Управление версиями шаблонов для правил аналитики по расписанию в Microsoft Sentinel

Внимание

Эта функция предоставляется в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Введение

Microsoft Sentinel содержит шаблоны правил аналитики, которые вы превращаете в активные правила, эффективно создавая их копию— это то, что происходит при создании правила из шаблона. Но после этого активное правило больше не связано с шаблоном. Если инженеры Майкрософт или другие пользователи внесут в шаблон правила изменения, все правила, созданные на основе этого шаблона, не будут динамически обновляться в соответствии с новым шаблоном.

Но правила, созданные на основе шаблонов, запоминают, какие шаблоны лежат в их основе, что дает два преимущества:

• Если вы внесли изменения в правило при создании из шаблона или в любое время после этого, вы всегда можете вернуть правило обратно в исходную версию.

• При обновлении шаблона вы получите уведомление. Вы можете обновить правила до новой версии их шаблонов или оставить их как есть.

В этой статье показано, как управлять этими задачами и что следует учитывать. Процедуры, описанные в статье, применяются к любым правилам запланированной аналитики, созданным на основе шаблонов.

Определение номера версии шаблона правила

С помощью реализации системы управления версиями шаблонов можно отслеживать версии шаблонов правил и созданные на их основе правила. Правила с обновленными шаблонами отображают значок "Обновить" рядом с именем правила.

1. На странице "Аналитика" выберите вкладку "Активные правила".

2. Выберите любое правило типа Запланировано.

   • Если правило отображает значок "Обновить", его область сведений будет иметь кнопку "Рецензирование" и "Обновить" рядом с кнопкой "Изменить" (см. изображение 1 на следующем шаге).

   • Если правило было создано из шаблона, но не имеет индикатора "Обновить", его область сведений будет иметь кнопку "Сравнить с шаблоном" рядом с кнопкой "Изменить" (см. изображения 2 и 3 на следующем шаге).

   • Если есть только кнопка "Изменить ", правило было создано с нуля, а не из шаблона.

     

3. Прокрутите вниз до нижней части области сведений, где отображается два номера версий: версия шаблона, из которого было создано правило, и последняя доступная версия шаблона.

   

   Номер находится в формате "1.0.0" — основная версия, дополнительная версия и сборка.

   • Разница в номере основной версии означает, что в шаблон были внесены важные изменения, которые могут повлиять на то, как правило обнаруживает угрозы, или даже его возможность работать. Вы хотите включить это изменение в правила.

   • Разница в дополнительном номере версии указывает на незначительное улучшение шаблона — косметическое изменение или что-то подобное , что было бы "приятно иметь", но не является критически важным для поддержания функциональности правила, эффективности или производительности. Вы можете так же легко принять это изменение или оставить его.

   Примечание.

   На рисунках 2 и 3 показаны два примера правил, созданных из шаблонов, где шаблон не был обновлен.

   • На изображении 2 показано правило с номером версии для текущего шаблона. Это означает, что правило было создано после первоначальной реализации системы управления версиями шаблонов в Microsoft Sentinel в октябре 2021 г.
   • На изображении 3 показано правило, которое не имеет текущей версии шаблона. Это говорит о том, что правило было создано до октября 2021 г. Если доступна последняя версия шаблона, скорее всего, это более новая версия шаблона, чем та, которая использовалась для создания правила.

Сравнение активного правила с его шаблоном

Выберите одну из следующих вкладок в зависимости от нужного действия, чтобы просмотреть инструкции для него:

Шаблон обновления

Выбрав правило и определив, что вы хотите обновить его, выберите "Рецензирование" и "Обновить " на панели сведений (см. ранее). Вы видите, что мастер правил аналитики теперь имеет вкладку "Сравнение" с последней версией .

На этой вкладке отображается параллельное сравнение представлений YAML существующего правила и последней версии шаблона.

Примечание.

Обновление этого правила приведет к перезаписи существующего правила последней версией шаблона.

Любой шаг автоматизации или логика, ссылающаяся на существующее правило, должна быть проверена в случае изменения ссылочных имен. Кроме того, все настройки, внесенные при создании исходного правила, могут быть перезаписаны в запросе, планировании, группировке или других параметрах.

Обновление правила с помощью новой версии шаблона

• Если изменения, внесенные в новую версию шаблона, приемлемы для вас, и ничего другого в исходном правиле не затрагивается, выберите "Проверить и обновить ", чтобы проверить и применить изменения.

• Если вы хотите дополнительно настроить правило или повторно применить любые изменения, которые могут быть перезаписаны, нажмите кнопку Далее : Настраиваемые изменения. Перейдите на остальные вкладки мастера правил Аналитики, чтобы внести эти изменения, а затем проверить и применить изменения на вкладке "Проверка и обновление ".

• Если вы хотите сохранить существующую версию шаблона, а не вносить какие-либо изменения в существующее правило, просто закройте мастер, выбрав значок "X" в правом верхнем углу.

Восстановление до шаблона

Выбрав правило и определив, что вы хотите вернуться к исходной версии, выберите "Сравнить с шаблоном " на панели сведений (см. ранее). Вы видите, что мастер правил аналитики теперь имеет вкладку "Сравнение" с последней версией .

На этой вкладке отображается параллельное сравнение представлений YAML существующего правила и последней версии шаблона. Эти два номера версий могут быть одинаковыми, но в правой части показан исходный, без изменений шаблон, а в левой части отображается активное правило, включая любые изменения исходного шаблона.

Примечание.

Обновление этого правила приведет к перезаписи существующего правила последней версией шаблона.

Любой шаг автоматизации или логика, ссылающаяся на существующее правило, должна быть проверена в случае изменения ссылочных имен. Кроме того, все настройки, внесенные при создании исходного правила, могут быть перезаписаны в запросе, планировании, группировке или других параметрах.

Сброс правила до исходной версии шаблона

• Если вы хотите полностью вернуться к исходной версии этого правила — чистая копия шаблона, выберите "Проверить и обновить ", чтобы проверить и применить изменения.

• Если вы хотите изменить правило по-другому или повторно применить любые изменения, которые могут быть перезаписаны, нажмите кнопку "Далее: Настраиваемые изменения". Перейдите на остальные вкладки мастера правил Аналитики, чтобы внести эти изменения, а затем проверить и применить изменения на вкладке "Проверка и обновление ".

• Если вы не хотите вносить изменения в существующее правило, просто завершите работу мастера, выбрав значок "X" в правом верхнем углу.

Следующие шаги

Из этого документа вы узнали, как отслеживать версии шаблонов правил Microsoft Sentinel Analytics, а также как восстанавливать активные правила до существующих версий шаблонов или обновлять их до новых версий. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:

• См. правила аналитики.
• См. дополнительные сведения о мастере правил аналитики.