Vytváření vlastních analytických pravidel pro detekci hrozeb

  • Článek
  • 16 min ke čtení

Po připojení zdrojů dat ke službě Microsoft Sentinel vytvořte vlastní analytická pravidla, která vám pomůžou odhalit hrozby a neobvyklé chování ve vašem prostředí.

Analytická pravidla vyhledávají konkrétní události nebo sady událostí ve vašem prostředí, upozorňují vás při dosažení určitých prahových hodnot událostí nebo podmínek, generují incidenty, aby služba SOC šetřila posouzení a prošetřovala je a reagovala na hrozby pomocí automatizovaných procesů sledování a nápravy.

Tip

Při vytváření vlastních pravidel používejte existující pravidla jako šablony nebo odkazy. Použití existujících pravidel jako směrného plánu pomáhá tím, že před provedením potřebných změn sestavíte většinu logiky.

  • Vytvoření analytických pravidel
  • Definování způsobu zpracování událostí a upozornění
  • Definování způsobu generování výstrah a incidentů
  • Volba automatizovaných reakcí na hrozby pro vaše pravidla

Vytvoření vlastního analytického pravidla s naplánovaným dotazem

  1. V navigační nabídce služby Microsoft Sentinel vyberte Analýza.

  2. Na panelu akcí v horní části vyberte + Vytvořit a vyberte Pravidlo naplánovaného dotazu. Otevře se průvodce analytickým pravidlem.

    Vytvoření naplánovaného dotazu

Průvodce analytickým pravidlem – karta Obecné

  • Zadejte jedinečný název a popis.

  • V poli Taktika a techniky si můžete vybrat z kategorií útoků, podle kterých chcete pravidlo klasifikovat. Ty jsou založené na taktice a technikách architektury MITRE ATT&CK .

    Incidenty vytvořené z výstrah, které jsou detekované pravidly namapovanými na taktiky a techniky MITRE ATT&CK, automaticky dědí mapování pravidla.

  • Nastavte závažnost výstrahy podle potřeby.

  • Když vytvoříte pravidlo, jeho Stav je ve výchozím nastavení Povoleno , což znamená, že se spustí okamžitě po jeho vytvoření. Pokud nechcete, aby se spustilo okamžitě, vyberte Zakázáno a pravidlo se přidá na kartu Aktivní pravidla , odkud ho můžete podle potřeby povolit.

    Zahájení vytváření vlastního analytického pravidla

Definování logiky dotazu pravidla a konfigurace nastavení

Na kartě Nastavit logiku pravidla můžete buď napsat dotaz přímo do pole Dotaz pravidla , nebo vytvořit dotaz v Log Analytics a pak ho sem zkopírovat a vložit.

  • Dotazy se zapisují v jazyce KQL (Kusto Query Language). Přečtěte si další informace o konceptech a dotazech KQL a podívejte se na tuto praktickou stručnou referenční příručku.

  • Příklad zobrazený na tomto snímku obrazovky se dotazuje tabulky SecurityEvent na zobrazení typu neúspěšných událostí přihlášení systému Windows.

    Konfigurace logiky a nastavení pravidla dotazu

  • Tady je další ukázkový dotaz, který vás upozorní, když se v aktivitě Azure vytvoří neobvyklý počet prostředků.

    AzureActivity
| where OperationName == "Create or Update Virtual Machine" or OperationName =="Create Deployment"
| where ActivityStatus == "Succeeded"
| make-series dcount(ResourceId)  default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller

    Důležité

    Doporučujeme, aby váš dotaz používal analyzátor ASIM (Advanced Security Information Model), a ne nativní tabulku. Tím se zajistí, že dotaz bude podporovat jakýkoli aktuální nebo budoucí relevantní zdroj dat, nikoli jeden zdroj dat.

    Poznámka

    Osvědčené postupy pro dotazování pravidel:

    • Délka dotazu by měla být mezi 1 a 10 000 znaky a nesmí obsahovat "search *" nebo "union *". K překonání omezení délky dotazu můžete použít uživatelem definované funkce .

