Egyéni elemzési szabályok létrehozása fenyegetések észleléséhez

Megjegyzés

Az Azure Sentinel neve mostantól Microsoft Sentinel, és az elkövetkező hetekben frissíteni fogjuk ezeket az oldalakat. További információ a Microsoft legújabb biztonsági fejlesztéseiről.

Miután csatlakoztatta az adatforrásokat a Microsoft Sentinelhez, hozzon létre egyéni elemzési szabályokat, amelyek segítenek felderíteni a környezetben lévő fenyegetéseket és rendellenes viselkedéseket.

Az elemzési szabályok meghatározott eseményeket vagy eseménycsoportokat keresnek a környezetben, riasztást küldenek bizonyos eseményküszöbök vagy feltételek elérésekor, incidenseket generálnak az SOC számára az osztályozáshoz és vizsgálathoz, valamint reagálnak a fenyegetésekre automatizált nyomon követési és szervizelési folyamatokkal.

Tipp

Egyéni szabályok létrehozásakor használja a meglévő szabályokat sablonként vagy hivatkozásként. A meglévő szabályok alapkonfigurációként való használata segít kiépíteni a logika nagy részét, mielőtt bármilyen szükséges módosítást végez.

  • Elemzési szabályok létrehozása
  • Események és riasztások feldolgozásának meghatározása
  • A riasztások és incidensek létrehozásának meghatározása
  • Automatikus fenyegetésekre adott válaszok kiválasztása a szabályokhoz

Egyéni elemzési szabály létrehozása ütemezett lekérdezéssel

  1. A Microsoft Sentinel navigációs menüjében válassza az Elemzés lehetőséget.

  2. A felső műveletsávon válassza a +Létrehozás és az Ütemezett lekérdezési szabály kiválasztása lehetőséget. Ekkor megnyílik az Elemzési szabály varázsló.

    Create scheduled query

Elemzési szabály varázsló – Általános lap

  • Adjon meg egy egyedi nevet és egy leírást.

  • A Taktikák és technikák területen a támadások kategóriái közül választhat, amelyek alapján osztályozhatja a szabályt. Ezek a MITRE ATT&CK keretrendszer taktikáin és technikáin alapulnak.

    A MITRE ATT&CK-taktikára és technikákra leképezett szabályok által észlelt riasztásokból létrehozott incidensek automatikusan öröklik a szabály leképezését.

  • Állítsa be a riasztás súlyosságát a megfelelő módon.

  • A szabály létrehozásakor a szabály állapota alapértelmezés szerint engedélyezve van, ami azt jelenti, hogy a létrehozása után azonnal futni fog. Ha nem szeretné, hogy azonnal fusson, válassza a Letiltva lehetőséget, és a szabály hozzá lesz adva az Aktív szabályok laphoz, és onnan engedélyezheti, amikor szüksége van rá.

    Start creating a custom analytics rule

A szabály lekérdezési logikájának definiálása és a beállítások konfigurálása

A Szabálylogika beállítása lapon közvetlenül a Szabály lekérdezése mezőbe írhat lekérdezést, vagy létrehozhatja a lekérdezést a Log Analyticsben, majd ide másolhatja és beillesztheti.

  • A lekérdezések a Kusto lekérdezési nyelven (KQL) vannak megírva. Tudjon meg többet KQL fogalmakról és lekérdezésekről, és tekintse meg ezt a hasznos rövid útmutatót.

  • A képernyőképen látható példa lekérdezi a SecurityEvent táblát a sikertelen Windows bejelentkezési események típusának megjelenítéséhez.

    Configure query rule logic and settings

  • Íme egy másik minta lekérdezés, amely riasztást küld, ha rendellenes számú erőforrás jön létre az Azure-tevékenységben.

    AzureActivity
    | where OperationName == "Create or Update Virtual Machine" or OperationName =="Create Deployment"
    | where ActivityStatus == "Succeeded"
    | make-series dcount(ResourceId)  default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller
    

    Fontos

    Azt javasoljuk, hogy a lekérdezés ne natív táblát, hanem advanced security information model (ASIM) elemzőt használjon. Ez biztosítja, hogy a lekérdezés egyetlen adatforrás helyett az aktuális vagy jövőbeli releváns adatforrásokat is támogatja.

