Administración de reglas de análisis
Administración de reglas de análisis
Para ajustar el ruido y filtrar las amenazas más importantes detectadas, debe administrar las reglas de análisis de forma continuada. Esto le ayudará a asegurarse de que las reglas sigan siendo útiles y eficaces para detectar posibles amenazas de seguridad.
Puede realizar las cuatro acciones siguientes en las reglas activas existentes:
Editar
Deshabilitar
Duplicar
Eliminar
Editar reglas
Puede modificar las reglas existentes seleccionando Editar en el panel de resultados. Para editar una regla, debe navegar por las mismas páginas que visitó al crear la regla. Se conservan las entradas anteriores que usó para crear la regla. Puede cambiar las propiedades de la regla para ajustar aún más el resultado de la detección de amenazas.
Una modificación típica que podría querer implementar es adjuntar una respuesta automatizada a una amenaza ya detectada. Para ello, en la página Respuesta automatizada, puede seleccionar uno de los cuadernos de estrategias existentes que define la actividad automatizada que se ejecutará si se detecta la amenaza.
Por ejemplo, es posible que la regla de análisis detecte un incidente que ya se ha resuelto y que desee reducir otras alertas si se produce una actividad similar. Al adjuntar un cuaderno de estrategias que contiene actividad automatizada, puede cambiar el estado del incidente o agregar comentarios cuando se detecta un incidente similar.
Deshabilitar reglas
Puede deshabilitar una regla cuando realice una actividad que puede desencadenar la alerta de la regla. Las reglas deshabilitadas conservan su configuración y puede volver a habilitarlas más adelante.
Duplicación de reglas
Cuando se duplica una regla, esta contiene toda la configuración proporcionada por la regla original. Puede modificar aún más la configuración en función de sus requisitos. No olvide cambiar el nombre de la regla duplicada porque, de forma predeterminada, adopta el mismo nombre que la regla original con la cadena Copia anexada a ella.
Eliminar reglas
Al eliminar la regla, se le pide confirmación antes de que Análisis de Microsoft Sentinel la quite del conjunto de reglas activas. Por ejemplo, puede eliminar una regla sobre un servicio o recurso que no está en uso, por lo que ya no se necesita la regla. La eliminación de una regla es permanente y no se puede deshacer. Por lo tanto, recomendamos que deshabilite primero la regla durante un período de tiempo hasta que esté seguro de que no la necesita.