Monitorování a optimalizace provádění plánovaných analytických pravidel

Pokud chcete zajistit, aby detekce hrozeb Microsoft Sentinel poskytovala úplné pokrytí ve vašem prostředí, využijte její nástroje pro správu spouštění. Tyto nástroje se skládají z přehledů o provádění pravidel plánované analýzy na základě dat o stavu a auditu Microsoft Sentinel a z možností ručního opětovného spuštění předchozích spuštění pravidel v určitých časových obdobích pro účely testování nebo řešení potíží.

Důležité

přehledy analytických pravidel Microsoft Sentinel a ruční opětovné spuštění jsou aktuálně ve verzi PREVIEW. Další právní podmínky, které se vztahují na Azure funkce, které jsou v beta verzi, preview nebo jinak ještě nejsou obecně dostupné, najdete v doplňkových podmínkách použití pro Microsoft Azure Preview.

Souhrn

Pro pravidla plánované analýzy existují dva nástroje pro správu spouštění: integrované přehledy plánovaných pravidel a možnost opětovného spuštění plánovaných pravidel na vyžádání.

Na stránce Analýza se panel Přehledy zobrazí jako další karta v podokně podrobností společně s kartou Informace . Panel Přehledy poskytuje informace o aktivitě a výsledcích pravidla. Například neúspěšná spuštění, hlavní problémy se stavem, počet výstrah v průběhu času a závěrečné klasifikace incidentů vytvořených pravidlem. Tyto přehledy pomáhají analytikům zabezpečení identifikovat potenciální problémy nebo chybné konfigurace s analytickými pravidly a umožňují jim zjišťovat a opravovat selhání pravidel a optimalizovat konfigurace pravidel pro lepší výkon a přesnost.

Na stránce Analýza máte také možnost znovu spustit analytická pravidla na vyžádání. Tato funkce poskytuje flexibilitu a kontrolu při ověřování účinnosti pravidel. Může být užitečná ve scénářích, jako je zpřesnění pravidel, testování, ověřování a další. Flexibilita při zahájení ručního opětovného spuštění může podporovat efektivní operace zabezpečení, umožnit efektivní reakci na incidenty a zlepšit celkové možnosti detekce a reakce systému.

Případy použití a výhody opětovného spuštění pravidla

Tady je několik scénářů, které můžou těžit z přehrání konkrétních spuštění analytických pravidel:

Zpřesnění a ladění pravidel: Analytická pravidla můžou vyžadovat pravidelné úpravy a doladění na základě měnícího se prostředí hrozeb a měnících se potřeb organizace. Ručním opětovným spuštěním pravidel můžou analytici vyhodnotit dopad úprav pravidel a ověřit jejich účinnost před jejich nasazením v produkčním prostředí.

Testování a ověřování: Při zavádění nových analytických pravidel, provádění významných změn stávajících nebo při vývoji nových playbooků incidentů je nezbytné důkladně otestovat jejich výkon a přesnost. Ruční opětovné spuštění umožňuje simulovat různé scénáře, včetně kompletního automatizovaného toku incidentů, a ověřovat pravidla na základě konzistentní sady datových vstupů. Tento proces zajišťuje, že pravidla vygenerují očekávané výstrahy bez nadměrného množství falešně pozitivních výsledků.

Vyšetřování incidentu: V případě incidentu zabezpečení nebo podezřelé aktivity můžou vaši analytici chtít zobrazit další podrobnosti v již vygenerovaných výstrahách. Můžou to udělat tak, že pravidlo aktualizují a znovu ho spustí v určitých intervalech provádění (až sedm dní), aby shromáždili další informace a identifikovali související události. Ruční opětovné spuštění umožňuje analytikům provádět hloubková šetření a pomáhá zajistit komplexní pokrytí.

Dodržování předpisů a auditování: Některé zákonné požadavky nebo interní zásady můžou vyžadovat pravidelné opakované spouštění analytických pravidel nebo pravidel na vyžádání, aby bylo možné prokázat nepřetržité monitorování a dodržování předpisů. Ruční opětovné spouštění umožňuje splnit tyto povinnosti tím, že zajišťuje konzistentní použití pravidel a generování vhodných výstrah.

Požadavky

Abyste mohli používat nástroje pro správu spouštění, musíte mít povolenou funkci stavu a auditu Microsoft Sentinel a konkrétně monitorování stavu analytického pravidla. Zjistěte, jak povolit stav a audit.

Zobrazení přehledů analytických pravidel

Pokud chcete tyto nástroje využít, začněte tím, že prozkoumáte přehledy daného pravidla.

  1. V navigační nabídce Microsoft Sentinel vyberte Analýza.

  2. Najděte a vyberte pravidlo (Naplánované nebo NRT), jehož přehledy chcete zobrazit.

  3. V podokně podrobností vyberte kartu Přehledy .

    Snímek obrazovky s výběrem analytického pravidla

  4. Když vyberete kartu Přehledy , zobrazí se volič časového rámce. Vyberte časový rámec nebo ho ponechte jako výchozí pro posledních 24 hodin.