    • Použití funkcí ADX k vytváření dotazů Azure Data Explorer v okně dotazu Log Analytics se nepodporuje.

    • Pokud použijete bag_unpack funkci v dotazu a promítnete sloupce jako pole pomocí "project field1" a sloupec neexistuje, dotaz se nezdaří. Pokud chcete před tímto stavem zabránit, musíte sloupec promítat následujícím způsobem:

      • project field1 = column_ifexists("field1","")

Rozšíření výstrahy

  • Pomocí části Konfigurace mapování entit můžete mapovat parametry z výsledků dotazu na entity rozpoznané službou Microsoft Sentinel. Entity obohacují výstup pravidel (výstrahy a incidenty) o základní informace, které slouží jako stavební bloky všech následných vyšetřovacích procesů a nápravných akcí. Jsou to také kritéria, podle kterých můžete na kartě Nastavení incidentu seskupit výstrahy do incidentů.

    Přečtěte si další informace o entitách ve službě Microsoft Sentinel.

    Kompletní pokyny k mapování entit najdete v tématu Mapování datových polí na entity ve službě Microsoft Sentinel spolu s důležitými informacemi o omezeních a zpětné kompatibilitě.

  • Pomocí části Vlastní podrobnosti o konfiguraci můžete z dotazu extrahovat položky dat událostí a zobrazit je ve výstrahách generovaných tímto pravidlem, abyste měli okamžitý přehled o obsahu událostí ve vašich výstrahách a incidentech.

    Přečtěte si další informace o zobrazení vlastních podrobností v upozorněních a projděte si kompletní pokyny.

  • Část Konfigurace podrobnosti výstrahy použijte k přepsání výchozích hodnot vlastností výstrahy podrobnostmi z výsledků podkladového dotazu. Podrobnosti výstrahy umožňují zobrazit například IP adresu útočníka nebo název účtu v názvu samotné výstrahy, aby se zobrazily ve frontě incidentů, takže se zobrazí ve vaší frontě incidentů a získáte mnohem bohatší a jasnější představu o vašem prostředí hrozeb.

    Projděte si úplné pokyny k přizpůsobení podrobností upozornění.

Poznámka

Limit velikosti pro celou výstrahu je 64 kB.

  • Výstrahy, které jsou větší než 64 kB, se zkrátí. Při identifikaci entit se do výstrahy přidávají jednu po druhé, dokud velikost výstrahy nedosáhne 64 kB, a všechny zbývající entity se z výstrahy vyřadí.

  • Další rozšíření výstrah také přispívají k velikosti výstrahy.

  • Pokud chcete zmenšit velikost upozornění, pomocí operátoru project-away v dotazu odeberte všechna nepotřebná pole. (Operátor zvažte také project v případě, že je potřeba zachovat pouze několik polí.)

Plánování dotazů a prahová hodnota upozornění

  • V části Plánování dotazů nastavte následující parametry:

    Nastavení plánu dotazů a seskupení událostí

    • Nastavením možnosti Spustit dotaz každých můžete řídit, jak často se dotaz spouští – tak často jako každých 5 minut nebo jen zřídka, jako jednou za 14 dní.

    • Nastavením vyhledávacích dat od posledního můžete určit časové období dat pokrytých dotazem – může například dotazovat posledních 10 minut dat nebo posledních 6 hodin dat. Maximální hodnota je 14 dnů.

    • Nové nastavení Spustit (ve verzi Preview):

      • Pokud chcete pokračovat v původním chování, nechte ho nastavenou na Automaticky : pravidlo se spustí poprvé hned po vytvoření a potom v intervalu nastaveném v nastavení Spustit dotaz každý .

      • Pokud chcete určit, kdy se pravidlo poprvé spustí, místo okamžitého spuštění přepněte přepínač na V konkrétním čase . Potom pomocí výběru kalendáře zvolte datum a zadejte čas ve formátu zobrazeného příkladu.

