Udostępnij za pośrednictwem

Monitorowanie i optymalizowanie wykonywania zaplanowanych reguł analizy

  • Artykuł

Aby upewnić się, że wykrywanie zagrożeń w usłudze Microsoft Sentinel zapewnia pełne pokrycie w danym środowisku, skorzystaj z narzędzi do zarządzania wykonywaniem. Te narzędzia składają się ze szczegółowych informacji na temat wykonywania zaplanowanych reguł analizy na podstawie danych dotyczących kondycji i inspekcji usługi Microsoft Sentinel oraz funkcji ręcznego ponownego uruchamiania poprzednich wykonań reguł w określonych oknach czasowych na potrzeby testowania i/lub rozwiązywania problemów.

Ważne

Szczegółowe informacje o regułach analitycznych i ręcznym ponownym uruchomieniu usługi Microsoft Sentinel są obecnie dostępne w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Podsumowanie

Istnieją dwa narzędzia do zarządzania wykonywaniem dla zaplanowanych reguł analizy: wbudowane zaplanowane szczegółowe informacje o regułach i możliwość ponownego uruchamiania zaplanowanych reguł na żądanie.

Na stronie Analiza panel Szczegółowe informacje jest wyświetlany jako inna karta w okienku szczegółów obok karty Informacje. Panel Szczegółowe informacje zawiera informacje o działaniu i wynikach reguły. Na przykład: nieudane wykonania, najważniejsze problemy z kondycją, liczba alertów w czasie i klasyfikacje zamknięcia zdarzeń utworzonych przez regułę. Te szczegółowe informacje pomagają analitykom zabezpieczeń identyfikować potencjalne problemy lub błędy konfiguracji z regułami analizy i umożliwić im odnajdywanie i naprawianie błędów reguł oraz optymalizowanie konfiguracji reguł w celu uzyskania lepszej wydajności i dokładności.

Ponadto na stronie Analiza masz możliwość ponownego uruchamiania reguł analizy na żądanie. Ta funkcja zapewnia elastyczność i kontrolę w weryfikowaniu skuteczności reguł. Może to być przydatne w scenariuszach, takich jak uściślenie reguł, testowanie, walidacja i inne. Elastyczność inicjowania ręcznych ponownych uruchomień może obsługiwać wydajne operacje zabezpieczeń, umożliwić skuteczną reakcję na zdarzenia i zwiększyć ogólne możliwości wykrywania i reagowania systemu.

Przypadki użycia i zalety ponownego uruchamiania reguły

Poniżej przedstawiono niektóre scenariusze, które mogą korzystać z ponownego odtworzenia określonych przebiegów reguł analizy:

Uściślenie i dostrajanie reguł: Reguły analizy mogą wymagać okresowych korekt i dostrajania w oparciu o zmieniający się poziom zagrożeń i zmieniające się potrzeby organizacji. Ręcznie ponownie uruchamiając reguły, analitycy mogą ocenić wpływ modyfikacji reguł i zweryfikować ich skuteczność przed wdrożeniem ich w środowisku produkcyjnym.

Testowanie i walidacja: Podczas wprowadzania nowych reguł analizy, wprowadzania znaczących zmian w istniejących lub opracowywania nowych podręczników zdarzeń niezbędne jest dokładne przetestowanie ich wydajności i dokładności. Ręczne ponowne uruchamianie umożliwia symulowanie różnych scenariuszy, w tym kompleksowego zautomatyzowanego przepływu zdarzeń i weryfikowanie reguł względem spójnego zestawu danych wejściowych. Ten proces gwarantuje, że reguły generują oczekiwane alerty bez generowania nadmiernych wyników fałszywie dodatnich.

Badanie zdarzeń: w przypadku zdarzenia zabezpieczeń lub podejrzanego działania analitycy mogą chcieć wyświetlić dodatkowe szczegóły w wygenerowanych alertach. Mogą to zrobić, aktualizując regułę i ponownie uruchamiając ją w określonych interwałach wykonywania (co do siedmiu dni), aby zebrać dodatkowe informacje i zidentyfikować powiązane zdarzenia. Ręczne ponowne uruchamianie umożliwia analitykom przeprowadzanie szczegółowych badań i pomaga zapewnić kompleksowe pokrycie.

Zgodność i inspekcja: Niektóre wymagania prawne lub zasady wewnętrzne mogą wymagać okresowego ponownego uruchamiania reguł analizy lub na żądanie w celu zademonstrowania ciągłego monitorowania i zgodności. Ręczne ponowne uruchamianie zapewnia możliwość spełnienia takich zobowiązań przez zapewnienie spójnego stosowania reguł i generowania odpowiednich alertów.

Wymagania wstępne

Aby korzystać z narzędzi do zarządzania wykonywaniem, musisz mieć włączoną funkcję kondycji i inspekcji usługi Microsoft Sentinel, a w szczególności monitorowanie kondycji reguł analizy. Dowiedz się, jak włączyć kondycję i inspekcję.

Wyświetlanie szczegółowych informacji o regułach analizy

Aby skorzystać z tych narzędzi, zacznij od zbadania szczegółowych informacji dotyczących danej reguły.

  1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.

  2. Znajdź i wybierz regułę (zaplanowaną lub NRT), której szczegółowe informacje chcesz zobaczyć.

  3. Wybierz kartę Szczegółowe informacje w okienku szczegółów.

    Zrzut ekranu przedstawiający wybieranie reguły analizy.