    Megjegyzés

    A szabály lekérdezésének ajánlott eljárásai:

    • A lekérdezés hossza 1 és 10 000 karakter között lehet, és nem tartalmazhat "search *" vagy "union *" karaktert. A felhasználó által definiált függvényekkel leküzdheti a lekérdezések hosszára vonatkozó korlátozásokat.

    • Az Azure Data Explorer-lekérdezések Log Analytics-lekérdezési ablakban való létrehozása nem támogatott ADX-függvényekkel.

    • Ha a bag_unpack függvényt lekérdezésben használja, ha az oszlopokat mezőkként veti ki a "project field1" használatával, és az oszlop nem létezik, a lekérdezés sikertelen lesz. Az ilyen események elleni védekezéshez az oszlopot a következőképpen kell kivetítenie:

      • project field1 = column_ifexists("field1","")

Riasztások bővítése

  • Az Entitásleképezés konfigurációs szakaszával leképezheti a lekérdezési eredmények paramétereit a Microsoft Sentinel által felismert entitásokra. Az entitások a szabályok kimenetét (riasztásokat és incidenseket) olyan alapvető információkkal bővítik, amelyek a következő vizsgálati folyamatok és javítási műveletek építőelemeiként szolgálnak. Ezek azok a feltételek is, amelyek alapján a riasztásokat incidensekbe csoportosíthatja az Incidens beállításai lapon.

    További információ a Microsoft Sentinel entitásairól.

    A Microsoft Sentinel adatmezőinek leképezése entitásokra című témakörben talál teljes entitásleképezési utasításokat, valamint fontos információkat a korlátozásokról és a visszamenőleges kompatibilitásról.

  • Az Egyéni részletek konfigurációs szakaszával eseményadat-elemeket nyerhet ki a lekérdezésből, és a szabály által létrehozott riasztásokban jelenítheti meg őket, így azonnal áttekintheti az események tartalmát a riasztásokban és incidensekben.

    Tudjon meg többet az egyéni részletek riasztásokban való megjelenítéséről, és tekintse meg a teljes utasításokat.

  • A Riasztás részletei konfigurációs szakasz segítségével a riasztás bemutatójának részleteit a tényleges tartalomhoz igazíthatja. A riasztás részletei lehetővé teszik, hogy például a támadó IP-címét vagy fióknevét a riasztás címében jelenítse meg, így az megjelenik az incidensek várólistáján, így sokkal gazdagabb és tisztább képet kap a fenyegetés környezetéről.

    Tekintse meg a riasztás részleteinek testreszabására vonatkozó teljes utasításokat.

Megjegyzés

A teljes riasztás méretkorlátja 64 KB.

  • A 64 KB-nál nagyobb méretű riasztások csonkulnak. Az entitások azonosításakor a rendszer egyenként hozzáadja őket a riasztáshoz, amíg a riasztás mérete el nem éri a 64 KB-ot, és a fennmaradó entitások el lesznek távolítva a riasztásból.

  • A többi riasztási bővítés is hozzájárul a riasztás méretéhez.

  • A riasztás méretének csökkentéséhez használja a project-away lekérdezés operátorát a szükségtelen mezők eltávolításához. (Vegye figyelembe az operátort project is, ha csak néhány mezőt kell megtartania.)

Lekérdezésütemezés és riasztási küszöbérték

  • A Lekérdezés ütemezése szakaszban állítsa be a következő paramétereket:

    Set query schedule and event grouping

    • A Futtatás lekérdezés minden beállításával szabályozhatja, hogy a lekérdezés milyen gyakran fusson – olyan gyakran, mint 5 percenként vagy 14 naponta csak ritkán.

    • Állítsa be az utolsó keresési adatokat a lekérdezés által lefedett adatok időtartamának meghatározásához – például lekérdezheti az elmúlt 10 percet vagy az elmúlt 6 órát. A maximális érték 14 nap.

