać za pośrednictwem interfejsu API i programu PowerShell, chociaż wymaga to dodatkowego nakładu pracy.
W przypadku korzystania z interfejsu API lub programu PowerShell należy najpierw wyeksportować reguły do formatu JSON przed włączeniem reguł. Interfejs API lub program PowerShell może być przydatny podczas włączania reguł w wielu wystąpieniach usługi Microsoft Sentinel z identycznymi ustawieniami w każdym wystąpieniu.
Następne kroki
W tym dokumencie przedstawiono sposób tworzenia zaplanowanych reguł analizy na podstawie szablonów w usłudze Microsoft Sentinel.
- Dowiedz się więcej o regułach analizy.
- Dowiedz się, jak utworzyć regułę analizy od podstaw.