Zarządzanie regułami analizy

Ukończone

Zarządzanie regułami analizy

Aby zmniejszyć ilość niepotrzebnych danych i odfiltrować ważniejsze wykryte zagrożenia, należy regularnie zarządzać regułami analizy. Pomaga to zapewnić, że reguły pozostaną przydatne i wydajne w wykrywaniu potencjalnych zagrożeń bezpieczeństwa.

W obrębie istniejących aktywnych reguł można wykonywać następujące cztery akcje:

• Edytuj

• Wyłącz

• Duplikat

• Delete

Edytowanie reguł

Istniejące reguły można modyfikować, wybierając pozycję Edytuj w okienku szczegółów. Aby edytować regułę, poruszaj się po tych samych stronach, których użyto podczas tworzenia reguły. Poprzednie dane wejściowe, które zostały zastosowane podczas tworzenia reguły, są zachowywane. Możesz zmienić wszystkie właściwości reguły, aby w większym stopniu dopasować wynik wykrywania zagrożeń.

Typową modyfikacją, którą można zaimplementować, jest dołączenie automatycznej odpowiedzi do już wykrytego zagrożenia. W tym celu na stronie Automatyczna odpowiedź j odpowiedzi można wybrać jeden z istniejących podręczników, który definiuje automatyczne działanie do uruchomienia w przypadku wykrycia zagrożenia.

Na przykład reguła analizy może wykryć zdarzenie, które zostało już rozwiązane, a Ty chcesz zmniejszyć liczbę dalszych alertów w przypadku wystąpienia podobnego działania. Dołączając podręcznik zawierający zautomatyzowane działanie, można zmienić stan zdarzenia lub dodać komentarze po wykryciu podobnego zdarzenia.

Wyłączanie reguł

Regułę można wyłączyć podczas wykonywania działania, które może wyzwolić alert reguły. Wyłączone reguły zachowują swoją konfigurację i można je ponownie włączyć w późniejszym czasie.

Duplikowanie reguł

Duplikowana reguła zawiera całą konfigurację udostępnioną na podstawie oryginalnej reguły. Konfigurację można następnie modyfikować zgodnie z wymaganiami. Nie zapomnij zmienić nazwy zduplikowanej reguły, ponieważ domyślnie duplikowana reguła ma taką samą nazwę jak oryginalna reguła z dołączonym ciągiem Copy (Kopia).

Usuwanie reguł

Usunięcie reguły powoduje wyświetlenie monitu o potwierdzenie, zanim usługa Microsoft Sentinel Analytics usunie ją z zestawu aktywnych reguł. Można na przykład usunąć regułę dotyczącą nieużywanej usługi lub zasobu, co eliminuje konieczność stosowania reguły. Usuwanie reguły jest trwałe i nie ma funkcji cofania. W związku z tym zalecamy najpierw wyłączenie reguły na pewien czas, dopóki nie będzie wiedzieć na pewno, że jej nie potrzebujesz.

Sprawdź swoją wiedzę

1.

Ze względu na trwające działania konserwacyjne musisz tymczasowo przerwać otrzymywanie alertów pochodzących z reguł analizy. Którą akcję należy włączyć dla reguły w celu osiągnięcia tej konfiguracji?

Delete

Wyłącz

Duplikat

2.

Jaki jest najbardziej wydajny sposób edytowania istniejącej reguły analizy?

Usunięcie i ponowne utworzenie alertu przy użyciu nowej logiki.

Zduplikowanie reguły i jej zmodyfikowanie w celu zastosowania niezbędnych zmian.

Utworzenie nowej reguły.

Przed sprawdzeniem pracy musisz odpowiedzieć na wszystkie pytania.