  4. Po wybraniu karty Szczegółowe informacje zostanie wyświetlony selektor ram czasowych. Wybierz przedział czasu lub pozostaw go jako wartość domyślną z ostatnich 24 godzin.

    Zrzut ekranu przedstawiający selektor ram czasowych na stronie Analiza.

Panel Szczegółowe informacje przedstawia obecnie cztery rodzaje szczegółowych informacji. Po każdym szczegółowych informacjach następuje link Wyświetl wszystkie , który prowadzi do strony Dzienniki i wyświetla zapytanie, które wygenerowało szczegółowe informacje wraz z pełnymi nieprzetworzonymi wynikami. Oto szczegółowe informacje:

  • Nieudane wykonania wyświetla listę nieudanych uruchomień tej reguły w danym przedziale czasu. Po tych szczegółowych informacjach znajduje się również link do panelu Uruchomienia reguły, w którym można wyświetlić listę wszystkich przypadków uruchomienia reguły i można odtworzyć konkretne uruchomienia reguły.

  • Najważniejsze problemy z kondycją zawierają listę najczęstszych problemów z kondycją tej reguły w danym przedziale czasu. Po tych szczegółowych informacjach następuje również link Wyświetl przebiegi , który spowoduje przejście do strony Dzienniki , na której zobaczysz zapytanie dotyczące wszystkich czasów uruchomienia tej reguły.

  • Wykres alertów przedstawia wykres liczby alertów wygenerowanych przez tę regułę w danym przedziale czasu.

  • Klasyfikacja zdarzeń przedstawia podsumowanie klasyfikacji zamkniętych zdarzeń utworzonych przez tę regułę w danym przedziale czasu.

Ponowne uruchamianie reguł analizy

Istnieje kilka scenariuszy, które mogą prowadzić do ponownego uruchomienia reguły.

  • Nie można uruchomić reguły z powodu tymczasowego warunku, który został przywrócony do normalnego lub z powodu błędnej konfiguracji. Po skorygowaniu błędnej konfiguracji lub naprawieniu warunku należy ponownie uruchomić regułę w tym samym przedziale czasu (czyli na tych samych danych), co przebieg, który zakończył się niepowodzeniem, aby wyeliminować luki w zakresie pokrycia.

  • Reguła zakończyła się pomyślnie, ale nie dostarczyła wystarczających informacji w wygenerowanych alertach. W takim przypadku możesz edytować regułę, aby podać więcej informacji, niezależnie od tego, czy zmieniając zapytanie, czy ustawienia wzbogacania. Następnie należy ponownie uruchomić regułę w tym samym przedziale czasu (czyli na tych samych danych), co przebieg, dla którego chcesz uzyskać więcej informacji.

  • Możesz eksperymentować z pisaniem lub edytowaniem reguły i chcesz zobaczyć, jak różne ustawienia wpływają na alerty generowane przez regułę. Dla prawidłowego porównania chcesz ponownie uruchomić regułę w tym samym przedziale czasu.

Oto jak ponownie uruchomić regułę:

  1. Na stronie Analiza wybierz pozycję Uruchomienia reguły (wersja zapoznawcza) na pasku narzędzi u góry. Zostanie otwarty panel Uruchomienia reguły.

    Zrzut ekranu przedstawiający panel uruchamiania reguły dostępu.

    Możesz również przejść do panelu Przebiegi reguł, wybierając pozycję Uruchom ponownie reguły w obszarze Nieudane wykonania wyświetlane na karcie Szczegółowe informacje (zobacz powyżej).

    Zrzut ekranu przedstawiający panel przebiegów reguł.

  2. Wybierz przebiegi reguły, które chcesz odtworzyć, zgodnie z przedziałem czasu, w którym pierwotnie zostały uruchomione, jak pokazano w kolumnie Czas wykonywania. Możesz wybrać więcej niż jedno uruchomienie reguły.

    Zrzut ekranu przedstawiający ponowne uruchamianie przebiegów reguły.

  3. Wybierz pozycję Uruchom ponownie. Zostaną wyświetlone powiadomienia, które pokazują postęp żądań i że reguły zostały w kolejce do wykonania.

    Zrzut ekranu przedstawiający powiadomienia dotyczące uruchamiania reguł.

  4. Wybierz pozycję Odśwież , aby wyświetlić zaktualizowany stan przebiegów reguły. Zobaczysz, że twoje żądania są wyświetlane wśród nich ze stanem W toku (w końcu będzie wyświetlany jako Sukces) i typem wyzwalanym przez użytkownika w przeciwieństwie do wyzwalanego przez system.

    Zrzut ekranu przedstawiający postęp ponownego uruchamiania reguły.

    Zauważysz również, że czas wykonywania żądanych ponownych uruchomień jest taki sam jak w przypadku wykonania oryginalnego uruchomienia wyzwalanego przez system, a nie czasu wykonania ponownego uruchomienia. Jest to pokazanie, w którym przedziale czasu ponowne uruchomienie odwołuje się.

    Można odtwarzać tylko uruchomienia reguł wyzwalanych przez system, a nie wyzwalanych przez użytkownika.

Wybierz pozycję Wyświetl pełne szczegóły na końcu wiersza dowolnego przebiegu reguły, aby wyświetlić pełne, nieprzetworzone szczegóły na ekranie Dzienniki .

Następne kroki