Vytváření naplánovaných analytických pravidel ze šablon

Zdaleka nejběžnější typ analytického pravidla jsou naplánovaná pravidla založená na dotazech Kusto , které jsou nakonfigurované tak, aby běžely v pravidelných intervalech, a kontrolují nezpracovaná data z definovaného období zpětného vyhledávání. Tyto dotazy můžou provádět složité statistické operace s jejich cílovými daty a odhalit směrné plány a odlehlé hodnoty ve skupinách událostí. Pokud počet výsledků zachycených dotazem překročí prahovou hodnotu nakonfigurovanou v pravidle, pravidlo vytvoří výstrahu.

Microsoft vám zpřístupňuje širokou škálu šablon analytických pravidel prostřednictvím mnoha řešení poskytovaných v centru obsahu a důrazně vás vyzývá, abyste je mohli použít k vytváření pravidel. Dotazy v naplánovaných šablonách pravidel jsou napsané odborníky na zabezpečení a datové vědy, ať už od Microsoftu, nebo od dodavatele řešení poskytujícího šablonu.

V tomto článku se dozvíte, jak vytvořit naplánované analytické pravidlo pomocí šablony.

Důležité

Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu, včetně pro zákazníky bez licence Microsoft Defender XDR nebo E5.

Od července 2026 budou všichni zákazníci používající Microsoft Sentinel na webu Azure Portal přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender. Od července 2025 se mnoho nových zákazníků automaticky onboarduje a přesměruje na portál Defender.

Pokud na webu Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender , abyste zajistili hladký přechod a plně využili sjednoceného prostředí operací zabezpečení, které nabízí Microsoft Defender. Další informace najdete v tématu Je čas přesunout: Vyřazování webu Azure Portal od Microsoft Sentinelu pro zajištění vyššího zabezpečení.

Zobrazení existujících analytických pravidel

Pokud chcete zobrazit nainstalovaná analytická pravidla v Microsoft Sentinelu, přejděte na stránku Analýza . Na kartě Šablony pravidel se zobrazí všechny nainstalované šablony pravidel. Pokud chcete najít další šablony pravidel, přejděte do centra obsahu v Microsoft Sentinelu a nainstalujte související produktová řešení nebo samostatný obsah.

Portál Defenderu

1. V navigační nabídce v programu Microsoft Defender rozbalte Položku Microsoft Sentinel a pak Konfiguraci. Vyberte Analýza.

2. Na obrazovce Analýza vyberte kartu Šablony pravidel .

3. Pokud chcete filtrovat seznam naplánovaných šablon:

   1. V seznamu filtrů vyberte Přidat filtr a zvolte Typ pravidla .

   2. Ve výsledném seznamu vyberte Scheduled (Naplánovano). Pak vyberte Použít.

   

Azure Portal

1. V části Konfigurace navigační nabídky Microsoft Sentinelu vyberte Analýza.

2. Na obrazovce Analýza vyberte kartu Šablony pravidel .

3. Pokud chcete filtrovat seznam naplánovaných šablon:

   1. V seznamu filtrů vyberte Přidat filtr a zvolte Typ pravidla .

   2. Ve výsledném seznamu vyberte Scheduled (Naplánovano). Pak vyberte Použít.

   

Vytvoření pravidla ze šablony

Tento postup popisuje, jak vytvořit analytické pravidlo ze šablony.

Portál Defenderu

V navigační nabídce v programu Microsoft Defender rozbalte Položku Microsoft Sentinel a pak Konfiguraci. Vyberte Analýza.

Azure Portal

V části Konfigurace navigační nabídky Microsoft Sentinelu vyberte Analýza.

1. Na obrazovce Analýza vyberte kartu Šablony pravidel .

2. Vyberte název šablony a pak v podokně podrobností vyberte tlačítko Vytvořit pravidlo a vytvořte nové aktivní pravidlo založené na této šabloně.

   Každá šablona obsahuje seznam požadovaných zdrojů dat. Při otevření šablony se zdroje dat automaticky kontrolují pro dostupnost. Pokud zdroj dat není povolený, tlačítko Vytvořit pravidlo může být zakázané nebo se může zobrazit zpráva s tímto účinkem.

   

3. Otevře se průvodce vytvořením pravidla. Všechny podrobnosti se automaticky vyplňují.

4. Projděte si karty průvodce a upravte logiku a další nastavení pravidel, kde je to možné, aby lépe vyhovovalo vašim konkrétním potřebám. Další informace naleznete v tématu:

   • Dotazovací jazyk Kusto v Microsoft Sentinelu
   • Stručná referenční příručka KQL
   • Osvědčené postupy pro dotazy dotazovacího jazyka Kusto

   Když se dostanete na konec průvodce vytvořením pravidla, Microsoft Sentinel pravidlo vytvoří. Nové pravidlo se zobrazí na kartě Aktivní pravidla .

   Opakujte proces a vytvořte další pravidla. Další podrobnosti o tom, jak přizpůsobit pravidla v průvodci vytvořením pravidla, najdete v tématu Vytvoření vlastního analytického pravidla od začátku.

Návod

• Ujistěte se, že povolíte všechna pravidla přidružená k připojeným zdrojům dat , abyste zajistili úplné pokrytí zabezpečení pro vaše prostředí. Nejúčinnější způsob, jak povolit analytická pravidla, je přímo ze stránky datového konektoru, která uvádí všechna související pravidla. Další informace najdete v tématu Připojení zdrojů dat.

• Pravidla můžete také odesílat do Microsoft Sentinelu prostřednictvím rozhraní API a PowerShellu, i když to vyžaduje další úsilí.

  Při použití rozhraní API nebo PowerShellu musíte před povolením pravidel nejprve exportovat pravidla do formátu JSON. Rozhraní API nebo PowerShell může být užitečné při povolování pravidel v několika instancích Služby Microsoft Sentinel se stejnými nastaveními v každé instanci.

Další kroky

V tomto dokumentu jste se naučili vytvářet naplánovaná analytická pravidla ze šablon v Microsoft Sentinelu.

• Přečtěte si další informace o analytických pravidlech.
• Zjistěte, jak vytvořit analytické pravidlo od začátku.