Övervaka och optimera körningen av dina schemalagda analysregler

Artikel
07/16/2024

För att säkerställa att Microsoft Sentinels hotidentifiering ger fullständig täckning i din miljö kan du dra nytta av dess verktyg för körningshantering. Dessa verktyg består av insikter om körningen av dina schemalagda analysregler, baserat på Microsoft Sentinels hälso- och granskningsdata, och en möjlighet att manuellt köra tidigare körningar av regler på specifika tidsfönster för testning och/eller felsökning.

Viktigt!

Microsoft Sentinels analysregelinsikter och manuella omkörningar finns för närvarande i förhandsversion. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Sammanfattning

Det finns två körningshanteringsverktyg för schemalagda analysregler: inbyggda schemalagda regelinsikter och möjligheten att köra schemalagda regler på begäran igen.

På sidan Analys visas panelen Insights som en annan flik i informationsfönstret, tillsammans med fliken Info. Panelen Insikter innehåller information om en regels aktivitet och resultat. Till exempel: misslyckade körningar, de vanligaste hälsoproblemen, antalet aviseringar över tid och stängning av klassificeringar av incidenter som skapats av regeln. Dessa insikter hjälper dina säkerhetsanalytiker att identifiera potentiella problem eller felkonfigurationer med analysregler, och gör det möjligt för dem att identifiera och åtgärda regelfel och optimera regelkonfigurationer för bättre prestanda och noggrannhet.

På sidan Analys kan du även köra analysregler på begäran igen. Den här funktionen ger flexibilitet och kontroll när det gäller att verifiera reglernas effektivitet. Det kan vara användbart i scenarier som regelförfining, testning, validering och andra. Att ha flexibiliteten att initiera manuella omkörningar kan stödja effektiva säkerhetsåtgärder, möjliggöra effektiva incidenthanteringar och förbättra systemets övergripande identifierings- och svarsfunktioner.

Användningsfall och fördelar med regelkörning

Här följer några scenarier som kan dra nytta av att spela upp specifika körningar av analysregler:

Regelförfining och justering: Analysregler kan kräva regelbundna justeringar och finjustering baserat på det föränderliga hotlandskapet och förändrade organisationsbehov. Genom att köra om regler manuellt kan dina analytiker utvärdera effekten av regeländringar och verifiera deras effektivitet innan de distribueras i en produktionsmiljö.

Testning och validering: När du introducerar nya analysregler, gör betydande ändringar i befintliga eller utvecklar nya incidentspelböcker är det viktigt att noggrant testa deras prestanda och noggrannhet. Med manuell omkörning kan du simulera olika scenarier, inklusive automatiserat incidentflöde från slutpunkt till slutpunkt, och verifiera reglerna mot en konsekvent uppsättning dataindata. Den här processen säkerställer att reglerna genererar förväntade aviseringar utan att generera alltför stora falska positiva identifieringar.

Incidentundersökning: I händelse av en säkerhetsincident eller misstänkt aktivitet kanske dina analytiker vill visa ytterligare information i de aviseringar som redan har genererats. De kan göra detta genom att uppdatera regeln och köra den på nytt med specifika körningsintervall (upp till sju dagar) för att samla in ytterligare information och identifiera relaterade händelser. Med manuell omkörning kan dina analytiker utföra djupgående undersökningar och säkerställa omfattande täckning.

Efterlevnad och granskning: Vissa regelkrav eller interna principer kan kräva att analysregler körs på nytt regelbundet eller på begäran för att visa kontinuerlig övervakning och efterlevnad. Manuell omkörning ger möjlighet att uppfylla sådana skyldigheter genom att se till att reglerna tillämpas konsekvent och generera lämpliga aviseringar.

Förutsättningar

Om du vill använda verktygen för körningshantering måste du ha Microsoft Sentinels hälso- och granskningsfunktion aktiverad, och särskilt hälsoövervakning av analysregeln. Lär dig hur du aktiverar hälsa och granskning.

Visa insikter om analysregler

Om du vill dra nytta av dessa verktyg börjar du med att undersöka insikterna om en viss regel.

På Microsoft Sentinel-navigeringsmenyn väljer du Analys.
Hitta och välj en regel (schemalagd eller NRT) vars insikter du vill se.
Välj fliken Insikter i informationsfönstret .
När du väljer fliken Insikter visas tidsramsväljaren . Välj en tidsram eller lämna den som standard för de senaste 24 timmarna.

Panelen Insikter visar för närvarande fyra typer av insikter. Varje insikt följs av länken Visa alla som tar dig till sidan Loggar och visar frågan som skapade insikten tillsammans med de fullständiga råresultaten. Här är insikterna:

Misslyckade körningar visar en lista över misslyckade körningar av den här regeln inom den angivna tidsramen. Den här insikten följs också av en länk till panelen Regelkörningar , där du kan se en lista över alla gånger regeln har körts och du kan spela upp specifika körningar av regeln igen.
De vanligaste hälsoproblemen visar en lista över de vanligaste hälsoproblemen för den här regeln under den angivna tidsramen. Den här insikten följs också av en länk för visningskörningar som tar dig till sidan Loggar där du ser en fråga för alla gånger som regeln har körts.
Aviseringsdiagrammet visar ett diagram över antalet aviseringar som genereras av den här regeln inom den angivna tidsramen.
Incidentklassificering visar en sammanfattning av klassificeringen av stängda incidenter som skapats av den här regeln under den angivna tidsramen.

Kör analysregler igen

Det finns flera scenarier som kan leda till att du kör en regel igen.

En regel kunde inte köras på grund av ett tillfälligt villkor som återställdes till det normala eller på grund av en felkonfiguration. När du har korrigerat felkonfigurationen eller reparerat villkoret vill du sedan köra regeln igen i samma tidsfönster (dvs. på samma data) som körningen som misslyckades, för att minska luckor i täckningen.
En regel lyckades köras, men gav inte tillräckligt med information i de aviseringar som genererades. I det här fallet kanske du vill redigera regeln för att ge mer information, antingen genom att ändra frågan eller berikningsinställningarna. Du vill sedan köra regeln igen i samma tidsfönster (dvs. på samma data) som den körning som du vill ha mer information om.
Du kanske experimenterar med att skriva eller redigera en regel och vill se hur olika inställningar skulle påverka de aviseringar som regeln genererar. För en giltig jämförelse vill du köra regeln igen i samma tidsfönster.

Så här kör du en regel igen:

På sidan Analys väljer du Regelkörningar (förhandsversion) i verktygsfältet längst upp. Panelen Regelkörningar öppnas.

Du kan också komma till panelen Regelkörningar genom att välja Kör regler igen från skärmen Misslyckade körningar på fliken Insikter (se ovan).
Välj de regelkörningar som du vill spela upp, enligt tidsfönstret där de ursprungligen kördes , enligt kolumnen Körningstid . Du kan välja fler än en regelkörning.
Välj Spela upp körning. Meddelanden visas som visar förloppet för begäranden och att reglerna har placerats i kö för körning.
Välj Uppdatera för att visa den uppdaterade statusen för regelns körningar. Du ser att dina begäranden visas bland dem, med statusen Pågår (visas så småningom som Lyckad) och en typ av användarutlöst i stället för Systemutlöst.

Du kommer också att märka att körningstiden för dina begärda omkörningar är densamma som körningen av den ursprungliga systemutlösta körningen och inte körningstiden för din omkörning. Det här är för att visa vilket tidsfönster som din omkörning refererar till.

Du kan bara spela upp systemutlösta regelkörningar, inte användarutlösta.