        Snímek obrazovky s přepínačem a nastavením rozšířeného plánování

        Budoucí spuštění pravidla proběhne v zadaném intervalu po prvním spuštění.

      Řádek textu pod nastavením Spustit běh (s ikonou informací na levé straně) shrnuje aktuální nastavení plánování dotazů a zpětného vyhledávání.

      Poznámka

      Intervaly dotazů a období zpětného vyhledávání

      Tato dvě nastavení jsou do určité míry nezávislá na sobě. Dotaz můžete spustit v krátkém intervalu pokrývajícím časové období delší než tento interval (ve skutečnosti s překrývajícími se dotazy), ale nemůžete spustit dotaz v intervalu, který překračuje období pokrytí, jinak budete mít mezery v celkovém pokrytí dotazů.

      Zpoždění příjmu dat

      Aby se zohlednila latence , ke které může dojít mezi generováním události ve zdroji a jejím příjmem dat do služby Microsoft Sentinel, a aby se zajistilo úplné pokrytí bez duplikace dat, spouští služba Microsoft Sentinel plánovaná analytická pravidla s pětiminutovým zpožděním od naplánovaného času.

      Další informace najdete v tématu Zpracování zpoždění příjmu dat v pravidlech plánované analýzy.

  • V části Prahová hodnota upozornění můžete definovat úroveň citlivosti pravidla. Například nastavte Generovat upozornění, když počet výsledků dotazuje větší než , a zadejte číslo 1000, pokud chcete, aby pravidlo vygenerovalo výstrahu pouze v případě, že dotaz při každém spuštění vrátí více než 1 000 výsledků. Toto pole je povinné, takže pokud nechcete nastavit prahovou hodnotu – to znamená, že chcete, aby upozornění registruje každou událost – zadejte do pole Číslo hodnotu 0.

Simulace výsledků

V oblasti Simulace výsledků na pravé straně průvodce vyberte Testovat s aktuálními daty a Služba Microsoft Sentinel zobrazí graf výsledků (událostí protokolu), které by dotaz podle aktuálně definovaného plánu vygeneroval za posledních 50krát. Pokud dotaz upravíte, znovu vyberte Testovat s aktuálními daty a aktualizujte graf. Graf zobrazuje počet výsledků za definované časové období, který je určen nastavením v části Plánování dotazů .

Simulace výsledků dotazu na snímku obrazovky výše může vypadat takto. Levá strana je výchozí zobrazení a pravá strana je to, co uvidíte, když najedete myší na bod v čase v grafu.

Snímky obrazovky simulace výsledků

Pokud zjistíte, že dotaz aktivoval příliš mnoho nebo příliš časté výstrahy, můžete experimentovat s nastavením v částech Plánování dotazů a Prahová hodnota upozornění a znovu vybrat Testovat s aktuálními daty.

Seskupování událostí a potlačení pravidel

  • V části Seskupování událostí zvolte jeden ze dvou způsobů, jak se seskupování událostí do výstrah zpracovat:

    • Seskupit všechny události do jednoho upozornění (výchozí nastavení). Pravidlo při každém spuštění vygeneruje jedno upozornění, pokud dotaz vrátí více výsledků, než je zadaná prahová hodnota upozornění uvedená výše. Výstraha obsahuje souhrn všech událostí vrácených ve výsledcích.

    • Aktivovat upozornění pro každou událost: Pravidlo vygeneruje jedinečné upozornění pro každou událost vrácenou dotazem. To je užitečné, pokud chcete, aby se události zobrazovaly jednotlivě nebo pokud je chcete seskupit podle určitých parametrů – podle uživatele, názvu hostitele nebo něčeho jiného. Tyto parametry můžete definovat v dotazu.

