Hantera mallversioner för dina schemalagda analysregler i Microsoft Sentinel

Viktigt!

Den här funktionen finns i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Introduktion

Microsoft Sentinel innehåller analysregelmallar som du omvandlar till aktiva regler genom att effektivt skapa en kopia av dem – det är vad som händer när du skapar en regel från en mall. Vid den tidpunkten är dock den aktiva regeln inte längre ansluten till mallen. Om ändringar görs i en regelmall, av Microsofts tekniker eller någon annan, uppdateras inte regler som skapats från mallen i förväg dynamiskt för att matcha den nya mallen.

Men regler som skapats från mallar kommer ihåg vilka mallar de kom från, vilket ger dig två fördelar:

• Om du har gjort ändringar i en regel när du skapar den från en mall, eller när som helst efteråt, kan du alltid återställa regeln till den ursprungliga versionen.

• Du får ett meddelande när en mall uppdateras. Du kan antingen uppdatera dina regler till den nya versionen av deras mallar eller lämna dem som de är.

Den här artikeln visar hur du hanterar dessa uppgifter och vad du bör tänka på. De procedurer som beskrivs i artikeln gäller för alla schemalagda analysregler som skapats från mallar.

Identifiera regelns versionsnummer för mallen

Med implementeringen av mallversionskontroll kan du se och spåra versionerna av dina regelmallar och de regler som skapats från dem. Regler med uppdaterade mallar visar märket "Uppdatera" bredvid regelnamnet.

1. På sidan Analys väljer du fliken Aktiva regler .

2. Välj valfri regel av typen Schemalagd.

   • Om regeln visar märket "Uppdatera" kommer dess informationsfönster att ha knappen Granska och uppdatera bredvid knappen Redigera (se bild 1 i nästa steg).

   • Om regeln skapades från en mall men inte har märket "Uppdatera" kommer dess informationsfönster att ha knappen Jämför med mall bredvid knappen Redigera (se bilderna 2 och 3 i nästa steg).

   • Om det bara finns en redigera-knapp skapades regeln från grunden, inte från en mall.

     

3. Rulla ned till slutet av informationsfönstret, där du ser två versionsnummer: versionen av mallen som regeln skapades från och den senaste tillgängliga versionen av mallen.

   

   Talet är i formatet "1.0.0" – huvudversion, delversion och version.

   • En skillnad i huvudversionsnumret indikerar att något väsentligt i mallen har ändrats, vilket kan påverka hur regeln identifierar hot eller till och med dess möjlighet att fungera helt och hållet. Du vill inkludera den här ändringen i dina regler.

   • En skillnad i delversionsnumret indikerar en mindre förbättring av mallen – en kosmetisk ändring eller något liknande – som skulle vara "trevligt att ha" men som inte är avgörande för att upprätthålla regelns funktionalitet, effektivitet eller prestanda. Du kan lika enkelt ta den här ändringen eller lämna den.

   Kommentar

   Avbildningarna 2 och 3 visar två exempel på regler som skapats från mallar, där mallen inte har uppdaterats.

   • Bild 2 visar en regel som har ett versionsnummer för den aktuella mallen. Detta signalerar att regeln skapades efter Microsoft Sentinels första implementering av mallversionskontroll i oktober 2021.
   • Bild 3 visar en regel som inte har någon aktuell mallversion. Detta visar att regeln hade skapats före oktober 2021. Om det finns en tillgänglig senaste mallversion är det troligtvis en nyare version av mallen än den som användes för att skapa regeln.

Jämför din aktiva regel med dess mall

Välj någon av följande flikar enligt den åtgärd som du vill utföra för att se anvisningarna för den åtgärden:

Uppdatera mall

När du har valt en regel och fastställt att du vill överväga att uppdatera den väljer du Granska och uppdatera i informationsfönstret (se tidigare). Du ser att guiden Analysregel nu har fliken Jämför med den senaste versionen.

På den här fliken visas en jämförelse sida vid sida mellan YAML-representationerna av den befintliga regeln och den senaste versionen av mallen.

Kommentar

Om du uppdaterar den här regeln skrivs din befintliga regel över med den senaste versionen av mallen.

Alla automatiseringssteg eller logik som refererar till den befintliga regeln bör verifieras om de refererade namnen ändras. Dessutom kan eventuella anpassningar som du gjorde när du skapade den ursprungliga regeln – ändringar i frågan, schemaläggning, gruppering eller andra inställningar – skrivas över.

Uppdatera regeln med den nya mallversionen

• Om ändringarna i den nya versionen av mallen är acceptabla för dig och inget annat i den ursprungliga regeln påverkas väljer du Granska och uppdatera för att verifiera och tillämpa ändringarna.

• Om du vill anpassa regeln ytterligare eller tillämpa ändringar som annars skulle kunna skrivas över väljer du Nästa: Anpassade ändringar. Bläddra igenom de återstående flikarna i guiden Analysregel för att göra ändringarna och verifiera och tillämpa ändringarna på fliken Granska och uppdatera .

• Om du inte vill göra några ändringar i din befintliga regel, utan i stället för att behålla den befintliga mallversionen, avslutar du guiden genom att välja X i det övre högra hörnet.

Återgå till mall

När du har valt en regel och fastställt att du vill återgå till den ursprungliga versionen väljer du Jämför med mall i informationsfönstret (se tidigare). Du ser att guiden Analysregel nu har fliken Jämför med den senaste versionen.

På den här fliken visas en jämförelse sida vid sida mellan YAML-representationerna av den befintliga regeln och den senaste versionen av mallen. Dessa två versionsnummer kan vara desamma, men på höger sida visas den ursprungliga, oförändrade mallen, och till vänster visas den aktiva regeln, inklusive eventuella ändringar från den ursprungliga mallen.

Kommentar

Om du uppdaterar den här regeln skrivs din befintliga regel över med den senaste versionen av mallen.

Alla automatiseringssteg eller logik som refererar till den befintliga regeln bör verifieras om de refererade namnen ändras. Dessutom kan eventuella anpassningar som du gjorde när du skapade den ursprungliga regeln – ändringar i frågan, schemaläggning, gruppering eller andra inställningar – skrivas över.

Återställ regeln till den ursprungliga mallversionen

• Om du vill återgå helt till den ursprungliga versionen av den här regeln – en ren kopia av mallen – väljer du Granska och uppdatera för att verifiera och tillämpa ändringarna.

• Om du vill anpassa regeln på ett annat sätt eller tillämpa ändringar som annars skulle kunna skrivas över väljer du Nästa: Anpassade ändringar. Bläddra igenom de återstående flikarna i guiden Analysregel för att göra ändringarna och verifiera och tillämpa ändringarna på fliken Granska och uppdatera .

• Om du inte vill göra några ändringar i din befintliga regel avslutar du guiden genom att välja X i det övre högra hörnet.

Nästa steg

I det här dokumentet har du lärt dig hur du spårar versionerna av dina Microsoft Sentinel-analysregelmallar och antingen återställer aktiva regler till befintliga mallversioner eller uppdaterar dem till nya. Mer information om Microsoft Sentinel finns i följande artiklar:

• Läs mer om analysregler.
• Se mer information om guiden för analysregel.