Ütemezett elemzési szabályok létrehozása sablonokból
Messze a leggyakoribb elemzési szabály, az ütemezett szabályok olyan Kusto-lekérdezéseken alapulnak, amelyek úgy vannak konfigurálva, hogy rendszeres időközönként fussanak, és egy meghatározott "visszatekintési" időszakból származó nyers adatokat vizsgáljanak. Ezek a lekérdezések összetett statisztikai műveleteket hajthatnak végre a céladatokon, így az alapértékeket és a kiugró értékeket eseménycsoportokban fedik fel. Ha a lekérdezés által rögzített eredmények száma túllépi a szabályban konfigurált küszöbértéket, a szabály riasztást hoz létre.
A Microsoft az elemzési szabálysablonok széles skáláját teszi elérhetővé a Tartalomközpontban elérhető számos megoldáson keresztül, és határozottan arra ösztönzi Önt, hogy használja őket a szabályok létrehozásához. Az ütemezett szabálysablonokban lévő lekérdezéseket biztonsági és adatelemzési szakértők írják, akár a Microsofttól, akár a sablont biztosító megoldás gyártójától.
Ez a cikk bemutatja, hogyan hozhat létre ütemezett elemzési szabályt sablon használatával.
Fontos
A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform részeként érhető el a Microsoft Defender portálon. A Microsoft Sentinel a Defender portálon mostantól éles környezetben is támogatott. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Meglévő elemzési szabályok megtekintése
A Telepített elemzési szabályok a Microsoft Sentinelben való megtekintéséhez nyissa meg az Elemzés lapot. A Szabálysablonok lapon megjelenik az összes telepített szabálysablon. További szabálysablonok kereséséhez nyissa meg a Microsoft Sentinel Tartalomközpontot a kapcsolódó termékmegoldások vagy különálló tartalmak telepítéséhez.
A Microsoft Sentinel navigációs menüjének Konfiguráció szakaszában válassza az Elemzés lehetőséget.
Az Elemzés képernyőn válassza a Szabálysablonok lapot.
Ha szűrni szeretné az ütemezett sablonok listáját:
Válassza a Szűrő hozzáadása lehetőséget, és válassza a szabálytípust a szűrők listájából.
Az eredményként kapott listában válassza az Ütemezett lehetőséget. Ezután válassza az Alkalmaz lehetőséget.
Szabály létrehozása sablonból
Ez az eljárás azt ismerteti, hogyan hozhat létre elemzési szabályt sablonból.
A Microsoft Sentinel navigációs menüjének Konfiguráció szakaszában válassza az Elemzés lehetőséget.
Az Elemzés képernyőn válassza a Szabálysablonok lapot.
Jelöljön ki egy sablonnevet, majd válassza a Szabály létrehozása gombot a részletek panelen, és hozzon létre egy új aktív szabályt a sablon alapján.
Minden sablon tartalmazza a szükséges adatforrások listáját. A sablon megnyitásakor a rendszer automatikusan ellenőrzi az adatforrások rendelkezésre állását. Ha egy adatforrás nincs engedélyezve, előfordulhat, hogy a Szabály létrehozása gomb le van tiltva, vagy egy erre vonatkozó üzenet jelenhet meg.
Megnyílik a szabálylétrehozó varázsló. Az összes részlet automatikusan kitöltve lesz.
A varázsló lapjai között lépegetve testre szabhatja a logikát és az egyéb szabálybeállításokat, ahol csak lehetséges, hogy jobban megfeleljen az igényeinek.
Amikor a szabálylétrehozó varázsló végére ér, a Microsoft Sentinel létrehozza a szabályt. Az új szabály megjelenik az Aktív szabályok lapon.
Ismételje meg a folyamatot további szabályok létrehozásához. A szabályok a szabálylétrehozás varázslóban való testreszabásával kapcsolatos további részletekért lásd : Egyéni elemzési szabály létrehozása az alapoktól.
Tipp.
Győződjön meg arról, hogy a csatlakoztatott adatforrásokhoz társított összes szabályt engedélyezi a környezet teljes biztonsági lefedettségének biztosítása érdekében. Az elemzési szabályok engedélyezésének leghatékonyabb módja közvetlenül az adatösszekötő oldaláról érhető el, amely felsorolja a kapcsolódó szabályokat. További információ: Csatlakozás adatforrások.
A szabályokat az API-n és a PowerShellen keresztül is leküldheti a Microsoft Sentinelnek, bár ehhez további erőfeszítésekre van szükség.
AZ API vagy a PowerShell használatakor először a szabályok engedélyezése előtt exportálnia kell a szabályokat a JSON-ba. Az API vagy a PowerShell akkor lehet hasznos, ha a Microsoft Sentinel több példányában azonos beállításokkal rendelkező szabályokat engedélyez az egyes példányokban.
Következő lépések
Ebben a dokumentumban megtanulta, hogyan hozhat létre ütemezett elemzési szabályokat a Microsoft Sentinel sablonjaiból.
- További információ az elemzési szabályokról.
- Megtudhatja, hogyan hozhat létre teljesen új elemzési szabályt.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: