Поделиться через

Мониторинг и оптимизация выполнения запланированных правил аналитики

  • Статья

Чтобы убедиться, что обнаружение угроз Microsoft Sentinel обеспечивает полное покрытие в вашей среде, воспользуйтесь своими средствами управления выполнением. Эти средства состоят из аналитических сведений о выполнении запланированных правил аналитики на основе данных о работоспособности и аудите Microsoft Sentinel, а также средства для повторного выполнения предыдущих выполнений правил в определенных периодах времени, для тестирования и устранения неполадок.

Внимание

Аналитика правил Microsoft Sentinel и повторное выполнение вручную в настоящее время находятся в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Итоги

Существует два средства управления выполнением для запланированных правил аналитики: встроенные аналитические сведения о запланированных правилах и возможность повторного запуска запланированных правил по запросу.

На странице "Аналитика" панель "Аналитика" отображается как другая вкладка в области сведений, а также вкладка "Сведения". На панели "Аналитика" содержатся сведения о действиях и результатах правила. Например: неудачные выполнения, основные проблемы со работоспособностью, количество оповещений со временем и закрытие классификаций инцидентов, созданных правилом. Эти аналитические сведения помогают аналитикам безопасности выявлять потенциальные проблемы или неправильные настройки с помощью правил аналитики, а также обнаруживать и устранять сбои правил и оптимизировать конфигурации правил для повышения производительности и точности.

Кроме того, на странице аналитики вы можете повторно запустить правила аналитики по запросу. Эта возможность обеспечивает гибкость и контроль при проверке эффективности правил. Это может быть полезно в таких сценариях, как уточнение правил, тестирование, проверка и другие. Возможность повторного запуска вручную может поддерживать эффективные операции безопасности, обеспечивать эффективное реагирование на инциденты и улучшать общие возможности обнаружения и реагирования системы.

Варианты использования и преимущества повторного запуска правила

Ниже приведены некоторые сценарии, которые могут воспользоваться повторением определенных запусков правил аналитики:

Уточнение и настройка правил. Для правил аналитики могут потребоваться периодические корректировки и тонкой настройки на основе развивающейся ландшафта угроз и изменения потребностей организации. Повторное выполнение правил вручную позволяет аналитикам оценить влияние изменений правил и проверить их эффективность перед развертыванием в рабочей среде.

Тестирование и проверка. При внедрении новых правил аналитики, внесении значительных изменений в существующие или разработку новых сборников схем инцидентов необходимо тщательно проверить их производительность и точность. Повторное выполнение вручную позволяет имитировать различные сценарии, включая комплексный автоматизированный поток инцидентов, и проверять правила в соответствии с согласованным набором входных данных. Этот процесс гарантирует, что правила создают ожидаемые оповещения без чрезмерного ложноположительных срабатываний.

Расследование инцидентов: в случае инцидента безопасности или подозрительной активности аналитики могут захотеть получить дополнительные сведения в уже созданных оповещениях. Это можно сделать, обновив правило и повторно выполнив его в определенных интервалах выполнения (резервное копирование до семи дней), чтобы собрать дополнительные сведения и определить связанные события. Повторное выполнение вручную позволяет аналитикам выполнять подробные исследования и обеспечивать комплексное покрытие.

Соответствие требованиям и аудит. Некоторые нормативные требования или внутренние политики могут периодически требовать повторного запуска правил аналитики или по запросу, чтобы продемонстрировать непрерывный мониторинг и соответствие требованиям. Повторное выполнение вручную обеспечивает возможность выполнения таких обязательств, обеспечивая согласованное применение правил и создание соответствующих оповещений.

Необходимые компоненты

Чтобы использовать средства управления выполнением, необходимо включить функцию работоспособности и аудита Microsoft Sentinel, а именно мониторинг работоспособности правил аналитики. Узнайте, как включить работоспособности и аудит.

Просмотр аналитических сведений о правилах

Чтобы воспользоваться этими инструментами, начните с изучения аналитических сведений о заданном правиле.

  1. В меню навигации Microsoft Sentinel выберите Аналитика.

  2. Найдите и выберите правило (запланированное или NRT), аналитические сведения о которых вы хотите просмотреть.

