Hantera analysregler

Slutförd

Hantera analysregler

Om du vill justera bruset och filtrera ut de viktiga hoten som identifieras, bör du hantera analysreglerna kontinuerligt. Detta säkerställer att dina regler förblir användbara och effektiva när det gäller att identifiera potentiella säkerhetshot.

Du kan vidta följande fyra åtgärder för befintliga aktiva regler:

• Redigera

• Inaktivera

• Duplicera

• Delete

Redigera regler

Du kan ändra befintliga regler genom att välja Redigera i informationsfönstret. Om du vill redigera en regel navigerar du till de sidorna där du skapade regeln. De föregående indata som du använde för att skapa regeln finns sparade där. Du kan ändra alla regelns egenskaper för att finjustera resultatet av hotidentifieringen ytterligare.

En vanlig ändring som du kanske vill implementera är att bifoga ett automatiskt svar till ett redan identifierat hot. För att göra det, väljer du en av de befintliga spelböckerna, som definierar den automatiserade aktivitet som ska köras om hotet identifieras, på sidan Automatiserat svar.

Din analysregel kan till exempel identifiera en incident som redan har lösts och du vill minska ytterligare aviseringar om liknande aktivitet inträffar igen. Genom att bifoga en spelbok som innehåller automatiserad aktivitet, kan du ändra incidentstatusen eller lägga till kommentarer när en liknande incident identifieras.

Inaktivera regler

Du kan inaktivera en regel när du utför en aktivitet som kan utlösa regelaviseringen. Inaktiverade regler behåller sin konfiguration och du kan aktivera dem igen vid ett senare tillfälle.

Duplicera regler

När du duplicerar en regel, innehåller regeln all konfiguration som tillhandahålls från den ursprungliga regeln. Du kan ändra konfigurationen ytterligare utifrån dina krav. Glöm inte att ändra namnet på den duplicerade regeln, eftersom den som standard får samma namn som den ursprungliga regeln med strängen kopia tillagd.

Ta bort regler

Om du tar bort regeln uppmanas du att bekräfta innan Microsoft Sentinel Analytics tar bort den från uppsättningen med aktiva regler. Du kan till exempel ta bort en regel om en tjänst eller en resurs som inte används, vilket undanröjer behovet av regeln. Att ta bort en regel är permanent och det finns ingen ångra-funktion. Därför rekommenderar vi att du först inaktiverar regeln en tid, tills du är säker på att du inte behöver den.

Kontrollera dina kunskaper

1.

På grund av pågående underhållsaktivitet måste du tillfälligt stoppa mottagningen av aviseringar från analysregler. Vilken åtgärd bör du aktivera i regeln för att åstadkomma den konfigurationen?

Delete

Inaktivera

Duplicera

2.

Vilket är det mest effektiva sättet att redigera en befintlig analysregel?

Ta bort och återskapa aviseringen med den nya logiken.

Duplicera regeln och ändra den för att åstadkomma nödvändiga ändringar.

Skapa en ny regel.

Du måste svara på alla frågor innan du kontrollerar ditt arbete.