Správa verzí šablon pro plánovaná analytická pravidla ve službě Microsoft Sentinel

Důležité

Tato funkce je ve verzi PREVIEW. Další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, preview nebo jinak ještě nejsou obecně dostupné, najdete v doplňkových podmínkách použití pro verze Microsoft Azure Preview .

Úvod

Microsoft Sentinel obsahuje šablony analytických pravidel , které změníte na aktivní pravidla tím, že efektivně vytvoříte jejich kopii – to se stane, když vytvoříte pravidlo ze šablony. V tomto okamžiku však aktivní pravidlo již není připojeno k šabloně. Pokud v šabloně pravidla něco změní technici Microsoftu nebo kdokoli jiný, pravidla vytvořená předem z této šablony se dynamicky neaktualizují tak, aby odpovídala nové šabloně.

Pravidla vytvořená ze šablon si ale pamatují , ze kterých šablon pocházejí, což umožňuje dvě výhody:

• Pokud jste provedli změny pravidla při jeho vytváření ze šablony (nebo kdykoli poté), můžete pravidlo kdykoli vrátit zpět do původní verze (jako kopii šablony).

• Můžete dostávat oznámení o aktualizaci šablony a budete mít možnost aktualizovat pravidla na novou verzi šablon nebo je nechat beze stavu.

V tomto článku se dozvíte, jak tyto úkoly spravovat a na co myslet. Níže popsané postupy platí pro všechna pravidla naplánované analýzy vytvořená ze šablon.

Zjištění čísla verze šablony pravidla

Díky implementaci správy verzí šablon můžete zobrazit a sledovat verze šablon pravidel a pravidla z nich vytvořená. U pravidel, jejichž šablony byly aktualizovány, se vedle názvu pravidla zobrazuje odznak Aktualizace k dispozici.

1. V okně Analýza vyberte kartu Aktivní pravidla .

2. Vyberte libovolné pravidlo typu Naplánované.

   • Pokud pravidlo zobrazí odznak "Aktualizace k dispozici", bude v podokně podrobností vedle tlačítka Upravit tlačítko Zkontrolovat a aktualizovat (viz obrázek 1 v dalším kroku níže).

   • Pokud bylo pravidlo vytvořeno ze šablony, ale nemá odznak "Aktualizace k dispozici", jeho podokno podrobností bude mít vedle tlačítka Upravit tlačítko Porovnat se šablonou (viz obrázky 2 a 3 v dalším kroku níže).

   • Pokud je k dispozici pouze tlačítko Upravit , pravidlo se vytvořilo úplně od začátku, ne ze šablony.

     

3. Posuňte se dolů do dolní části podokna podrobností, kde uvidíte dvě čísla verzí: verzi šablony, ze které bylo pravidlo vytvořeno, a nejnovější dostupnou verzi šablony.

   

   Číslo je ve formátu "1.0.0" – hlavní verze, podverze a sestavení.

   • Rozdíl v čísle hlavní verze značí, že se v šabloně změnilo něco podstatného, co by mohlo ovlivnit způsob, jakým pravidlo detekuje hrozby nebo dokonce jeho schopnost fungovat úplně. Jedná se o změnu, kterou budete chtít zahrnout do pravidel.

   • Rozdíl v čísle podverze značí menší vylepšení šablony – kosmetickou změnu nebo něco podobného – které by bylo hezké mít, ale není důležité pro zachování funkčnosti, účinnosti nebo výkonu pravidla. Jedná se o změnu, kterou můžete stejně snadno přijmout nebo opustit.

   Poznámka

   Výše uvedené obrázky 2 a 3 ukazují dva příklady pravidel vytvořených ze šablon, kde šablona nebyla aktualizována.

   • Obrázek 2 ukazuje pravidlo, které má číslo verze pro aktuální šablonu. To signalizuje, že pravidlo bylo vytvořeno po počáteční implementaci správy verzí šablony službou Microsoft Sentinel v říjnu 2021.
   • Obrázek 3 ukazuje pravidlo, které nemá aktuální verzi šablony. To ukazuje, že pravidlo bylo vytvořeno před říjnem 2021. Pokud je k dispozici nejnovější verze šablony, pravděpodobně se jedná o novější verzi šablony, než je verze použitá k vytvoření pravidla.

