Az ütemezett elemzési szabályok sablonverzióinak kezelése a Microsoft Sentinelben

Fontos

Ez a funkció előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Bevezetés

A Microsoft Sentinel olyan elemzési szabálysablonokat tartalmaz, amelyeket aktív szabályokká alakíthat azáltal, hogy hatékonyan létrehoz egy másolatot róluk – ez történik, amikor szabályt hoz létre egy sablonból. Ekkor azonban az aktív szabály már nem csatlakozik a sablonhoz. Ha a Microsoft mérnökei vagy bárki más módosítja a szabálysablont, a sablonból korábban létrehozott szabályok nem frissülnek dinamikusan az új sablonnak megfelelően.

A sablonokból létrehozott szabályok azonban megjegyzik , hogy mely sablonokból származnak, ami két előnyt biztosít:

• Ha módosításokat hajtott végre egy szabályon, amikor sablonból hozta létre, vagy később bármikor, bármikor visszaállíthatja a szabályt az eredeti verzióra.

• Értesítést kap egy sablon frissítésekor. A szabályokat frissítheti a sablonok új verziójára, vagy hagyhatja is őket.

Ez a cikk bemutatja, hogyan kezelheti ezeket a feladatokat, és mit kell szem előtt tartania. A cikkben tárgyalt eljárások a sablonokból létrehozott ütemezett elemzési szabályokra vonatkoznak.

A szabály sablonverziószámának felderítése

A sablonverzió-vezérlés implementálásával megtekintheti és nyomon követheti a szabálysablonok verzióit és az ezekből létrehozott szabályokat. A frissített sablonokat tartalmazó szabályok a szabály neve mellett egy "Frissítés" jelvényt jelenítenek meg.

1. Az Elemzés lapon válassza az Aktív szabályok lapot.

2. Válasszon tetszőleges ütemezett típusú szabályt.

   • Ha a szabály a "Frissítés" jelvényt jeleníti meg, a részletek ablaktábláján a Szerkesztés gomb mellett megjelenik a Véleményezés és frissítés gomb (lásd a következő lépés 1. képét).

   • Ha a szabály sablonból lett létrehozva, de nem rendelkezik a "Frissítés" jelvénysel, a részletek ablaktábláján a Szerkesztés gomb mellett megjelenik a Compare with template button (lásd a következő lépés 2. és 3. képét).

   • Ha csak szerkesztési gomb van, a szabály az alapoktól lett létrehozva, nem sablonból.

     

3. Görgessen le a részletek panel aljára, ahol két verziószám látható: annak a sablonnak a verziója, amelyből a szabály létrejött, és a sablon legújabb elérhető verziója.

   

   A szám "1.0.0" formátumú – főverzió, alverzió és build.

   • A főverziószám különbsége azt jelzi, hogy a sablonban lényeges dolog megváltozott, ami hatással lehet a szabály fenyegetéseinek észlelésére, vagy akár a teljes működésre. Ezt a módosítást bele szeretné foglalni a szabályokba.

   • Az alverziószám különbsége a sablon kisebb mértékű javulását jelzi – egy kozmetikai módosítást vagy valami hasonlót –, amely "jó lenne", de nem kritikus fontosságú a szabály működésének, hatékonyságának vagy teljesítményének fenntartása szempontjából. Ezt a módosítást egyszerűen elvégezheti vagy elhagyhatja.

   Feljegyzés

   A 2. és a 3. képen két példa látható a sablonokból létrehozott szabályokra, ahol a sablon nem lett frissítve.

   • A 2. ábrán egy olyan szabály látható, amely az aktuális sablon verziószámával rendelkezik. Ez azt jelzi, hogy a szabály a Microsoft Sentinel 2021 októberi sablonverzió-vezérlésének kezdeti implementálása után jött létre.
   • A 3. ábrán egy olyan szabály látható, amely nem rendelkezik aktuális sablonverzióval. Ez azt mutatja, hogy a szabályt 2021 októbere előtt hozták létre. Ha elérhető a legújabb sablonverzió, valószínűleg a sablon újabb verziója, mint a szabály létrehozásához használt.

