Gerir as regras de análise

Concluído

Gerir as regras de análise

Para ajustar o ruído e filtrar as ameaças mais importantes detetadas, deve gerir as regras de análise numa base contínua. Isso ajuda a garantir que suas regras permaneçam úteis e eficientes na deteção de possíveis ameaças à segurança.

Pode executar as quatro ações abaixo nas regras ativas existentes:

• Editar

• Desativar

• Duplicar

• Delete

Editar regras

Pode modificar as regras existentes ao selecionar Editar no painel de detalhes. Para editar uma regra, navegue pelas mesmas páginas tal como fez na criação da regra. As entradas anteriores utilizadas para criar a regra serão preservadas. Pode alterar as propriedades da regra para ajustar ainda mais o resultado da deteção de ameaças.

Uma modificação típica que talvez queira implementar é anexar uma resposta automática a uma ameaça já detetada. Para o fazer, na página Resposta Automática, pode selecionar um dos manuais de procedimentos existentes que definem a atividade automática que será executada se a ameaça for detetada.

Por exemplo, a regra de análise pode estar a detetar um incidente que já foi resolvido e quer reduzir alertas adicionais se ocorrer uma atividade semelhante. Ao anexar um manual de procedimentos que contém a atividade automatizada, pode alterar o estado do incidente ou adicionar comentários quando um incidente semelhante for detetado.

Desativar regras

Você pode desabilitar uma regra quando estiver executando uma atividade que possa disparar o alerta de regra. As regras desativadas mantêm a configuração e poderá ativá-las novamente mais tarde.

Duplicar regras

Quando duplica uma regra, a regra contém toda a configuração disponibilizada na regra original. Pode modificar ainda mais a configuração com base nos seus requisitos. Não se esqueça de alterar o nome da regra duplicada porque, por predefinição, a regra duplicada tem o mesmo nome que a regra original com a cadeia de carateres Cópia anexada à mesma.

Eliminar regras

A exclusão da regra solicita a confirmação antes que o Microsoft Sentinel Analytics a remova do conjunto de regras ativas. Por exemplo, pode eliminar uma regra sobre um serviço ou um recurso que não esteja em utilização, o que elimina a necessidade da regra. A exclusão de uma regra é permanente e não há um recurso de desfazer. Portanto, recomendamos que desative primeiro a regra por um período de tempo até ter certeza de que não precisa dela.

Verifique o seu conhecimento

1.

Devido à atividade de manutenção em curso, tem de deixar de receber alertas de regras de análise temporariamente. Que ação deve ativar na regra para obter tal configuração?

Delete

Desativar

Duplicar

2.

Qual é a forma mais eficiente de editar uma regra de análise existente?

Eliminar e recriar o alerta com a nova lógica.

Duplicar a regra e modificá-la para obter as alterações necessárias.

Criar uma nova regra.

Tem de responder a todas as questões antes de verificar o seu trabalho.