Vytváření naplánovaných analytických pravidel ze šablon

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Zdaleka nejběžnější typ analytického pravidla jsou naplánovaná pravidla založená na dotazech Kusto, které jsou nakonfigurované tak, aby běžely v pravidelných intervalech, a kontrolují nezpracovaná data z definovaného období zpětného vyhledávání. Tyto dotazy můžou provádět složité statistické operace s jejich cílovými daty a odhalit směrné plány a odlehlé hodnoty ve skupinách událostí. Pokud počet výsledků zachycených dotazem překročí prahovou hodnotu nakonfigurovanou v pravidle, pravidlo vytvoří výstrahu.

Microsoft vám zpřístupňuje širokou škálu šablon analytických pravidel prostřednictvím mnoha řešení poskytovaných v centru obsahu a důrazně vás vyzývá, abyste je mohli použít k vytváření pravidel. Dotazy v naplánovaných šablonách pravidel jsou napsané odborníky na zabezpečení a datové vědy, ať už od Microsoftu, nebo od dodavatele řešení poskytujícího šablonu.

V tomto článku se dozvíte, jak vytvořit naplánované analytické pravidlo pomocí šablony.

Důležité

Microsoft Sentinel je k dispozici jako součást sjednocené provozní platformy zabezpečení na portálu Microsoft Defender. Microsoft Sentinel na portálu Defender je teď podporovaný pro produkční použití. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Zobrazení existujících analytických pravidel

Pokud chcete zobrazit nainstalovaná analytická pravidla v Microsoft Sentinelu, přejděte na stránku Analýza . Na kartě Šablony pravidel se zobrazí všechny nainstalované šablony pravidel. Pokud chcete najít další šablony pravidel, přejděte do centra obsahu v Microsoft Sentinelu a nainstalujte související produktová řešení nebo samostatný obsah.

Azure Portal

1. V části Konfigurace navigační nabídky Microsoft Sentinelu vyberte Analýza.

2. Na obrazovce Analýza vyberte kartu Šablony pravidel.

3. Pokud chcete vyfiltrovat seznam pro naplánované šablony:

   1. V seznamu filtrů vyberte Přidat filtr a zvolte Typ pravidla.

   2. Ve výsledném seznamu vyberte Scheduled (Naplánovano). Potom vyberte Použít.

   

Portál Defenderu

1. V navigační nabídce v programu Microsoft Defender rozbalte Položku Microsoft Sentinel a pak Konfiguraci. Vyberte Analýza.

2. Na obrazovce Analýza vyberte kartu Šablony pravidel.

3. Pokud chcete vyfiltrovat seznam pro naplánované šablony:

   1. V seznamu filtrů vyberte Přidat filtr a zvolte Typ pravidla.

   2. Ve výsledném seznamu vyberte Scheduled (Naplánovano). Potom vyberte Použít.

   

Vytvoření pravidla ze šablony

Tento postup popisuje, jak vytvořit analytické pravidlo ze šablony.

Azure Portal

V části Konfigurace navigační nabídky Microsoft Sentinelu vyberte Analýza.

Portál Defenderu

V navigační nabídce v programu Microsoft Defender rozbalte Položku Microsoft Sentinel a pak Konfiguraci. Vyberte Analýza.

1. Na obrazovce Analýza vyberte kartu Šablony pravidel.

2. Vyberte název šablony a pak v podokně podrobností vyberte tlačítko Vytvořit pravidlo a vytvořte nové aktivní pravidlo založené na této šabloně.

   Každá šablona obsahuje seznam požadovaných zdrojů dat. Při otevření šablony se zdroje dat automaticky kontrolují pro dostupnost. Pokud zdroj dat není povolený, tlačítko Vytvořit pravidlo může být zakázané nebo se může zobrazit zpráva s tímto účinkem.

   

3. Otevře se průvodce vytvořením pravidla. Všechny podrobnosti se automaticky vyplňují.

4. Projděte si karty průvodce a upravte logiku a další nastavení pravidel, kde je to možné, aby lépe vyhovovalo vašim konkrétním potřebám.

   Když se dostanete na konec průvodce vytvořením pravidla, Microsoft Sentinel pravidlo vytvoří. Nové pravidlo se zobrazí na kartě Aktivní pravidla .

   Opakujte proces a vytvořte další pravidla. Další podrobnosti o tom, jak přizpůsobit pravidla v průvodci vytvořením pravidla, najdete v tématu Vytvoření vlastního analytického pravidla od začátku.

Tip

• Ujistěte se, že povolíte všechna pravidla přidružená k připojeným zdrojům dat, abyste zajistili úplné pokrytí zabezpečení pro vaše prostředí. Nejúčinnější způsob, jak povolit analytická pravidla, je přímo ze stránky datového konektoru, která uvádí všechna související pravidla. Další informace najdete v tématu Připojení zdroje dat.

• Pravidla můžete také odesílat do Microsoft Sentinelu prostřednictvím rozhraní API a PowerShellu, i když to vyžaduje další úsilí.

  Při použití rozhraní API nebo PowerShellu musíte před povolením pravidel nejprve exportovat pravidla do formátu JSON. Rozhraní API nebo PowerShell může být užitečné při povolování pravidel v několika instancích Služby Microsoft Sentinel se stejnými nastaveními v každé instanci.

Další kroky

V tomto dokumentu jste se naučili vytvářet naplánovaná analytická pravidla ze šablon v Microsoft Sentinelu.

• Přečtěte si další informace o analytických pravidlech.
• Zjistěte, jak vytvořit analytické pravidlo od začátku.