Gerenciar regras de análise

Concluído

Gerenciar regras de análise

Para ajustar o ruído e filtrar as ameaças mais importantes detectadas, gerencie as regras de análise de forma contínua. Isso ajuda a garantir que as regras permaneçam úteis e eficientes na detecção de possíveis ameaças à segurança.

Você pode executar estas quatro ações em regras ativas existentes:

• Editar

• Desabilitar

• Duplicar

• Excluir

Editar regras

Você pode modificar regras existentes selecionando Editar no painel de detalhes. Para editar uma regra, navegue pelas mesmas páginas que acessou na criação da regra. As entradas anteriores que você usou para criar a regra são preservadas. Você pode alterar as propriedades da regra para ajustar ainda mais o resultado da detecção de ameaças.

Uma modificação típica que talvez você queira implementar é anexar uma resposta automatizada a uma ameaça já detectada. Para fazer isso, na página Resposta automatizada, selecione um dos guias estratégicos existentes que definem a atividade automatizada que será executada se a ameaça for detectada.

Por exemplo, é possível que sua regra de análise detecte um incidente que já foi resolvido e você queira reduzir alertas adicionais caso uma atividade semelhante ocorra. Ao anexar um guia estratégico contendo a atividade automatizada, você pode alterar o status do incidente ou adicionar comentários quando um incidente semelhante for detectado.

Desabilitar regras

Você pode desabilitar uma regra ao executar uma atividade que possa disparar o alerta da regra. As regras desabilitadas mantêm a configuração, e você pode habilitá-las novamente mais tarde.

Duplicar regras

Quando você duplica uma regra, ela contém toda a configuração da regra original. Você pode fazer outras modificações na configuração com base em seus requisitos. Lembre-se de alterar o nome da regra duplicada porque, por padrão, ela tem o mesmo nome da regra original com a cadeia de caracteres Cópia anexada a ela.

Excluir regras

A exclusão da regra exibe uma solicitação de confirmação para que a Análise do Microsoft Sentinel a remova do conjunto de regras ativas. Por exemplo, você pode excluir uma regra sobre um serviço ou um recurso que não está em uso, o que elimina a necessidade da regra. A exclusão de uma regra é permanente, e não há um recurso para desfazer a ação. Portanto, recomendamos que você primeiro desabilite a regra por um período até ter certeza de que não precisa dela.

Verificar seu conhecimento

1.

Devido à atividade de manutenção em andamento, você precisa parar de receber alertas de regras analíticas temporariamente. Qual ação você deve habilitar na regra para obter essa configuração?

Excluir

Desabilitar

Duplicar

2.

Qual é a maneira mais eficiente de editar uma regra analítica existente?

Excluir e recriar o alerta com a nova lógica.

Duplicar a regra e modificá-la para obter as alterações necessárias.

Criar uma regra.

É necessário responder a todas as perguntas antes de verificar o trabalho.