      Megjegyzés

      Lekérdezési időközök és visszatekintési időszak

      Ez a két beállítás egymástól független, egészen egy pontig. A lekérdezéseket rövid időközönként futtathatja, amelyek hosszabbak az időtartamnál (valójában átfedésben vannak a lekérdezések), de nem futtathat lekérdezést olyan időközönként, amely meghaladja a lefedettségi időszakot, ellenkező esetben a teljes lekérdezési lefedettségben hézagok lesznek. >>Betöltési késleltetés>> Az esemény forrásnál történő létrehozása és a Microsoft Sentinelbe való betöltés közötti esetleges késés figyelembe vétele, valamint az adatok duplikálása nélküli teljes lefedettség biztosítása érdekében a Microsoft Sentinel az ütemezett időponttól számított öt perces késéssel futtatja az ütemezett elemzési szabályokat. >> További információ: A betöltési késés kezelése az ütemezett elemzési szabályokban.

  • A Riasztás küszöbértéke szakaszban határozhatja meg a szabály bizalmassági szintjét. Például állítsa be a Riasztás generálása beállítást, ha a lekérdezési eredmények számanagyobb, mint , és adja meg az 1000-es számot, ha azt szeretné, hogy a szabály csak akkor hozzon létre riasztást, ha a lekérdezés minden futtatáskor több mint 1000 eredményt ad vissza. Ez egy kötelező mező, ezért ha nem szeretne küszöbértéket beállítani – vagyis ha azt szeretné, hogy a riasztás minden eseményt regisztráljon – írja be a 0 értéket a szám mezőbe.

Eredmények szimulációja

Az Eredmények szimuláció területén , a varázsló jobb oldalán válassza a Tesztelés az aktuális adatokkal lehetőséget, és a Microsoft Sentinel megjeleníti az eredményeket (naplóeseményeket) ábrázoló grafikont, amelyet a lekérdezés az aktuális ütemezés szerint az elmúlt 50 alkalommal generált volna. Ha módosítja a lekérdezést, válassza ismét a Tesztelés az aktuális adatokkal lehetőséget a gráf frissítéséhez. A grafikonon a megadott időszakra vonatkozó eredmények száma látható, amelyet a Lekérdezés ütemezése szakasz beállításai határoznak meg.

Az eredményszimuláció így néz ki a fenti képernyőképen látható lekérdezéshez. A bal oldali az alapértelmezett nézet, a jobb oldalon pedig az látható, amikor a gráf egy adott időpontjára mutat.

Results simulation screenshots

Ha azt látja, hogy a lekérdezés túl sok vagy túl gyakori riasztást váltana ki, kísérletezzen a Lekérdezés ütemezése és a Riasztásküszöbértéke szakaszban található beállításokkal, és válassza ismét a Tesztelés az aktuális adatokkal lehetőséget.

Eseménycsoportozás és szabályelnyomás

  • Az Eseménycsoportosítás területen válasszon az eseményekriasztásokba való csoportosításának két módja közül:

    • Csoportosítsa az összes eseményt egyetlen riasztásba (ez az alapértelmezett beállítás). A szabály minden futtatáskor egyetlen riasztást hoz létre, ha a lekérdezés több eredményt ad vissza, mint a fenti riasztási küszöbérték . A riasztás tartalmazza az eredményekben visszaadott összes esemény összegzését.

    • Riasztás aktiválása minden eseményhez. A szabály egyedi riasztást hoz létre a lekérdezés által visszaadott minden egyes eseményhez. Ez akkor hasznos, ha az eseményeket külön-külön szeretné megjeleníteni, vagy ha bizonyos paraméterek szerint szeretné csoportosítani őket – felhasználó, állomásnév vagy valami más szerint. Ezeket a paramétereket a lekérdezésben definiálhatja.