Az aktív szabály összehasonlítása a sablonnal

A művelet utasításainak megtekintéséhez válassza az alábbi lapok egyikét a kívánt műveletnek megfelelően:

Sablon frissítése

Miután kiválasztott egy szabályt, és megállapította, hogy érdemes lehet frissíteni, válassza a Véleményezés és frissítés lehetőséget a részletek panelen (lásd korábban). Láthatja, hogy az Elemzési szabály varázsló most már rendelkezik a Legújabb verzió összehasonlítása lapfülével.

Ezen a lapon egymás mellett láthatja a meglévő szabály YAML-ábrázolásai és a sablon legújabb verziója közötti összehasonlítást.

Feljegyzés

A szabály frissítése felülírja a meglévő szabályt a sablon legújabb verziójával.

A meglévő szabályra hivatkozó automatizálási lépéseket vagy logikát ellenőrizni kell, ha a hivatkozott nevek megváltoztak. Emellett az eredeti szabály létrehozásakor végrehajtott testreszabások – a lekérdezés, az ütemezés, a csoportosítás vagy más beállítások módosítása – felülírhatók.

A szabály frissítése az új sablonverzióval

• Ha a sablon új verziójában végzett módosítások elfogadhatók Ön számára, és az eredeti szabályban semmi másra nincs hatással, a módosítások érvényesítéséhez és alkalmazásához válassza a Véleményezés és frissítés lehetőséget.

• Ha tovább szeretné testre szabni a szabályt, vagy újra szeretné alkalmazni az esetlegesen felülírt módosításokat, válassza a Tovább: Egyéni módosítások lehetőséget. Az Elemzési szabály varázsló fennmaradó lapjai között lépegetve végezze el ezeket a módosításokat, majd ellenőrizze és alkalmazza a módosításokat a Véleményezés és frissítés lapon.

• Ha nem szeretné módosítani a meglévő szabályt, hanem meg szeretné tartani a meglévő sablonverziót, egyszerűen lépjen ki a varázslóból a jobb felső sarokban lévő X kiválasztásával.

Visszaállítás sablonra

Miután kiválasztott egy szabályt, és megállapította, hogy vissza szeretne térni az eredeti verzióra, válassza az Összehasonlítás sablonnal lehetőséget a részletek panelen (lásd korábban). Láthatja, hogy az Elemzési szabály varázsló most már rendelkezik a Legújabb verzió összehasonlítása lapfülével.

Ezen a lapon egymás mellett láthatja a meglévő szabály YAML-ábrázolásai és a sablon legújabb verziója közötti összehasonlítást. Ez a két verziószám azonos lehet, de a jobb oldalon az eredeti, változatlan sablon látható, a bal oldalon pedig az aktív szabály látható, beleértve az eredeti sablon módosításait is.

Feljegyzés

A szabály frissítése felülírja a meglévő szabályt a sablon legújabb verziójával.

A meglévő szabályra hivatkozó automatizálási lépéseket vagy logikát ellenőrizni kell, ha a hivatkozott nevek megváltoztak. Emellett az eredeti szabály létrehozásakor végrehajtott testreszabások – a lekérdezés, az ütemezés, a csoportosítás vagy más beállítások módosítása – felülírhatók.

A szabály visszaállítása a sablon eredeti verziójára

• Ha teljesen vissza szeretne térni a szabály eredeti verziójára – a sablon tiszta másolatára –, válassza a Véleményezés és frissítés lehetőséget a módosítások érvényesítéséhez és alkalmazásához.

• Ha másképpen szeretné testre szabni a szabályt, vagy újra szeretné alkalmazni az esetlegesen felülírt módosításokat, válassza a Tovább: Egyéni módosítások lehetőséget. Az Elemzési szabály varázsló fennmaradó lapjai között lépegetve végezze el ezeket a módosításokat, majd ellenőrizze és alkalmazza a módosításokat a Véleményezés és frissítés lapon.

• Ha nem szeretne módosításokat végezni a meglévő szabályon, egyszerűen lépjen ki a varázslóból a jobb felső sarokban lévő X kiválasztásával.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan követheti nyomon a Microsoft Sentinel-elemzési szabálysablonok verzióit, és hogyan visszaállíthatja az aktív szabályokat a meglévő sablonverziókra, vagy frissítheti őket újakra. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:

• További információ az elemzési szabályokról.
• További részletek az elemzési szabály varázslójáról.