Porovnání aktivního pravidla s jeho šablonou

Podle akce, kterou chcete provést, zvolte jednu z následujících karet, abyste viděli pokyny pro danou akci:

Aktualizace šablony

Po výběru pravidla a určení, že chcete zvážit jeho aktualizaci, vyberte v podokně podrobností možnost Zkontrolovat a aktualizovat (viz výše). Uvidíte, že průvodce analytickým pravidlem teď obsahuje kartu Porovnat s nejnovější verzí .

Na této kartě uvidíte souběžné porovnání mezi reprezentacemi YAML existujícího pravidla a nejnovější verzí šablony.

Poznámka

Aktualizace tohoto pravidla přepíše stávající pravidlo nejnovější verzí šablony.

Všechny kroky automatizace nebo logika, které odkazují na existující pravidlo, by se měly ověřit, pokud se odkazované názvy změnily. Všechna přizpůsobení, která jste provedli při vytváření původního pravidla – změny dotazu, plánování, seskupení nebo jiná nastavení – se také můžou přepsat.

Aktualizace pravidla pomocí nové verze šablony

• Pokud jsou pro vás změny provedené v nové verzi šablony přijatelné a nic jiného v původním pravidlu nebylo ovlivněno, vyberte Zkontrolovat a aktualizovat a ověřte a aplikujte změny.

• Pokud chcete pravidlo dále přizpůsobit nebo znovu použít změny, které by jinak mohly být přepsány, vyberte Další: Vlastní změny. Pokud zvolíte tuto možnost, budete cyklicky procházet zbývající karty průvodce pravidly analýzy , abyste tyto změny udělali, a potom ověříte a použijete změny na kartě Revize a aktualizace .

• Pokud nechcete provádět žádné změny existujícího pravidla, ale chcete zachovat stávající verzi šablony, jednoduše průvodce ukončete výběrem symbolu X v pravém horním rohu.

Návrat k šabloně

Po výběru pravidla a určení, že se chcete vrátit k jeho původní verzi, vyberte Porovnat se šablonou v podokně podrobností (viz výše). Uvidíte, že průvodce analytickým pravidlem teď obsahuje kartu Porovnat s nejnovější verzí .

Na této kartě uvidíte souběžné porovnání mezi reprezentacemi YAML existujícího pravidla a nejnovější verzí šablony. Tato dvě čísla verzí můžou být stejná, ale na levé straně se zobrazuje aktivní pravidlo včetně všech změn, které byly provedeny během nebo po jeho vytvoření ze šablony, zatímco na pravé straně se zobrazuje nezměněná šablona.

Poznámka

Aktualizace tohoto pravidla přepíše stávající pravidlo nejnovější verzí šablony. Všechny kroky automatizace nebo logika, které odkazují na existující pravidlo, by se měly ověřit, pokud se odkazované názvy změnily. Všechna přizpůsobení, která jste provedli při vytváření původního pravidla – změny dotazu, plánování, seskupení nebo jiná nastavení – se také můžou přepsat.

Vrácení pravidla na původní verzi šablony

• Pokud se chcete úplně vrátit k původní verzi tohoto pravidla – čistou kopii šablony – vyberte Zkontrolovat a aktualizovat, abyste ověřili a použili změny.

• Pokud chcete pravidlo upravit jinak nebo znovu použít změny, které by jinak mohly být přepsány, vyberte Další: Vlastní změny. Pokud zvolíte tuto možnost, budete cyklicky procházet zbývající karty průvodce pravidly analýzy , abyste tyto změny udělali, a potom ověříte a použijete změny na kartě Revize a aktualizace .

• Pokud nechcete provádět žádné změny existujícího pravidla, jednoduše ukončete průvodce výběrem symbolu X v pravém horním rohu.

Další kroky

V tomto dokumentu jste zjistili, jak sledovat verze šablon analytických pravidel služby Microsoft Sentinel a vrátit aktivní pravidla na stávající verze šablon nebo je aktualizovat na nové. Další informace o službě Microsoft Sentinel najdete v následujících článcích:

• Přečtěte si další informace o analytických pravidlech.
• Další podrobnosti najdete v průvodci analytickým pravidlem.