Anterior

Siguientes

Administración de reglas de análisis

Completado

Administración de reglas de análisis

Para ajustar el ruido y filtrar las amenazas más importantes detectadas, debe administrar las reglas de análisis de forma continuada. Esto le ayudará a asegurarse de que las reglas sigan siendo útiles y eficaces para detectar posibles amenazas de seguridad.

Puede realizar las cuatro acciones siguientes en las reglas activas existentes:

• Editar

• Deshabilitar

• Duplicar

• Eliminar

Editar reglas

Puede modificar las reglas existentes seleccionando Editar en el panel de resultados. Para editar una regla, debe navegar por las mismas páginas que visitó al crear la regla. Se conservan las entradas anteriores que usó para crear la regla. Puede cambiar las propiedades de la regla para ajustar aún más el resultado de la detección de amenazas.

Una modificación típica que podría querer implementar es adjuntar una respuesta automatizada a una amenaza ya detectada. Para ello, en la página Respuesta automatizada, puede seleccionar uno de los cuadernos de estrategias existentes que define la actividad automatizada que se ejecutará si se detecta la amenaza.

Por ejemplo, es posible que la regla de análisis detecte un incidente que ya se ha resuelto y que desee reducir otras alertas si se produce una actividad similar. Al adjuntar un cuaderno de estrategias que contiene actividad automatizada, puede cambiar el estado del incidente o agregar comentarios cuando se detecta un incidente similar.

Deshabilitar reglas

Puede deshabilitar una regla cuando realice una actividad que puede desencadenar la alerta de la regla. Las reglas deshabilitadas conservan su configuración y puede volver a habilitarlas más adelante.

Duplicación de reglas

Cuando se duplica una regla, esta contiene toda la configuración proporcionada por la regla original. Puede modificar aún más la configuración en función de sus requisitos. No olvide cambiar el nombre de la regla duplicada porque, de forma predeterminada, adopta el mismo nombre que la regla original con la cadena Copia anexada a ella.

Eliminar reglas

Al eliminar la regla, se le pide confirmación antes de que Análisis de Microsoft Sentinel la quite del conjunto de reglas activas. Por ejemplo, puede eliminar una regla sobre un servicio o recurso que no está en uso, por lo que ya no se necesita la regla. La eliminación de una regla es permanente y no se puede deshacer. Por lo tanto, recomendamos que deshabilite primero la regla durante un período de tiempo hasta que esté seguro de que no la necesita.

Comprobación de conocimientos

1.

Debido a la actividad de mantenimiento en curso, debe dejar de recibir alertas de reglas de análisis de forma temporal. ¿Qué acción debe habilitar en la regla para lograr esa configuración?

Eliminar

Deshabilitar

Duplicar

2.

¿Cuál es la manera más eficaz de editar una regla de análisis existente?

Elimine la alerta y vuelva a crearla con la nueva lógica.

Duplique la regla y modifíquela para lograr los cambios necesarios.

Crear una regla.

Debe responder todas las preguntas antes de comprobar su trabajo.

Continuar