Vytváření naplánovaných analytických pravidel ze šablon
Zdaleka nejběžnější typ analytického pravidla jsou naplánovaná pravidla založená na dotazech Kusto, které jsou nakonfigurované tak, aby běžely v pravidelných intervalech, a kontrolují nezpracovaná data z definovaného období zpětného vyhledávání. Tyto dotazy můžou provádět složité statistické operace s jejich cílovými daty a odhalit směrné plány a odlehlé hodnoty ve skupinách událostí. Pokud počet výsledků zachycených dotazem překročí prahovou hodnotu nakonfigurovanou v pravidle, pravidlo vytvoří výstrahu.
Microsoft vám zpřístupňuje širokou škálu šablon analytických pravidel prostřednictvím mnoha řešení poskytovaných v centru obsahu a důrazně vás vyzývá, abyste je mohli použít k vytváření pravidel. Dotazy v naplánovaných šablonách pravidel jsou napsané odborníky na zabezpečení a datové vědy, ať už od Microsoftu, nebo od dodavatele řešení poskytujícího šablonu.
V tomto článku se dozvíte, jak vytvořit naplánované analytické pravidlo pomocí šablony.
Důležité
Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Zobrazení existujících analytických pravidel
Pokud chcete zobrazit nainstalovaná analytická pravidla v Microsoft Sentinelu, přejděte na stránku Analýza . Na kartě Šablony pravidel se zobrazí všechny nainstalované šablony pravidel. Pokud chcete najít další šablony pravidel, přejděte do centra obsahu v Microsoft Sentinelu a nainstalujte související produktová řešení nebo samostatný obsah.
V části Konfigurace navigační nabídky Microsoft Sentinelu vyberte Analýza.
Na obrazovce Analýza vyberte kartu Šablony pravidel.
Pokud chcete vyfiltrovat seznam pro naplánované šablony:
V seznamu filtrů vyberte Přidat filtr a zvolte Typ pravidla.
Ve výsledném seznamu vyberte Scheduled (Naplánovano). Potom vyberte Použít.
Vytvoření pravidla ze šablony
Tento postup popisuje, jak vytvořit analytické pravidlo ze šablony.
V části Konfigurace navigační nabídky Microsoft Sentinelu vyberte Analýza.
Na obrazovce Analýza vyberte kartu Šablony pravidel.
Vyberte název šablony a pak v podokně podrobností vyberte tlačítko Vytvořit pravidlo a vytvořte nové aktivní pravidlo založené na této šabloně.
Každá šablona obsahuje seznam požadovaných zdrojů dat. Při otevření šablony se zdroje dat automaticky kontrolují pro dostupnost. Pokud zdroj dat není povolený, tlačítko Vytvořit pravidlo může být zakázané nebo se může zobrazit zpráva s tímto účinkem.
Otevře se průvodce vytvořením pravidla. Všechny podrobnosti se automaticky vyplňují.
Projděte si karty průvodce a upravte logiku a další nastavení pravidel, kde je to možné, aby lépe vyhovovalo vašim konkrétním potřebám.
Když se dostanete na konec průvodce vytvořením pravidla, Microsoft Sentinel pravidlo vytvoří. Nové pravidlo se zobrazí na kartě Aktivní pravidla .
Opakujte proces a vytvořte další pravidla. Další podrobnosti o tom, jak přizpůsobit pravidla v průvodci vytvořením pravidla, najdete v tématu Vytvoření vlastního analytického pravidla od začátku.
Tip
Ujistěte se, že povolíte všechna pravidla přidružená k připojeným zdrojům dat, abyste zajistili úplné pokrytí zabezpečení pro vaše prostředí. Nejúčinnější způsob, jak povolit analytická pravidla, je přímo ze stránky datového konektoru, která uvádí všechna související pravidla. Další informace najdete v tématu Připojení zdrojů dat.
Pravidla můžete také odesílat do Microsoft Sentinelu prostřednictvím rozhraní API a PowerShellu, i když to vyžaduje další úsilí.
Při použití rozhraní API nebo PowerShellu musíte před povolením pravidel nejprve exportovat pravidla do formátu JSON. Rozhraní API nebo PowerShell může být užitečné při povolování pravidel v několika instancích Služby Microsoft Sentinel se stejnými nastaveními v každé instanci.
Další kroky
V tomto dokumentu jste se naučili vytvářet naplánovaná analytická pravidla ze šablon v Microsoft Sentinelu.
- Přečtěte si další informace o analytických pravidlech.
- Zjistěte, jak vytvořit analytické pravidlo od začátku.