  3. Перейдите на вкладку "Аналитика" в области сведений.

    Снимок экрана: выбор правила аналитики.

  4. При выборе вкладки "Аналитика" появится селектор временных кадров. Выберите интервал времени или оставьте его в качестве значения по умолчанию за последние 24 часа.

    Снимок экрана: селектор временных кадров на странице Аналитики.

На панели "Аналитика" в настоящее время показаны четыре типа аналитических сведений. За каждой аналитикой следует ссылка "Просмотреть все ", которая отправляет вас на страницу журналов и отображает запрос, который создал аналитические сведения вместе с полными необработанными результатами. Ниже приведены аналитические сведения:

  • Неудачные выполнения отображают список неудачных запусков этого правила в заданном интервале времени. За этим также следует ссылка на панель выполнения правил, где можно просмотреть список всех случаев запуска правила, и вы можете воспроизвести определенные запуски правила.

  • Основные проблемы со работоспособностью отображают список наиболее распространенных проблем со здоровьем для этого правила в течение заданного интервала времени. Это представление также следует ссылку "Просмотр" , которая отправляет вас на страницу журналов , где будет отображаться запрос всех времен выполнения этого правила.

  • График оповещений показывает диаграмму количества оповещений, созданных этим правилом в заданном интервале времени.

  • Классификация инцидентов содержит сводку по классификации закрытых инцидентов, созданных этим правилом в течение заданного периода времени.

Правила повторного запуска аналитики

Существует несколько сценариев, которые могут привести к повторному выполнению правила.

  • Правило не удалось выполнить из-за временного условия, которое вернулось к нормальному или из-за неправильной настройки. После исправления неправильной настройки или восстановления условия необходимо повторно запустить правило в том же окне времени (то есть на тех же данных), что и выполнение, которое завершилось сбоем, чтобы устранить пробелы в охвате.

  • Правило выполнено успешно, но не предоставило достаточно сведений в созданных оповещениях. В этом случае может потребоваться изменить правило, чтобы предоставить дополнительные сведения, будь то изменение запроса или параметров обогащения. Затем вы хотите повторно запустить правило в том же окне времени (то есть в тех же данных), что и запуск, для которого требуется получить дополнительные сведения.

  • Возможно, вы экспериментируете с записью или редактированием правила и хотите узнать, как различные параметры повлияют на оповещения, которые создаются правилом. Для допустимого сравнения необходимо повторно запустить правило в одном окне времени.

Вот как повторно запустить правило:

  1. На странице "Аналитика" выберите "Правило" (предварительная версия) на панели инструментов в верхней части. Откроется панель запуска правила.

    Снимок экрана: доступ к панели запуска правил.

    Вы также можете добраться до панели запуска правил, выбрав правила повторного запуска на вкладке "Аналитика" (см. выше).

    Снимок экрана: панель выполнения правил.

  2. Выберите правило, которое требуется воспроизвести, в соответствии с периодом времени, в котором они изначально выполнялись, как показано в столбце времени выполнения. Можно выбрать несколько запусков правил.

    Снимок экрана: выбор правила выполняется повторно.

  3. Выберите запуск воспроизведения. Будут отображаться уведомления, показывающие ход выполнения запросов и очередь правил для выполнения.

    Снимок экрана: уведомления о выполнении правил.

  4. Выберите "Обновить" , чтобы просмотреть обновленное состояние выполнения правила. Вы увидите, что ваши запросы отображаются среди них, с состоянием " Выполняется" (в конечном итоге оно будет отображаться как успешное) и тип триггера пользователя в отличие от системного триггера.

    Снимок экрана: ход выполнения повторного выполнения правила.

    Вы также заметите, что время выполнения запрошенного повторного запуска совпадает с выполнением исходного запуска, активируемого системой, а не времени выполнения повторного запуска. Это позволяет показать, какое время повторного запуска ссылается.

    Вы можете выполнять только запуска правила, активированные системой, а не запускаемые пользователем.

Выберите "Просмотреть полные сведения" в конце строки любого правила, чтобы просмотреть полные необработанные сведения на экране журналов .

Следующие шаги