      Počet výstrah, které může pravidlo vygenerovat, je v současné době omezený na 150. Pokud je u určitého pravidla seskupování událostí nastavené na Aktivovat upozornění pro každou událost a dotaz pravidla vrátí více než 150 událostí, každá z prvních 149 událostí vygeneruje jedinečné upozornění a 150. upozornění shrne celou sadu vrácených událostí. Jinými slovy, 150. výstraha je to, co by se vygenerovalo v rámci možnosti Seskupování všech událostí do jednoho upozornění .

      Pokud zvolíte tuto možnost, služba Microsoft Sentinel přidá do výsledků dotazu nové pole OriginalQuery. Tady je porovnání existujícího pole dotazu a nového pole:

      Název pole Contains Spuštění dotazu v tomto poli
      výsledky v...
      Dotaz Komprimovaný záznam události, která vygenerovala tuto instanci výstrahy Událost, která vygenerovala tuto instanci výstrahy
      Původní dotaz Původní dotaz napsaný v analytickém pravidle Nejnovější událost v časovém rámci, ve kterém se dotaz spouští, která odpovídá parametrům definovaným dotazem

      Jinými slovy, pole OriginalQuery se chová stejně jako pole Dotazu . Výsledkem tohoto dodatečného pole je, že byl vyřešen problém popsaný první položkou v části Řešení potíží níže.

    Poznámka

    Jaký je rozdíl mezi událostmi a upozorněními?

    • Událost je popis jednoho výskytu akce. Například jedna položka v souboru protokolu se může počítat jako událost. V tomto kontextu událost odkazuje na jeden výsledek vrácený dotazem v analytickém pravidle.

    • Výstraha je kolekce událostí, které jsou dohromady důležité z hlediska zabezpečení. Výstraha může obsahovat jednu událost, pokud by měla významný dopad na zabezpečení – například přihlášení správce z cizí země mimo pracovní dobu.

    • Mimochodem, co jsou incidenty? Interní logika služby Microsoft Sentinel vytváří incidenty z výstrah nebo skupin výstrah. Fronta incidentů je ústředním bodem práce analytiků SOC – třídění, šetření a náprava.

    Microsoft Sentinel ingestuje nezpracované události z některých zdrojů dat a už zpracované výstrahy z jiných. Je důležité si kdykoliv všimnout, se kterým z nich máte co do činění.

  • V části Potlačení můžete zapnout nastavení Zastavit spuštění dotazu po vygenerování výstrahy: Zapnuto, pokud chcete po zobrazení upozornění pozastavit provoz tohoto pravidla na dobu, která překračuje interval dotazu. Pokud tuto možnost zapnete, musíte nastavit možnost Zastavit dotaz pro na dobu, po kterou má dotaz přestat běžet, a to až na 24 hodin.

Konfigurace nastavení vytváření incidentů

Na kartě Nastavení incidentů můžete zvolit, jestli a jak služba Microsoft Sentinel změní výstrahy na incidenty s akcemi. Pokud je tato karta ponechána samostatně, služba Microsoft Sentinel vytvoří jeden samostatný incident z každé výstrahy. Změnou nastavení na této kartě se můžete rozhodnout, že se nebudou vytvářet žádné incidenty, nebo můžete seskupit několik výstrah do jednoho incidentu.

Příklad:

Definování nastavení vytváření incidentů a seskupení upozornění

Nastavení incidentu

V části Nastavení incidentu je možnost Vytvářet incidenty z upozornění aktivovaných tímto analytickým pravidlem nastavená ve výchozím nastavení na Povoleno, což znamená, že Microsoft Sentinel vytvoří jeden samostatný incident z každé výstrahy aktivované tímto pravidlem.

  • Pokud nechcete, aby toto pravidlo vedlo k vytvoření incidentů (například pokud má toto pravidlo jenom shromažďovat informace pro následnou analýzu), nastavte ho na Zakázáno.

  • Pokud chcete vytvořit jeden incident ze skupiny upozornění místo jednoho incidentu pro každou jednotlivou výstrahu, přečtěte si následující část.