      Jelenleg a szabály által generálható riasztások száma 150-re van leképezve. Ha egy adott szabályban az eseménycsoportozás eseményenként aktivál egy riasztást, és a szabály lekérdezése több mint 150 eseményt ad vissza, az első 149 esemény mindegyike egyedi riasztást hoz létre, és a 150. riasztás összegzi a visszaadott események teljes készletét. Más szóval a 150. riasztás lett volna létrehozva az összes esemény csoportosítása alatt egyetlen riasztási beállításban .

      Ha ezt a lehetőséget választja, a Microsoft Sentinel hozzáad egy új, OriginalQuery nevű mezőt a lekérdezés eredményeihez. Íme a meglévő Lekérdezés mező és az új mező összehasonlítása:

      Mező neve Contains A lekérdezés futtatása ebben a mezőben
      eredménye...
      Lekérdezés A riasztás ezen példányát létrehozó esemény tömörített rekordja A riasztás ezen példányát létrehozó esemény
      OriginalQuery Az eredeti lekérdezés az elemzési szabályban leírtak szerint A lekérdezés futtatásának időkeretének legújabb eseménye, amely megfelel a lekérdezés által meghatározott paramétereknek

      Más szóval az OriginalQuery mező a Lekérdezés mezőhöz hasonlóan viselkedik. Ennek a további mezőnek az eredménye, hogy az alábbi hibaelhárítási szakasz első eleme által leírt probléma megoldódott.

    Megjegyzés

    Mi a különbség az események és a riasztások között?

    • Az esemény egy művelet egyetlen előfordulásának leírása. Egy naplófájl egyetlen bejegyzése például eseménynek is számíthat. Ebben az összefüggésben az esemény egyetlen eredményre hivatkozik, amelyet egy elemzési szabály lekérdezése ad vissza.

    • A riasztások olyan események gyűjteményei, amelyek együttesen biztonsági szempontból jelentősek. Egy riasztás egyetlen eseményt tartalmazhat, ha az eseménynek jelentős biztonsági következményei vannak – például egy munkaidőn kívüli külföldi országból érkező rendszergazdai bejelentkezés.

    • Egyébként mik azok az incidensek? A Microsoft Sentinel belső logikája incidenseket hoz létre riasztásokból vagy riasztáscsoportokból. Az incidensek üzenetsora az SOC-elemzők munkájának fókuszpontja – osztályozás, vizsgálat és szervizelés.

    A Microsoft Sentinel nyers eseményeket dolgoz fel egyes adatforrásokból, és másoktól már feldolgozott riasztásokat. Fontos megjegyezni, hogy melyikkel foglalkozik bármikor.

  • A Mellőzés szakaszban bekapcsolhatja a lekérdezés futtatásának leállítását a riasztás létrehozása után, ha a riasztást követően a szabály működését a lekérdezési időközt meghaladó időtartamra szeretné felfüggeszteni. Ha bekapcsolja ezt a beállítást, be kell állítania a Lekérdezés leállítása beállítást arra az időre, amíg a lekérdezésnek le kell állnia, legfeljebb 24 órára.

Az incidenslétrehozás beállításainak konfigurálása

Az Incidens Gépház lapon megadhatja, hogy a Microsoft Sentinel végrehajtható incidensekké alakítsa-e a riasztásokat. Ha ez a lap egyedül marad, a Microsoft Sentinel egyetlen, minden riasztástól különálló incidenst hoz létre. A lap beállításainak módosításával dönthet úgy, hogy nem hoz létre incidenseket, vagy több riasztást egyetlen incidensbe csoportosít.

Például:

Define the incident creation and alert grouping settings

Incidensbeállítások

Az Incidensbeállítások szakaszban az ezen elemzési szabály által aktivált riasztásokból származó incidensek létrehozása alapértelmezés szerint engedélyezve van, ami azt jelenti, hogy a Microsoft Sentinel egyetlen, külön incidenst hoz létre a szabály által aktivált összes riasztástól.

  • Ha nem szeretné, hogy ez a szabály incidensek létrehozását eredményezhesse (például ha ez a szabály csak a későbbi elemzéshez szükséges információk gyűjtésére szolgál), állítsa ezt Letiltva értékre.

