Управление правилами аналитики

Завершено

Управление правилами аналитики

Чтобы минимизировать шум и фильтровать обнаруженные важные угрозы, следует управлять правилами аналитики на постоянной основе. Это помогает гарантировать, что правила остаются полезными и эффективными при обнаружении потенциальных угроз безопасности.

Для существующих активных правил можно выполнить следующие четыре действия:

• Изменить

• Отключить

• Дубликат

• Удаление

Изменение правил

Существующие правила можно изменить, щелкнув Изменить в области сведений. Чтобы изменить правило, перейдите на страницы, используемые при создании правила. Предыдущие входные данные, используемые для создания правила, сохраняются. Вы можете изменить любые свойства правила, чтобы дополнительно настроить результат обнаружения угроз.

Типичным изменением, которое может потребоваться реализовать, является подключение автоматического ответа к уже обнаруженной угрозе. Для этого на странице Автоматический ответ можно выбрать один из существующих сборник схем, определяющий автоматическое действие, которое будет выполняться при обнаружении угрозы.

Например, правило аналитики может обнаружить инцидент, который уже был разрешен, и вы хотите сократить число дополнительных оповещений при возникновении аналогичного действия. Подключив сборник схем, содержащий автоматическое действие, можно изменить состояние инцидента или добавить комментарии при обнаружении аналогичного инцидента.

Отключение правил

Вы можете отключить правило при выполнении действия, которое может активировать оповещение правила. Отключенные правила сохраняют свою конфигурацию, и их можно включить снова позже.

Дублирование правил

При дублировании правила вам доступна конфигурация, предоставляемая исходным правилом. Вы можете изменить конфигурацию так, как вам нужно. Не забудьте изменить имя повторяющегося правила, так как по умолчанию повторяющееся правило имеет то же имя, что и исходное правило, но с добавленной строкой Копия.

Удалить правила

При удалении правила появится запрос на подтверждение, прежде чем Аналитика Microsoft Sentinel удалит его из набора активных правил. Например, можно удалить правило для службы или ресурса, которые не используются, что устраняет необходимость в правиле. Удаление правила является постоянным и не существует функции отмены. Поэтому мы рекомендуем сначала отключить правило на определенный период времени, пока вы не будете уверены, что оно вам не потребуется.

Проверьте свои знания

1.

Из-за текущего действия по обслуживанию вам нужно временно остановить получение предупреждений из правил аналитики. Какое действие следует включить в правиле для реализации этой конфигурации?

Удаление

Отключить

Дубликат

2.

Каков наиболее эффективный способ изменения существующего правила аналитики?

Удаление и повторное создание оповещения с помощью новой логики.

Создайте дубликат правила и измените его для реализации необходимых изменений.

Создание нового правила.

Вы должны ответить на все вопросы перед проверкой.