從範本建立排程的分析規則
迄今為止最常見的分析規則類型是排程的規則,它是基於 Kusto 查詢,這些查詢會設定為定期執行並檢查定義的「回溯」期間的未經處理資料。 這些查詢可以在目標數據上執行複雜的統計作業,以事件群組顯示基準和極端值。 如果查詢所擷取的結果數目超過規則中設定的閾值,則規則會產生警示。
Microsoft可讓您透過內容中樞中提供的許多解決方案,提供大量的分析規則範本,並強烈建議您使用它們來建立規則。 排程規則範本中的查詢是由安全性和數據科學專家所撰寫,無論是從Microsoft,還是來自提供範本的解決方案廠商。
本文說明如何使用範本建立排程的分析規則。
重要
Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
檢視現有的分析規則
若要在 Microsoft Sentinel 中檢視已安裝的分析規則,請移至 [分析 ] 頁面。 [規則範本] 索引標籤會顯示所有已安裝的規則範本。 若要尋找更多規則範本,請移至 Microsoft Sentinel 中的內容中樞,以安裝相關的產品解決方案或獨立內容。
從 Microsoft Sentinel 導覽功能表的 [設定] 區段中,選取 [分析]。
在 [ 分析] 畫面上,選取 [ 規則範本] 索引標籤 。
如果您要篩選排程樣本的清單:
選取 [新增篩選],然後從篩選列表中選擇 [規則類型]。
從產生的清單中,選取 [已排程]。 接著選取套用。
從範本建立規則
此程式描述如何從範本建立分析規則。
從 Microsoft Sentinel 導覽功能表的 [設定] 區段中,選取 [分析]。
在 [ 分析] 畫面上,選取 [ 規則範本] 索引標籤 。
選取範本名稱,然後選取 詳細資料窗格中的 [建立規則 ] 按鈕,以根據該範本建立新的使用中規則。
每個範本都有必要資料來源的清單。 當您開啟範本時,會自動檢查資料來源的可用性。 如果未啟用數據源,可能會停用 [ 建立規則 ] 按鈕,或您可能會看到該效果的訊息。
規則建立精靈隨即開啟。 所有詳細數據都會自動填入。
迴圈執行精靈的索引標籤,並盡可能自訂邏輯和其他規則設定,以更符合您的特定需求。
當您到達規則建立精靈的結尾時,Microsoft Sentinel 會建立規則。 新規則會出現在 [作用中 規則] 索引標籤 中。
重複此程式以建立更多規則。 如需如何在規則建立精靈中自定義規則的詳細資訊,請參閱 從頭開始建立自定義分析規則。
提示
請確定您 啟用與連線數據源 相關聯的所有規則,以確保環境的完整安全性涵蓋範圍。 啟用分析規則的最有效率方式,是直接從資料連接器頁面列出任何相關規則。 如需詳細資訊,請參閱連接資料來源。
您也可以透過 API 和 PowerShell 將規則推送至 Microsoft Sentinel,不過這樣做需要額外的努力。
使用 API 或 PowerShell 時,您必須先將規則匯出至 JSON,才能啟用規則。 API 或 PowerShell 在多個 Microsoft Sentinel 執行個體中啟用規則,且每個執行個體中的設定都相同時,可能會很有幫助。
下一步
在本檔中,您已瞭解如何從 sentinel Microsoft 範本建立排程的分析規則。