Egyéni elemzési szabályok létrehozása fenyegetések észleléséhez

Megjegyzés

Az Azure Sentinel neve mostantól Microsoft Sentinel, és a következő hetekben frissíteni fogjuk ezeket az oldalakat. További információ a Microsoft biztonsági fejlesztéseiről.

Miután csatlakoztatta az adatforrásokat Microsoft Sentinelhez, hozzon létre egyéni elemzési szabályokat, amelyek segítenek felderíteni a környezetben lévő fenyegetéseket és rendellenes viselkedéseket.

Az elemzési szabályok meghatározott eseményeket vagy eseménycsoportokat keresnek a környezetben, riasztást kap bizonyos eseményküszöbök vagy feltételek elérésekor, incidenseket generálnak az SOC számára az osztályozáshoz és vizsgálathoz, valamint a fenyegetésekre való reagáláshoz automatizált nyomon követési és szervizelési folyamatokkal.

Tipp

Egyéni szabályok létrehozásakor használja a meglévő szabályokat sablonként vagy hivatkozásként. A meglévő szabályok alapkonfigurációként való használata segít kiépíteni a logika nagy részét a szükséges módosítások végrehajtása előtt.

  • Elemzési szabályok létrehozása
  • Események és riasztások feldolgozásának meghatározása
  • Riasztások és incidensek létrehozásának meghatározása
  • Automatikus fenyegetésválaszok kiválasztása a szabályokhoz

Egyéni elemzési szabály létrehozása ütemezett lekérdezéssel

  1. A Microsoft Sentinel navigációs menüjében válassza az Elemzés lehetőséget.

  2. A felső műveletsávon válassza a +Létrehozás , majd az Ütemezett lekérdezési szabály lehetőséget. Ekkor megnyílik az Elemzési szabály varázsló.

    Ütemezett lekérdezés létrehozása

Elemzési szabály varázsló – Általános lap

  • Adjon meg egy egyedi nevet és egy leírást.

  • A Taktikák és technikák területen a támadások kategóriái közül választhat, amelyek alapján osztályozhatja a szabályt. Ezek a MITRE ATT&CK keretrendszer taktikáin és technikáin alapulnak.

    A MITRE ATT&CK-ra leképezett szabályok által észlelt riasztásokból létrehozott incidensek és technikák automatikusan öröklik a szabály leképezését.

  • Állítsa be a riasztás súlyosságát a megfelelő módon.

  • A szabály létrehozásakor a szabály állapota alapértelmezés szerint Engedélyezve , ami azt jelenti, hogy a létrehozása után azonnal futni fog. Ha nem szeretné, hogy azonnal fusson, válassza a Letiltva lehetőséget, és a szabály hozzá lesz adva az Aktív szabályok laphoz, és onnan engedélyezheti, amikor szüksége van rá.

    Egyéni elemzési szabály létrehozásának megkezdése

A szabály lekérdezési logikájának meghatározása és a beállítások konfigurálása

A Szabálylogika beállítása lapon írhat egy lekérdezést közvetlenül a Szabály lekérdezése mezőbe, vagy létrehozhatja a lekérdezést a Log Analyticsben, majd másolja és illessze be ide.

  • A lekérdezések a Kusto lekérdezési nyelven (KQL) vannak megírva. Tudjon meg többet a KQL-fogalmakról és -lekérdezésekről, és tekintse meg ezt a hasznos rövid útmutatót.

  • Az ebben a képernyőképen látható példa lekérdezi a SecurityEvent táblát a sikertelen Windows bejelentkezési események típusának megjelenítéséhez.

    Lekérdezési szabály logikája és beállításainak konfigurálása

  • Íme egy másik mintalekérdezés, amely riasztást küld, ha rendellenes számú erőforrás jön létre az Azure-tevékenységben.

    AzureActivity
    | where OperationName == "Create or Update Virtual Machine" or OperationName =="Create Deployment"
    | where ActivityStatus == "Succeeded"
    | make-series dcount(ResourceId)  default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller
    

    Fontos

    Azt javasoljuk, hogy a lekérdezés ne natív táblát, hanem advanced security information model (ASIM) elemzőt használjon. Ez biztosítja, hogy a lekérdezés egyetlen adatforrás helyett az aktuális vagy jövőbeli releváns adatforrásokat is támogatja.

    Megjegyzés

    Ajánlott szabály-lekérdezési eljárások:

    • A lekérdezés hossza 1 és 10 000 karakter között lehet, és nem tartalmazhat "search *" vagy "union *" karaktert. A felhasználó által definiált függvények használatával áthidalhatja a lekérdezések hosszára vonatkozó korlátozásokat.

    • Az Azure Data Explorer-lekérdezések Log Analytics-lekérdezési ablakban való létrehozása nem támogatott ADX-függvények használatával.

    • Ha a bag_unpack függvényt lekérdezésben használja, ha az oszlopokat mezőkként veti ki a "project field1" használatával, és az oszlop nem létezik, a lekérdezés sikertelen lesz. Az ilyen események elleni védelem érdekében az oszlopot a következőképpen kell kivetíteni:

      • project field1 = column_ifexists("field1","")

Riasztások bővítése

  • Az Entitásleképezés konfigurációja szakaszban leképezheti a lekérdezési eredmények paramétereit Microsoft Sentinel által felismert entitásokra. Az entitások a szabályok kimenetét (riasztásokat és incidenseket) olyan alapvető információkkal bővítik, amelyek a következő vizsgálati folyamatok és javítási műveletek építőelemeiként szolgálnak. Ezek azok a feltételek is, amelyekkel a riasztásokat incidensekbe csoportosíthatja az Incidens beállításai lapon.

