Ütemezett elemzési szabályok létrehozása sablonokból

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Messze a leggyakoribb elemzési szabály, az ütemezett szabályok olyan Kusto-lekérdezéseken alapulnak, amelyek úgy vannak konfigurálva, hogy rendszeres időközönként fussanak, és egy meghatározott "visszatekintési" időszakból származó nyers adatokat vizsgáljanak. Ezek a lekérdezések összetett statisztikai műveleteket hajthatnak végre a céladatokon, így az alapértékeket és a kiugró értékeket eseménycsoportokban fedik fel. Ha a lekérdezés által rögzített eredmények száma túllépi a szabályban konfigurált küszöbértéket, a szabály riasztást hoz létre.

A Microsoft az elemzési szabálysablonok széles skáláját teszi elérhetővé a Tartalomközpontban elérhető számos megoldáson keresztül, és határozottan arra ösztönzi Önt, hogy használja őket a szabályok létrehozásához. Az ütemezett szabálysablonokban lévő lekérdezéseket biztonsági és adatelemzési szakértők írják, akár a Microsofttól, akár a sablont biztosító megoldás gyártójától.

Ez a cikk bemutatja, hogyan hozhat létre ütemezett elemzési szabályt sablon használatával.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform részeként érhető el a Microsoft Defender portálon. A Microsoft Sentinel a Defender portálon mostantól éles környezetben is támogatott. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Meglévő elemzési szabályok megtekintése

A Telepített elemzési szabályok a Microsoft Sentinelben való megtekintéséhez nyissa meg az Elemzés lapot. A Szabálysablonok lapon megjelenik az összes telepített szabálysablon. További szabálysablonok kereséséhez nyissa meg a Microsoft Sentinel Tartalomközpontot a kapcsolódó termékmegoldások vagy különálló tartalmak telepítéséhez.

Azure Portalra

1. A Microsoft Sentinel navigációs menüjének Konfiguráció szakaszában válassza az Elemzés lehetőséget.

2. Az Elemzés képernyőn válassza a Szabálysablonok lapot.

3. Ha szűrni szeretné az ütemezett sablonok listáját:

   1. Válassza a Szűrő hozzáadása lehetőséget, és válassza a szabálytípust a szűrők listájából.

   2. Az eredményként kapott listában válassza az Ütemezett lehetőséget. Ezután válassza az Alkalmaz lehetőséget.

   

Defender portál

1. A Microsoft Defender navigációs menüjében bontsa ki a Microsoft Sentinel, majd a Konfiguráció elemet. Válassza az Elemzés lehetőséget.

2. Az Elemzés képernyőn válassza a Szabálysablonok lapot.

3. Ha szűrni szeretné az ütemezett sablonok listáját:

   1. Válassza a Szűrő hozzáadása lehetőséget, és válassza a szabálytípust a szűrők listájából.

   2. Az eredményként kapott listában válassza az Ütemezett lehetőséget. Ezután válassza az Alkalmaz lehetőséget.

   

Szabály létrehozása sablonból

Ez az eljárás azt ismerteti, hogyan hozhat létre elemzési szabályt sablonból.

Azure Portalra

A Microsoft Sentinel navigációs menüjének Konfiguráció szakaszában válassza az Elemzés lehetőséget.

Defender portál

A Microsoft Defender navigációs menüjében bontsa ki a Microsoft Sentinel, majd a Konfiguráció elemet. Válassza az Elemzés lehetőséget.

1. Az Elemzés képernyőn válassza a Szabálysablonok lapot.

2. Jelöljön ki egy sablonnevet, majd válassza a Szabály létrehozása gombot a részletek panelen, és hozzon létre egy új aktív szabályt a sablon alapján.

   Minden sablon tartalmazza a szükséges adatforrások listáját. A sablon megnyitásakor a rendszer automatikusan ellenőrzi az adatforrások rendelkezésre állását. Ha egy adatforrás nincs engedélyezve, előfordulhat, hogy a Szabály létrehozása gomb le van tiltva, vagy egy erre vonatkozó üzenet jelenhet meg.

   

3. Megnyílik a szabálylétrehozó varázsló. Az összes részlet automatikusan kitöltve lesz.

4. A varázsló lapjai között lépegetve testre szabhatja a logikát és az egyéb szabálybeállításokat, ahol csak lehetséges, hogy jobban megfeleljen az igényeinek.

   Amikor a szabálylétrehozó varázsló végére ér, a Microsoft Sentinel létrehozza a szabályt. Az új szabály megjelenik az Aktív szabályok lapon.

   Ismételje meg a folyamatot további szabályok létrehozásához. A szabályok a szabálylétrehozás varázslóban való testreszabásával kapcsolatos további részletekért lásd : Egyéni elemzési szabály létrehozása az alapoktól.

Tipp.

• Győződjön meg arról, hogy a csatlakoztatott adatforrásokhoz társított összes szabályt engedélyezi a környezet teljes biztonsági lefedettségének biztosítása érdekében. Az elemzési szabályok engedélyezésének leghatékonyabb módja közvetlenül az adatösszekötő oldaláról érhető el, amely felsorolja a kapcsolódó szabályokat. További információ: Csatlakozás adatforrások.

• A szabályokat az API-n és a PowerShellen keresztül is leküldheti a Microsoft Sentinelnek, bár ehhez további erőfeszítésekre van szükség.

  AZ API vagy a PowerShell használatakor először a szabályok engedélyezése előtt exportálnia kell a szabályokat a JSON-ba. Az API vagy a PowerShell akkor lehet hasznos, ha a Microsoft Sentinel több példányában azonos beállításokkal rendelkező szabályokat engedélyez az egyes példányokban.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan hozhat létre ütemezett elemzési szabályokat a Microsoft Sentinel sablonjaiból.

• További információ az elemzési szabályokról.
• Megtudhatja, hogyan hozhat létre teljesen új elemzési szabályt.