Vytváření pravidel naplánované analýzy ze šablon

Zdaleka nejběžnějším typem analytického pravidla jsou naplánovaná pravidla založená na dotazech Kusto , které jsou nakonfigurované tak, aby se spouštěly v pravidelných intervalech a kontrolovaly nezpracovaná data z definovaného období zpětného vyhledávání. Tyto dotazy můžou se svými cílovými daty provádět složité statistické operace a odhalit základní hodnoty a odlehlé hodnoty ve skupinách událostí. Pokud počet výsledků zachycených dotazem překročí prahovou hodnotu nakonfigurovanou v pravidle, pravidlo vytvoří výstrahu.

Microsoft vám prostřednictvím mnoha řešení poskytovaných v Centru obsahu zpřístupňuje širokou škálu šablon analytických pravidel a důrazně vás doporučuje, abyste je použili k vytváření pravidel. Dotazy v šablonách plánovaných pravidel zapisují odborníci na zabezpečení a datové vědy, ať už z Microsoftu, nebo od dodavatele řešení, které šablonu poskytuje.

V tomto článku se dozvíte, jak vytvořit pravidlo plánované analýzy pomocí šablony.

Důležité

Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.

Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.

Zobrazení existujících analytických pravidel

Pokud chcete zobrazit nainstalovaná analytická pravidla v Microsoft Sentinel, přejděte na stránku Analýza. Na kartě Šablony pravidel se zobrazí všechny nainstalované šablony pravidel. Pokud chcete najít další šablony pravidel, přejděte do centra Obsahu v Microsoft Sentinel a nainstalujte související produktová řešení nebo samostatný obsah.

Portál Defender

1. V navigační nabídce Microsoft Defender rozbalte Microsoft Sentinel a pak na Konfigurace. Vyberte Analýza.

2. Na obrazovce Analýza vyberte kartu Šablony pravidel .

3. Pokud chcete v seznamu filtrovat naplánované šablony:

   1. Vyberte Přidat filtr a v seznamu filtrů zvolte Typ pravidla .

   2. Ve výsledném seznamu vyberte Naplánované. Pak vyberte Použít.

   

Azure Portal

1. V části Konfigurace v navigační nabídce Microsoft Sentinel vyberte Analýza.

2. Na obrazovce Analýza vyberte kartu Šablony pravidel .

3. Pokud chcete v seznamu filtrovat naplánované šablony:

   1. Vyberte Přidat filtr a v seznamu filtrů zvolte Typ pravidla .

   2. Ve výsledném seznamu vyberte Naplánované. Pak vyberte Použít.

   

Vytvoření pravidla ze šablony

Tento postup popisuje, jak vytvořit analytické pravidlo ze šablony.

Portál Defender

V navigační nabídce Microsoft Defender rozbalte Microsoft Sentinel a pak na Konfigurace. Vyberte Analýza.

Azure Portal

V části Konfigurace v navigační nabídce Microsoft Sentinel vyberte Analýza.

1. Na obrazovce Analýza vyberte kartu Šablony pravidel .

2. Vyberte název šablony a pak výběrem tlačítka Vytvořit pravidlo v podokně podrobností vytvořte nové aktivní pravidlo založené na této šabloně.

   Každá šablona obsahuje seznam požadovaných zdrojů dat. Při otevření šablony se automaticky zkontrolují dostupnost zdrojů dat. Pokud zdroj dat není povolený, může být tlačítko Vytvořit pravidlo zakázané nebo se může zobrazit zpráva.

   

3. Otevře se průvodce vytvořením pravidla. Všechny podrobnosti se automaticky vyplňují.

4. Procházejte karty průvodce a upravte logiku a další nastavení pravidel tam, kde je to možné, aby lépe vyhovovaly vašim konkrétním potřebám. Další informace najdete tady:

   • dotazovací jazyk Kusto Microsoft Sentinel
   • Stručná referenční příručka ke KQL
   • Osvědčené postupy pro dotazy dotazovací jazyk Kusto

   Když se dostanete na konec průvodce vytvořením pravidla, Microsoft Sentinel pravidlo vytvoří. Nové pravidlo se zobrazí na kartě Aktivní pravidla .

   Opakováním postupu vytvořte další pravidla. Další podrobnosti o tom, jak přizpůsobit pravidla v průvodci vytvořením pravidla, najdete v tématu Vytvoření vlastního analytického pravidla od začátku.

Tip

• Ujistěte se, že jste povolili všechna pravidla přidružená k připojeným zdrojům dat , abyste zajistili úplné zabezpečení vašeho prostředí. Nejúčinnější způsob, jak povolit analytická pravidla, je přímo na stránce datového konektoru, na které jsou uvedena všechna související pravidla. Další informace najdete v tématu Připojení zdrojů dat.

• Pravidla můžete také odeslat do Microsoft Sentinel prostřednictvím rozhraní API a PowerShellu, i když to vyžaduje další úsilí.

  Pokud používáte rozhraní API nebo PowerShell, musíte před povolením pravidel nejprve exportovat pravidla do formátu JSON. Rozhraní API nebo PowerShell můžou být užitečné při povolování pravidel ve více instancích Microsoft Sentinel se stejným nastavením v každé instanci.

Další kroky

V tomto dokumentu jste zjistili, jak vytvořit pravidla plánované analýzy ze šablon v Microsoft Sentinel.

• Přečtěte si další informace o analytických pravidlech.
• Zjistěte, jak vytvořit analytické pravidlo od začátku.