Seskupení výstrah

Pokud chcete, aby se v části Seskupení upozornění vygeneroval jeden incident ze skupiny až 150 podobných nebo opakovaných výstrah (viz poznámka), nastavte upozornění související se skupinami aktivovaná tímto analytickým pravidlem na incidenty na Povoleno a nastavte následující parametry.

  • Omezit skupinu na výstrahy vytvořené ve vybraném časovém rámci: Určete časový rámec, ve kterém se podobné nebo opakující se výstrahy seskupí. Všechny odpovídající výstrahy v tomto časovém rámci společně vygenerují incident nebo sadu incidentů (v závislosti na níže uvedeném nastavení seskupení). Výstrahy mimo tento časový rámec vygenerují samostatný incident nebo sadu incidentů.

  • Seskupit upozornění aktivovaná tímto analytickým pravidlem do jednoho incidentu: Zvolte základ, podle kterého se budou výstrahy seskupovat:

    Možnost Popis
    Seskupení upozornění do jednoho incidentu, pokud se všechny entity shodují Výstrahy jsou seskupené, pokud sdílejí stejné hodnoty pro každou z mapovaných entit (definované na kartě Nastavit logiku pravidla výše). Toto je doporučené nastavení.
    Seskupení všech upozornění aktivovaných tímto pravidlem do jednoho incidentu Všechna upozornění vygenerovaná tímto pravidlem jsou seskupené, i když nesdílejí žádné identické hodnoty.
    Seskupení výstrah do jednoho incidentu, pokud se vybrané entity a podrobnosti shodují Výstrahy se seskupí dohromady, pokud sdílejí stejné hodnoty pro všechny namapované entity, podrobnosti výstrah a vlastní podrobnosti vybrané z příslušných rozevíracích seznamů.

    Toto nastavení můžete chtít použít například v případě, že chcete vytvořit samostatné incidenty na základě zdrojové nebo cílové IP adresy, nebo pokud chcete seskupit výstrahy, které odpovídají konkrétní entitě a závažnosti.

    Poznámka: Když vyberete tuto možnost, musíte mít pro pravidlo vybraný alespoň jeden typ entity nebo pole. Jinak se ověření pravidla nezdaří a pravidlo se nevytvořilo.

  • Znovu otevřít uzavřené odpovídající incidenty: Pokud byl incident vyřešen a uzavřen a později se vygeneruje další výstraha, která by měla tomuto incidentu patřit, nastavte toto nastavení na Povoleno , pokud chcete, aby se uzavřený incident znovu otevřel, a pokud chcete, aby výstraha vytvořila nový incident, ponechejte ho na Zakázáno .

    Poznámka

    Do jednoho incidentu je možné seskupit až 150 výstrah.

    • Incident se vytvoří až po vygenerování všech výstrah. Všechny výstrahy se přidají do incidentu ihned po jeho vytvoření.

    • Pokud pravidlo, které je seskupuje do jednoho incidentu, vygeneruje více než 150 výstrah, vygeneruje se nový incident se stejnými podrobnostmi o incidentu jako původní a nadbytečné výstrahy se seskupí do nového incidentu.

Nastavení automatizovaných odpovědí a vytvoření pravidla

Na kartě Automatizované odpovědi můžete pomocí pravidel automatizace nastavit, aby se automatizované odpovědi naskytly při libovolném ze tří typů případů:

  • Když toto analytické pravidlo vygeneruje upozornění.
  • Když se vytvoří incident s upozorněními vygenerovanými tímto analytickým pravidlem.
  • Když se incident aktualizuje upozorněními vygenerovanými tímto analytickým pravidlem.

Mřížka zobrazená v části Pravidla automatizace zobrazuje pravidla automatizace, která se již vztahují na toto analytické pravidlo (na základě toho, že splňují podmínky definované v těchto pravidlech). Kteroukoli z těchto možností můžete upravit tak, že vyberete tři tečky na konci každého řádku. Nebo můžete vytvořit nové pravidlo automatizace.