  • Ha azt szeretné, hogy egyetlen incidenst hoz létre egy riasztáscsoportból, ne minden egyes riasztáshoz, tekintse meg a következő szakaszt.

Riasztások csoportosítása

A Riasztások csoportosítása szakaszban, ha azt szeretné, hogy egyetlen incidenst hozzon létre egy legfeljebb 150 hasonló vagy ismétlődő riasztást tartalmazó csoportból (lásd a megjegyzést), állítsa be a csoporthoz kapcsolódó riasztásokat, amelyeket ez az elemzési szabály aktivál, incidensekkéntengedélyezve van, és állítsa be az alábbi paramétereket.

  • Korlátozza a csoportot a kiválasztott időkereten belül létrehozott riasztásokra: Határozza meg azt az időkeretet, amelyen belül a hasonló vagy ismétlődő riasztások csoportosítva lesznek. Az ebben az időkeretben található összes megfelelő riasztás együttesen létrehoz egy incidenst vagy incidenskészletet (az alábbi csoportosítási beállításoktól függően). Az ezen időkereten kívüli riasztások külön incidenst vagy incidenskészletet hoznak létre.

  • Az elemzési szabály által aktivált riasztásokat egyetlen incidensbe csoportosíthatja: Válassza ki, hogy mely riasztások legyenek csoportosítva:

    Beállítás Leírás
    Riasztások csoportosítása egyetlen incidensbe, ha az összes entitás egyezik A riasztások csoportosítva vannak, ha azonos értékeket osztanak meg az egyes leképezett entitásokhoz (a fenti Szabály beállítása logikai lapon definiálva). Ez az ajánlott beállítás.
    A szabály által aktivált összes riasztás csoportosítása egyetlen incidensbe A szabály által létrehozott összes riasztás akkor is csoportosítva van, ha nem azonos értékekkel rendelkeznek.
    Riasztások csoportosítása egyetlen incidensbe, ha a kiválasztott entitások és részletek egyeznek A riasztások csoportosítva vannak, ha azonos értékeket osztanak meg az összes leképezett entitáshoz, a riasztás részleteihez és a megfelelő legördülő listákból kiválasztott egyéni részletekhez.

    Ezt a beállítást akkor érdemes használnia, ha például külön incidenseket szeretne létrehozni a forrás vagy a cél IP-cím alapján, vagy ha egy adott entitásnak és súlyosságnak megfelelő riasztásokat szeretne csoportosítani.

    Megjegyzés: Ha ezt a beállítást választja, legalább egy entitástípust vagy mezőt ki kell jelölnie a szabályhoz. Ellenkező esetben a szabály érvényesítése sikertelen lesz, és a szabály nem jön létre.
  • Zárt egyező incidensek újbóli megnyitása: Ha egy incidenst megoldottak és lezártak, és később egy másik riasztás jön létre, amelynek az adott incidenshez kell tartoznia, állítsa ezt a beállítást Engedélyezve értékre, ha újra meg szeretné nyitni a lezárt incidenst, és hagyja letiltva , ha azt szeretné, hogy a riasztás új incidenst hozzon létre.

    Megjegyzés

    Legfeljebb 150 riasztás csoportosítható egyetlen incidensbe. Ha több mint 150 riasztást hoz létre egy szabály, amely egyetlen incidensbe csoportosítja őket, egy új incidens jön létre ugyanazokkal az incidensadatokkal, mint az eredeti, és a többletriasztások az új incidensbe lesznek csoportosítva.

Automatikus válaszok beállítása és a szabály létrehozása

  1. Az Automatizált válaszok lapon beállíthatja az automatizálást az elemzési szabály által létrehozott riasztások vagy riasztások alapján, vagy a riasztások által létrehozott incidens alapján.

    • Riasztásalapú automatizálás esetén válassza ki a Riasztásautomatizálás legördülő listából azokat a forgatókönyveket, amelyeket automatikusan futtatni szeretne riasztás létrehozásakor.