    Snímek obrazovky se selektorem časového rámce na stránce Analýza

Panel Přehledy aktuálně zobrazuje čtyři druhy přehledů. Za každým přehledem následuje odkaz Zobrazit vše , který vás přenese na stránku Protokoly a zobrazí dotaz, který vytvořil přehled, spolu s úplnými nezpracovanými výsledky. Tady jsou přehledy:

  • Neúspěšná spuštění zobrazí seznam neúspěšných spuštění tohoto pravidla v daném časovém rámci. Za tímto přehledem následuje také odkaz na panel Spuštění pravidel , kde můžete zobrazit seznam všech časů spuštění pravidla a můžete přehrát konkrétní spuštění pravidla.

  • Hlavní problémy se stavem zobrazí seznam nejběžnějších problémů se stavem tohoto pravidla v daném časovém rámci. Za tímto přehledem také následuje odkaz Zobrazit spuštění , který vás přesedne na stránku Protokoly , kde uvidíte dotaz na všechny časy spuštění tohoto pravidla.

  • Graf výstrah zobrazuje graf počtu upozornění vygenerovaných tímto pravidlem v daném časovém rámci.

  • Klasifikace incidentů zobrazuje souhrn klasifikace uzavřených incidentů vytvořených tímto pravidlem během daného časového rámce.

Opětovné spuštění analytických pravidel

Existuje několik scénářů, které vás můžou přivést k opětovnému spuštění pravidla.

  • Pravidlo se nepodařilo spustit kvůli dočasné podmínce, která se vrátila do normálu, nebo kvůli chybné konfiguraci. Jakmile opravíte chybnou konfiguraci nebo opravíte podmínku, budete chtít znovu spustit pravidlo ve stejném časovém intervalu (to znamená na stejných datech) jako neúspěšné spuštění, aby se zmírnily mezery v pokrytí.

  • Pravidlo se úspěšně spustilo, ale ve generovaných výstrahách neposkytlo dostatek informací. V takovém případě můžete chtít pravidlo upravit tak, aby poskytovalo další informace, ať už změnou dotazu, nebo nastavením rozšiřování. Pak budete chtít pravidlo spustit znovu ve stejném časovém intervalu (tj. se stejnými daty) jako spuštění, pro které chcete získat další informace.

  • Možná experimentujete s psaním nebo úpravou pravidla a chcete zjistit, jak různá nastavení ovlivní výstrahy, které pravidlo generuje. V případě platného porovnání chcete pravidlo spustit znovu ve stejném časovém intervalu.

Tady je postup, jak znovu spustit pravidlo:

  1. Na stránce Analýza na panelu nástrojů v horní části vyberte Spuštění pravidla (Preview). Otevře se panel Spuštění pravidla .

    Snímek obrazovky znázorňuje, jak získat přístup k panelu spuštění pravidel

    Na panel Spuštění pravidel se dostanete také tak, že vyberete Znovu spustit pravidla v zobrazení Neúspěšná spuštění na kartě Přehledy (viz výše).

    Snímek obrazovky s panelem Spuštění pravidel

  2. Vyberte spuštění pravidla, která chcete přehrát, podle časového intervalu, ve kterém se původně spustila, jak je zobrazeno ve sloupci Doba spuštění . Můžete zvolit více než jedno spuštění pravidel.

    Snímek obrazovky s volbou spuštění pravidla pro opětovné spuštění

  3. Vyberte Přehrát spustit znovu. Zobrazí se oznámení o průběhu požadavků a o tom, že pravidla byla zařazena do fronty pro provedení.

    Snímek obrazovky s oznámeními o spuštění pravidel

  4. Výběrem možnosti Aktualizovat zobrazíte aktualizovaný stav spuštění pravidla. Uvidíte, že se mezi nimi zobrazují vaše požadavky se stavem Probíhá (nakonec se zobrazí Úspěch) a typem Aktivované uživatelem , nikoli systémem.

    Snímek obrazovky s průběhem opětovného spuštění pravidla

    Můžete si také všimnout, že doba provádění požadovaných opakovaných spuštění je stejná jako doba spuštění původního spuštění aktivovaného systémem, a ne doba spuštění vašeho opětovného spuštění. Tím se zobrazí časové období, na které opětovné spuštění odkazuje.

    Můžete přehrát jenom spuštění pravidel aktivovaných systémem, nikoli spuštění pravidel aktivovaných uživatelem.

Výběrem možnosti Zobrazit úplné podrobnosti na konci řádku libovolného spuštění pravidla zobrazíte jeho úplné nezpracované podrobnosti na obrazovce Protokoly .

Další kroky

  • Last updated on