Pomocí pravidel automatizace můžete provádět základní třídění, přiřazování, pracovní postup a uzavírání incidentů.

Automatizujte složitější úlohy a vyvolejte odpovědi ze vzdálených systémů za účelem nápravy hrozeb voláním playbooků z těchto pravidel automatizace. Můžete to udělat pro incidenty i pro jednotlivá upozornění.

  • Další informace a pokyny k vytváření playbooků a pravidel automatizace najdete v tématu Automatizace reakcí na hrozby.

  • Další informace o tom, kdy použít aktivační událost vytvořenou incidentem, aktualizovanou aktivační událost incidentu nebo aktivační událost vytvořenou výstrahou, najdete v tématu Použití triggerů a akcí v playboocích služby Microsoft Sentinel.

    Definování nastavení automatizovaných odpovědí

  • V části Automatizace upozornění (klasická) v dolní části obrazovky uvidíte všechny playbooky, které jste nakonfigurovali tak, aby se spouštěly automaticky, když se výstraha vygeneruje pomocí staré metody. Pokud některé z těchto pravidel stále máte, měli byste místo toho vytvořit pravidlo automatizace na základě triggeru vytvořeného upozornění a vyvolat playbook odtud.

Vyberte Zkontrolovat a vytvořit a zkontrolujte všechna nastavení nového analytického pravidla. Jakmile se zobrazí zpráva Ověření proběhlo úspěšně, vyberte Vytvořit.

Zkontrolujte všechna nastavení a vytvořte pravidlo.

Zobrazení pravidla a jeho výstupu

  • Nově vytvořené vlastní pravidlo (typu Naplánované) najdete v tabulce na kartě Aktivní pravidla na hlavní obrazovce Analýza . V tomto seznamu můžete jednotlivá pravidla povolit, zakázat nebo odstranit.

  • Pokud chcete zobrazit výsledky analytických pravidel, která vytvoříte, přejděte na stránku Incidenty , kde můžete určit prioritu incidentů, prozkoumat je a napravit hrozby.

  • Dotaz pravidla můžete aktualizovat tak, aby vyloučil falešně pozitivní výsledky. Další informace najdete v tématu Zpracování falešně pozitivních výsledků ve službě Microsoft Sentinel.

Poznámka

Upozornění vygenerovaná ve službě Microsoft Sentinel jsou k dispozici prostřednictvím Microsoft Graph Security. Další informace najdete v dokumentaci k upozorněním Microsoft Graph Security.

Export pravidla do šablony ARM

Pokud chcete pravidlo zabalit, aby se spravovaly a nasadily jako kód, můžete ho snadno exportovat do šablony Azure Resource Manager (ARM). Můžete také importovat pravidla ze souborů šablon, abyste je mohli zobrazit a upravit v uživatelském rozhraní.

Řešení potíží

Problém: Ve výsledcích dotazu se nezobrazují žádné události.

Pokud je seskupení událostí nastavené tak, aby aktivovalo upozornění pro každou událost, může se zdát, že výsledky dotazu zobrazené později chybí nebo se liší, než se čekalo. Výsledky dotazu můžete například zobrazit později, když přejdete zpět na výsledky souvisejícího incidentu.

  • Výsledky se automaticky ukládají spolu s upozorněními. Pokud jsou ale výsledky příliš velké, žádné výsledky se neuloží a při dalším zobrazení výsledků dotazu se nezobrazí žádná data.
  • V případech, kdy dochází ke zpoždění příjmu dat nebo dotaz není deterministický kvůli agregaci, se výsledek výstrahy může lišit od výsledku zobrazeného ručním spuštěním dotazu.

Poznámka

Tento problém se vyřešil přidáním nového pole OriginalQuery do výsledků při výběru této možnosti seskupení událostí. Viz výše uvedený popis .

Problém: Naplánované pravidlo se nepodařilo spustit nebo je k jeho názvu přidaný text AUTO DISABLED.