    • Incidensalapú automatizálás esetén az Incidensautomatizálás területen megjelenő rács megjeleníti azokat az automatizálási szabályokat, amelyek már érvényesek erre az elemzési szabályra (mivel megfelel az ezekben a szabályokban meghatározott feltételeknek). Ezek bármelyikét szerkesztheti az egyes sorok végén található három pont kiválasztásával. Vagy létrehozhat egy új automatizálási szabályt.

      Ezekből az automatizálási szabályokból forgatókönyveket hívhat meg (amelyek az incidens eseményindítóján alapulnak), valamint automatizálhatja a osztályozást, a hozzárendelést és a lezárást.

    • A forgatókönyvek és az automatizálási szabályok létrehozásával kapcsolatos további információkért és utasításokért lásd a fenyegetésekre adott válaszok automatizálását ismertető cikket.

    • A riasztási eseményindító vagy az incidens eseményindítójának használatáról további információt a Microsoft Sentinel forgatókönyveinek eseményindítóinak és műveleteinek használata című témakörben talál.

    Define the automated response settings

  2. Válassza a Véleményezés és létrehozás lehetőséget az új riasztási szabály összes beállításának áttekintéséhez. Amikor megjelenik az "Ellenőrzés sikeres" üzenet, válassza a Létrehozás lehetőséget a riasztási szabály inicializálásához.

    Review all settings and create the rule

A szabály és kimenetének megtekintése

  • Az újonnan létrehozott egyéni szabályt (amely "Ütemezett" típusú) az Active rules (Aktív szabályok ) lapon találja a fő elemzési képernyőn. Ezen a listán engedélyezheti, letilthatja vagy törölheti az egyes szabályokat.

  • A létrehozott riasztási szabályok eredményeinek megtekintéséhez nyissa meg az Incidensek lapot, ahol osztályozást végezhet, kivizsgálhatja az incidenseket, és elháríthatja a fenyegetéseket.

  • Frissítheti a szabály lekérdezését, hogy kizárja a téves pozitív értékeket. További információ: Hamis pozitívok kezelése a Microsoft Sentinelben.

Megjegyzés

A Microsoft Sentinelben létrehozott riasztások a Microsoft Graph Securityen keresztül érhetők el. További információkért tekintse meg a Microsoft Graph Biztonsági riasztások dokumentációját.

A szabály exportálása ARM-sablonba

Ha a szabályt kódként szeretné kezelni és üzembe helyezni, egyszerűen exportálhatja a szabályt egy Azure Resource Manager- (ARM-) sablonba. A szabályokat sablonfájlokból is importálhatja, hogy megtekinthesse és szerkessze őket a felhasználói felületen.

Hibaelhárítás

Probléma: Nem jelennek meg események a lekérdezési eredményekben

Ha az eseménycsoportozás úgy van beállítva, hogy riasztást váltson ki az egyes eseményekhez, előfordulhat, hogy a későbbi időpontban megtekintett lekérdezési eredmények hiányoznak, vagy eltérnek a várttól. Előfordulhat például, hogy egy lekérdezés eredményeit egy későbbi időpontban tekinti meg, amikor visszavált egy kapcsolódó incidens eredményeire.

  • A rendszer automatikusan menti az eredményeket a riasztásokkal együtt. Ha azonban az eredmények túl nagyok, a rendszer nem menti az eredményeket, és nem jelennek meg adatok a lekérdezés eredményeinek újbóli megtekintésekor.
  • Azokban az esetekben, amikor a betöltés késik, vagy a lekérdezés az összesítés miatt nem determinisztikus, a riasztás eredménye eltérhet a lekérdezés manuális futtatásával megjelenített eredményétől.

Megjegyzés

Ezt a problémát megoldotta egy új mező, az OriginalQuery hozzáadása az eredményekhez, amikor ez az eseménycsoportozási beállítás van kiválasztva. Lásd a fenti leírást .

