管理分析規則

已完成

管理分析規則

若要調整雜訊並從偵測到的項目中篩選出更重要的威脅，您應該持續管理分析規則。 如此可協助確保您的規則在偵測潛在安全性威脅時會保持有用且有效率。

您可以對現有作用中的規則執行下列四個動作：

• 編輯

• 停用

• 複製

• 刪除

編輯規則

您可以選取詳細資料窗格中的 [編輯] 來修改現有規則。 若要編輯規則，您會瀏覽與建立規則時相同的頁面。 系統會保留您先前用來建立規則的輸入。 您可以變更規則的任何屬性，以進一步調整威脅偵測的結果。

建議您實作的常見修改，是將自動化回應連結到已偵測到的威脅。 若要這麼做，在 [自動化回應] 頁面上，您可以選取其中一個現有劇本，其會定義將在偵測到威脅時執行的自動化的活動。

例如，您的分析規則可能是偵測已經解決的事件，而且您想要在類似活動發生時減少進一步的警示。 透過連結包含自動化的活動的劇本，您可以在偵測到類似事件時變更事件狀態或新增註解。

停用規則

您可以在執行可能會觸發規則警示的活動時停用規則。 停用的規則保留其設定，稍後可以重新啟用。

複製規則

當您複製規則時，該規則會包含從原始規則提供的所有設定。 您可以根據自己的需求進一步修改設定。 請不要忘記變更複製之規則的名稱，因為複製之規則預設會有與原始規則相同的名稱，同時附加上複本字串。

刪除規則

刪除規則時，在 Microsoft Sentinel Analytics 從作用中規則集移除此規則之前會提示您確認。 例如，您可以刪除關於未使用之服務或資源的規則，因為其已無必要性。 刪除規則是永久性的，且沒有復原功能。 因此，建議您先停用該規則一段時間，直到您確定自己已不再需要為止。

檢定您的知識

1.

基於持續的維護活動，您必須暫時停止從分析規則接收警示。 您應該在規則上啟用哪一個動作來達成該設定？

刪除

停用

複製

2.

編輯現有分析規則最有效率的方式為何？

刪除並使用新邏輯重新建立警示。

重複規則並修改以達成必要變更。

建立新的規則。

您必須先回答所有問題，才能檢查進度。