Je to vzácný výskyt, kdy se naplánované pravidlo dotazu nepodaří spustit, ale může k tomu dojít. Služba Microsoft Sentinel předem klasifikuje selhání jako přechodná nebo trvalá na základě konkrétního typu selhání a okolností, které k němu vedly.

Přechodné selhání

K přechodnému selhání dochází kvůli okolnostem, která je dočasná a brzy se vrátí k normálu. V takovém okamžiku bude provádění pravidla úspěšné. Mezi příklady selhání, která služba Microsoft Sentinel klasifikuje jako přechodná, patří:

  • Spuštění dotazu pravidla trvá příliš dlouho a vyprší jeho časový limit.
  • Problémy s připojením mezi zdroji dat a Log Analytics nebo mezi Log Analytics a Microsoft Sentinelem
  • Jakákoli jiná nová a neznámá selhání se považují za přechodná.

V případě přechodného selhání se služba Microsoft Sentinel po předem určených a stále se rozšiřujících intervalech pokusí pravidlo znovu spustit, a to až do určité míry. Potom se pravidlo znovu spustí pouze v dalším naplánovaném čase. Pravidlo se kvůli přechodnému selhání nikdy automaticky zakáže.

Trvalé selhání – Automatické zakázání pravidla

K trvalému selhání dochází kvůli změně podmínek, které umožňují spuštění pravidla, které se bez lidského zásahu nevrátí do původního stavu. Následuje několik příkladů selhání, která jsou klasifikována jako trvalá:

  • Cílový pracovní prostor (ve kterém byl dotaz pravidla provozován) byl odstraněn.
  • Cílová tabulka (se kterou dotaz pravidla fungoval) byla odstraněna.
  • Z cílového pracovního prostoru se odebrala služba Microsoft Sentinel.
  • Funkce používaná dotazem pravidla již není platná. byla změněna nebo odebrána.
  • Oprávnění k jednomu ze zdrojů dat dotazu pravidla byla změněna.
  • Jeden ze zdrojů dat dotazu na pravidlo byl odstraněn nebo odpojen.

V případě předem stanoveného počtu po sobě jdoucích trvalých selhání stejného typu a u stejného pravidla, Služba Microsoft Sentinel se přestane pokoušet o spuštění pravidla a také provede následující kroky:

  • Zakáže pravidlo.
  • Přidá na začátek názvu pravidla slova "AUTO DISABLED" .
  • Přidá do popisu pravidla důvod selhání (a zakázání).

Přítomnost všech automaticky zakázaných pravidel můžete snadno určit seřazením seznamu pravidel podle názvu. Automaticky zakázaná pravidla budou v horní části seznamu nebo v jeho blízkosti.

Správci SOC by měli pravidelně kontrolovat seznam pravidel, jestli jsou pravidla automaticky zakázaná.

Další kroky

Pokud k detekci hrozeb ze služby Microsoft Sentinel používáte analytická pravidla, ujistěte se, že jste povolili všechna pravidla přidružená k připojeným zdrojům dat, aby se zajistilo úplné zabezpečení vašeho prostředí. Nejúčinnějším způsobem, jak povolit analytická pravidla, je přímo na stránce datového konektoru, která obsahuje seznam případných souvisejících pravidel. Další informace najdete v tématu Připojení zdrojů dat.

Prostřednictvím rozhraní API a PowerShellu můžete také odesílat pravidla do služby Microsoft Sentinel, i když to vyžaduje další úsilí. Při použití rozhraní API nebo PowerShellu musíte před povolením pravidel nejprve exportovat pravidla do formátu JSON. Rozhraní API nebo PowerShell mohou být užitečné při povolování pravidel ve více instancích služby Microsoft Sentinel se stejným nastavením v každé instanci.

Další informace naleznete v tématu:

Učte se také z příkladu použití vlastních analytických pravidel při monitorování funkce Zoom pomocí vlastního konektoru.