Probléma: Egy ütemezett szabály nem lett végrehajtva vagy a nevéhez hozzá lett adva, hogy AUTO DISABLED (automatikusan letiltva)

Ritkán fordul elő, hogy egy ütemezett lekérdezési szabály nem fut, de előfordulhat. A Microsoft Sentinel előre átmenetiként vagy állandóként sorolja be a hibákat a hiba konkrét típusa és az ahhoz vezető körülmények alapján.

Átmeneti hiba

Átmeneti hiba olyan körülmény miatt következik be, amely ideiglenes, és hamarosan visszatér a normál állapotba, és ekkor a szabály végrehajtása sikeres lesz. Néhány példa a Microsoft Sentinel átmenetiként besorolt hibáira:

  • A szabály lekérdezése túl sokáig tart, és túllépi az időkorlátot.
  • Kapcsolódási problémák az adatforrások és a Log Analytics, illetve a Log Analytics és a Microsoft Sentinel között.
  • Minden más új és ismeretlen hiba átmenetinek minősül.

Átmeneti hiba esetén a Microsoft Sentinel az előre meghatározott és folyamatosan növekvő intervallumok után is megpróbálja újra végrehajtani a szabályt, egészen egy pontig. Ezt követően a szabály csak a következő ütemezett időpontban fog újra futni. A szabályok átmeneti hiba miatt soha nem lesznek automatikusan letiltva.

Állandó hiba – szabály automatikusan letiltva

A végleges hiba a szabály futását lehetővé tevő feltételek változása miatt következik be, amely emberi beavatkozás nélkül nem tér vissza a korábbi állapotához. Az alábbiakban néhány példát láthat az állandóként besorolt hibákra:

  • A cél munkaterület (amelyen a szabály lekérdezése működött) törölve lett.
  • A céltáblát (amelyen a szabály lekérdezése működött) törölték.
  • A Microsoft Sentinel el lett távolítva a cél munkaterületről.
  • A szabály lekérdezése által használt függvény már nem érvényes; vagy módosult vagy el lett távolítva.
  • A szabály lekérdezésének egyik adatforrásához tartozó engedélyek megváltoztak.
  • A szabály lekérdezésének egyik adatforrását törölték vagy leválasztották.

Azonos típusú és ugyanazon szabályon alapuló, egymást követő állandó hibák előre meghatározott száma esetén A Microsoft Sentinel nem próbálja végrehajtani a szabályt, és a következő lépéseket is végrehajtja:

  • Letiltja a szabályt.
  • A szabály nevének elejére felveszi az "AUTOMATIKUSAN LETILTVA" szavakat.
  • Hozzáadja a hiba okát (és letiltását) a szabály leírásához.

A szabálylista név szerinti rendezésével könnyen megállapíthatja az automatikusan letiltott szabályok jelenlétét. Az automatikusan letiltott szabályok a lista tetején vagy közelében lesznek.

A SOC-kezelőknek rendszeresen ellenőrizniük kell a szabálylistát, hogy vannak-e automatikusan letiltott szabályok.

Következő lépések

Ha elemzési szabályokkal észleli a Microsoft Sentinel fenyegetéseit, győződjön meg arról, hogy a csatlakoztatott adatforrásokhoz társított összes szabályt engedélyezi a környezet teljes biztonsági lefedettségének biztosítása érdekében. Az elemzési szabályok engedélyezésének leghatékonyabb módja közvetlenül az adatösszekötő oldaláról érhető el, amely felsorolja a kapcsolódó szabályokat. További információ: Csatlakozás adatforrások.

A szabályokat leküldheti a Microsoft Sentinelnek az API-n és a PowerShellen keresztül is, bár ehhez további erőfeszítésre van szükség. API vagy PowerShell használata esetén a szabályok engedélyezése előtt exportálnia kell a szabályokat JSON-fájlba. Az API vagy a PowerShell akkor lehet hasznos, ha a Microsoft Sentinel több példányában azonos beállításokkal rendelkező szabályokat engedélyez minden példányban.

További információkért lásd:

További információkért lásd:

Emellett megtudhatja, hogyan használhat egyéni elemzési szabályokat a Zoom egyéni összekötővel való monitorozása során.