Megosztás a következőn keresztül:


Ütemezett elemzési szabályok létrehozása sablonokból

Messze a leggyakoribb elemzési szabály, az ütemezett szabályok olyan Kusto-lekérdezéseken alapulnak, amelyek úgy vannak konfigurálva, hogy rendszeres időközönként fussanak, és egy meghatározott "visszatekintési" időszakból származó nyers adatokat vizsgáljanak. Ezek a lekérdezések összetett statisztikai műveleteket hajthatnak végre a céladatokon, így az alapértékeket és a kiugró értékeket eseménycsoportokban fedik fel. Ha a lekérdezés által rögzített eredmények száma túllépi a szabályban konfigurált küszöbértéket, a szabály riasztást hoz létre.

A Microsoft az elemzési szabálysablonok széles skáláját teszi elérhetővé a Tartalomközpontban elérhető számos megoldáson keresztül, és határozottan arra ösztönzi Önt, hogy használja őket a szabályok létrehozásához. Az ütemezett szabálysablonokban lévő lekérdezéseket biztonsági és adatelemzési szakértők írják, akár a Microsofttól, akár a sablont biztosító megoldás gyártójától.

Ez a cikk bemutatja, hogyan hozhat létre ütemezett elemzési szabályt sablon használatával.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform részeként érhető el a Microsoft Defender portálon. A Microsoft Sentinel a Defender portálon mostantól éles környezetben is támogatott. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Meglévő elemzési szabályok megtekintése

A Telepített elemzési szabályok a Microsoft Sentinelben való megtekintéséhez nyissa meg az Elemzés lapot. A Szabálysablonok lapon megjelenik az összes telepített szabálysablon. További szabálysablonok kereséséhez nyissa meg a Microsoft Sentinel Tartalomközpontot a kapcsolódó termékmegoldások vagy különálló tartalmak telepítéséhez.

  1. A Microsoft Sentinel navigációs menüjének Konfiguráció szakaszában válassza az Elemzés lehetőséget.

  2. Az Elemzés képernyőn válassza a Szabálysablonok lapot.

  3. Ha szűrni szeretné az ütemezett sablonok listáját:

    1. Válassza a Szűrő hozzáadása lehetőséget, és válassza a szabálytípust a szűrők listájából.

    2. Az eredményként kapott listában válassza az Ütemezett lehetőséget. Ezután válassza az Alkalmaz lehetőséget.

    Képernyőkép a Microsoft Azure Portal ütemezett elemzési szabálysablonjairól.

Szabály létrehozása sablonból

Ez az eljárás azt ismerteti, hogyan hozhat létre elemzési szabályt sablonból.

A Microsoft Sentinel navigációs menüjének Konfiguráció szakaszában válassza az Elemzés lehetőséget.

  1. Az Elemzés képernyőn válassza a Szabálysablonok lapot.

  2. Jelöljön ki egy sablonnevet, majd válassza a Szabály létrehozása gombot a részletek panelen, és hozzon létre egy új aktív szabályt a sablon alapján.

    Minden sablon tartalmazza a szükséges adatforrások listáját. A sablon megnyitásakor a rendszer automatikusan ellenőrzi az adatforrások rendelkezésre állását. Ha egy adatforrás nincs engedélyezve, előfordulhat, hogy a Szabály létrehozása gomb le van tiltva, vagy egy erre vonatkozó üzenet jelenhet meg.

    Képernyőkép az elemzési szabály előnézeti paneléről.

  3. Megnyílik a szabálylétrehozó varázsló. Az összes részlet automatikusan kitöltve lesz.

  4. A varázsló lapjai között lépegetve testre szabhatja a logikát és az egyéb szabálybeállításokat, ahol csak lehetséges, hogy jobban megfeleljen az igényeinek.

    Amikor a szabálylétrehozó varázsló végére ér, a Microsoft Sentinel létrehozza a szabályt. Az új szabály megjelenik az Aktív szabályok lapon.

    Ismételje meg a folyamatot további szabályok létrehozásához. A szabályok a szabálylétrehozás varázslóban való testreszabásával kapcsolatos további részletekért lásd : Egyéni elemzési szabály létrehozása az alapoktól.

Tipp.

  • Győződjön meg arról, hogy a csatlakoztatott adatforrásokhoz társított összes szabályt engedélyezi a környezet teljes biztonsági lefedettségének biztosítása érdekében. Az elemzési szabályok engedélyezésének leghatékonyabb módja közvetlenül az adatösszekötő oldaláról érhető el, amely felsorolja a kapcsolódó szabályokat. További információ: Csatlakozás adatforrások.

  • A szabályokat az API-n és a PowerShellen keresztül is leküldheti a Microsoft Sentinelnek, bár ehhez további erőfeszítésekre van szükség.

    AZ API vagy a PowerShell használatakor először a szabályok engedélyezése előtt exportálnia kell a szabályokat a JSON-ba. Az API vagy a PowerShell akkor lehet hasznos, ha a Microsoft Sentinel több példányában azonos beállításokkal rendelkező szabályokat engedélyez az egyes példányokban.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan hozhat létre ütemezett elemzési szabályokat a Microsoft Sentinel sablonjaiból.