管理分析规则
管理分析规则
若要调整干扰并筛选检测到的更重要的威胁,应定期管理分析规则。 这有助于确保规则在检测潜在安全威胁时保持有效且高效。
可以对现有活动规则执行以下四项操作:
编辑
禁用
复制
删除
编辑规则
可以通过在详细内容窗格中选择“编辑”来修改现有规则。 若要编辑规则,需要导航创建规则时导航的同一页面。 将保留以前用于创建规则的输入。 可以更改规则的任何属性,以便进一步优化威胁检测结果。
你可能想要实现的典型修改是将自动响应附加到已检测到的威胁。 为此,可以在“自动响应”页上,选择一个现有 playbook,其中定义了检测到威胁时将运行的自动完成的活动。
例如,分析规则可能检测到已解决的事件,你希望在发生类似活动时进一步减少警报。 通过附加包含自动完成的活动的 playbook,可以在检测到类似事件时更改事件状态或添加注释。
禁用规则
当执行可触发规则警报的活动时,可以禁用规则。 禁用规则保留其配置,你可以稍后再次启用。
复制规则
复制规则时,规则包含原始规则提供的所有配置。 可以根据需要进一步修改配置。 请不要忘记更改复制规则的名称,因为默认情况下,复制规则的名称与原始规则的名称相同,并且附加了字符串 Copy。
删除规则
删除规则时,会提示你进行确认,然后 Microsoft Sentinel 分析会将其从活动规则集中删除。 例如,可以删除未使用的服务或资源的规则,从而无需执行规则。 删除规则是永久性的,并且不存在撤消功能。 因此,建议先禁用该规则一段时间,直到你确定不需要该规则。