你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

监视并优化计划分析规则的执行

为了确保 Microsoft Sentinel 的威胁检测覆盖你的环境的各个方面，请利用其执行管理工具。 这些工具包括基于 Microsoft Sentinel 运行状况和审核数据的计划分析规则执行见解，还包括一个工具，用于在特定时间范围手动地重新运行之前执行的规则来进行测试和/或故障排除。

重要

Microsoft Sentinel 的分析规则见解和手动重新运行功能目前为预览版。 请参阅 Microsoft Azure 预览版的补充使用条款，了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

总结

计划分析规则有两种执行管理工具：内置的计划规则见解和按需重新运行计划规则的功能。

在“分析”页上，“见解”面板在详细信息窗格中显示为另一个选项卡，旁边是“信息”选项卡。“见解”面板提供规则活动和结果的相关信息。 例如：失败的执行、最常见的运行状况问题、一段时间内的警报计数以及规则创建的事件的关闭分类。 这些见解可帮助安全分析师识别分析规则的潜在问题或错误配置，让他们能够发现和修复规则故障，并优化规则配置，以提高性能和准确性。

此外，还可根据需要在“分析”页上重新运行分析规则。 有了此功能，你在验证规则的有效性时拥有灵活性和掌控力。 它在规则优化、测试、验证等场景中很有用。 在启动手动重新运行方面具有灵活性可支持高效的安全操作、实现有效的事件响应，并增强系统的整体检测和响应功能。

重新运行规则的用例和优势

下面是可从重播分析规则的特定运行中获益的一些场景：

规则细化和优化：分析规则可能需要根据不断变化的威胁形势和组织需求定期进行调整和微调。 通过手动重新运行规则，分析师可以评估规则修改的影响，并在将规则修改部署到生产环境之前验证其有效性。

测试和验证：引入新的分析规则、对现有规则进行重大更改或开发新的事件 playbook 时，必须全面测试这些内容的性能和准确性。 通过手动重新运行，可以模拟不同的场景（包括端到端的自动化事件流），并针对一组一致的数据输入验证规则。 此过程可确保规则生成预期的警报，而不会产生过多的误报。

事件调查：如果发生安全事件或可疑活动，分析师可能需要在已生成的警报中找到其他详细信息。 为此，他们可更新规则并按特定的执行间隔（最多 7 天）重新运行规则，以收集其他信息并识别相关事件。 通过手动重新运行，分析师可以执行深入调查，并帮助确保全面覆盖。

合规性和审核：某些法规要求或内部策略可能要求定期或按需重新运行分析规则，以证明持续监视和合规性。 手动重新运行可确保一致地应用规则并生成适当的警报，使你能够履行此类义务。

先决条件

若要使用执行管理工具，必须启用 Microsoft Sentinel 的运行状况和审核功能，特别是分析规则运行状况监视。 了解如何启用运行状况和审核。

查看分析规则见解

若要利用这些工具，请首先检查有关给定规则的见解。

1. 从 Microsoft Sentinel 导航菜单中，选择“分析”。

2. 找到要查看其见解的规则（计划规则或 NRT 规则）并将其选中。

3. 选择详细信息窗格中的“见解”选项卡。

   

4. 选择“见解”选项卡后，将显示时间范围选择器。 选择一个时间范围，或将其保留为默认值（即，过去 24 小时）。

   

“见解”面板当前显示 4 种见解。 每个见解后跟一个“全部查看”链接，该链接将转到“日志”页，并显示生成见解的查询以及完整的原始结果。 见解如下所示：

• “失败的执行”显示此规则在给定时间范围内失败运行的列表。 此见解后面还有一个指向“规则运行”面板的链接，可在该面板中查看运行规则的所有时间的列表，并且你可重播规则的特定运行。

• “最常见的运行状况问题”显示此规则在给定时间范围内最常见的运行状况问题列表。 此见解后面还有一个“查看运行”链接，该链接将转到“日志”页，上面显示运行此规则的所有时间的查询。

• “警报图”显示此规则在给定时间范围内生成的警报数的图表。

• “事件分类”显示此规则在给定时间范围内创建的已关闭事件的分类摘要。

重新运行分析规则

有很多场景可能会导致你重新运行规则。

• 由于已恢复正常的某个临时条件，或者由于错误配置，规则未能运行。 更正错误配置或修复条件后，需要在运行失败的同一时间范围重新运行规则（即，在同一数据上重新运行），以缓解覆盖范围方面的差距。

• 规则成功运行，但未在生成的警报中提供足够的信息。 在这种情况下，你可能需要通过更改查询或扩充设置，编辑规则来提供更多信息。 然后，你需要在想要其更多信息的运行所在的同一时间范围（即，在同一数据上）重新运行规则。

• 你可能正在尝试编写或编辑规则，并且想要了解不同的设置如何影响该规则生成的警报。 为了进行有效的比较，需要在同一时间范围重新运行规则。

下面介绍如何重新运行规则：

1. 在“分析”页中，从顶部工具栏中选择“规则运行(预览版)”。 这会打开“规则运行”面板。

   

   还可以从“见解”选项卡上的“失败的执行”中选择“重新运行规则”来访问“规则运行”面板（见上文）。

   

2. 根据规则最初运行的时间范围选择要重播的规则运行，如“执行时间”列中所示。 可以选择多个规则运行。

   

3. 选择“重播运行”。 这将显示通知，其中显示请求的进度并指出规则已排队等待执行。

   

4. 选择“刷新”以查看更新后的规则运行状态。 你会看到其中显示了你的请求，状态为“正在进行”（最终显示为“成功”），而类型为“用户触发”而非“系统触发”。

   

   你还会注意到，所请求的重新运行的执行时间与系统触发的原始运行的执行时间相同，而不是与重新运行的执行时间相同。 这是为了显示重新运行引用的时间范围。

   只能重播系统触发的规则运行，不能重播用户触发的规则运行。

选择任何规则运行所在行末尾的“查看完整详细信息”，在“日志”屏幕中查看其完整原始详细信息。

后续步骤

• 监视分析规则的运行状况并审核其完整性。
• 了解 Microsoft Sentinel 中的审核和运行状况监视。
• 在 Microsoft Sentinel 中启用审核和运行状况监视。
• 请参阅有关 SentinelHealth 和 SentinelAudit 表架构的更多信息。