    További információ az Microsoft Sentinel entitásairól.

    Az adatmezők leképezése entitásokra Microsoft Sentinelben című cikkben talál részletes entitásleképezési utasításokat, valamint fontos információkat a korlátozásokról és a visszamenőleges kompatibilitásról.

  • Az Egyéni részletek konfigurációja szakaszban eseményadat-elemeket nyerhet ki a lekérdezésből, és a szabály által létrehozott riasztásokban jelenítheti meg őket, így azonnal áttekintheti az események tartalmát a riasztásokban és incidensekben.

    További információ az egyéni részletek riasztásokban való megjelenítéséről, és tekintse meg a teljes utasításokat.

  • A Riasztás részletei konfigurációs szakaszban a riasztás tényleges tartalmához igazíthatja a bemutató részleteit. A riasztás részletei lehetővé teszik, hogy megjelenítse például egy támadó IP-címét vagy fióknevét a riasztás címében, így az megjelenik az incidensek várólistáján, így sokkal gazdagabb és tisztább képet kap a fenyegetési környezetről.

    Tekintse meg a riasztás részleteinek testreszabására vonatkozó utasításokat.

Megjegyzés

A teljes riasztás méretkorlátja 64 KB.

  • A 64 KB-nál nagyobb méretű riasztások csonkulnak. Az entitások azonosításakor a rendszer egyenként hozzáadja őket a riasztáshoz, amíg a riasztás mérete el nem éri a 64 KB-ot, és a fennmaradó entitások el lesznek távolítva a riasztásból.

  • A többi riasztási bővítés is hozzájárul a riasztás méretéhez.

  • A riasztás méretének csökkentése érdekében a project-away lekérdezés operátorával távolítsa el a felesleges mezőket. (Vegye figyelembe az project operátort is, ha csak néhány mezőt kell megtartania.)

Lekérdezésütemezés és riasztás küszöbértéke

  • A Lekérdezés ütemezése szakaszban állítsa be a következő paramétereket:

    Lekérdezés ütemezésének és eseménycsoportozásának beállítása

    • A Lekérdezés futtatása minden beállítással szabályozhatja, hogy a lekérdezés milyen gyakran fusson – akár 5 percenként, akár ritkán, mint 14 naponta.

    • Állítsa be az utolsó keresési adatokat a lekérdezés által lefedett adatok időtartamának meghatározásához – például lekérdezheti az elmúlt 10 perc adatait vagy az elmúlt 6 órát. A maximális érték 14 nap.

      Megjegyzés

      Lekérdezési időközök és visszatekintési időszak

      Ez a két beállítás egy pontig független egymástól. A lekérdezéseket rövid időközönként is futtathatja, amely az időköznél hosszabb időtartamot fed le (ami átfedésben van a lekérdezésekkel), de nem futtathat olyan időközönként lekérdezést, amely meghaladja a lefedettségi időszakot, ellenkező esetben a teljes lekérdezési lefedettségben hézagok lesznek.

      Betöltési késleltetés

      Az esemény forrásnál történő létrehozása és az Microsoft Sentinelbe való betöltése közötti esetleges késés figyelembe vétele, valamint az adatok duplikálása nélküli teljes lefedettség biztosítása érdekében Microsoft Sentinel az ütemezett időponttól számított öt perces késéssel futtatja az ütemezett elemzési szabályokat.

      További információ: Betöltési késés kezelése az ütemezett elemzési szabályokban.

  • A szabály bizalmassági szintjének meghatározásához használja a Riasztás küszöbértéke szakaszt. Állítsa például a Riasztás létrehozása, ha a lekérdezési eredmények száma nagyobb, mint értékre, és adja meg az 1000-es számot, ha azt szeretné, hogy a szabály csak akkor hozzon létre riasztást, ha a lekérdezés minden futtatáskor több mint 1000 eredményt ad vissza. Ez egy kötelező mező, ezért ha nem szeretne küszöbértéket beállítani – vagyis ha azt szeretné, hogy a riasztás minden eseményt regisztráljon – írja be a 0 értéket a szám mezőbe.

Eredmények szimulációja

Az Eredmények szimulációja területen, a varázsló jobb oldalán válassza a Tesztelés az aktuális adatokkal lehetőséget, és Microsoft Sentinel megjeleníti azokat az eredményeket (naplóeseményeket), amelyeket a lekérdezés az elmúlt 50 alkalommal generált volna az aktuális ütemezésnek megfelelően. Ha módosítja a lekérdezést, válassza ismét a Tesztelés az aktuális adatokkal lehetőséget a gráf frissítéséhez. A grafikon a megadott időszak eredményeinek számát jeleníti meg, amelyet a Lekérdezés ütemezése szakasz beállításai határoznak meg.

A fenti képernyőképen az eredmények szimulációja így nézhet ki a lekérdezéshez. A bal oldali az alapértelmezett nézet, a jobb oldalon pedig az látható, amikor a gráfon egy időpont fölé viszi az egérmutatót.

Eredmények szimulációs képernyőképei

Ha azt látja, hogy a lekérdezés túl sok vagy túl gyakori riasztást aktiválna, kísérletezzen a Lekérdezés ütemezése és a Riasztásküszöbértéke szakaszban található beállításokkal, és válassza ismét a Tesztelés az aktuális adatokkal lehetőséget.

Eseménycsoportozás és szabályelnyomás

  • Az Eseménycsoportosítás területen válasszon két módszert az eseményekriasztásokba való csoportosításának kezelésére:

    • Csoportosítsa az összes eseményt egyetlen riasztásba (ez az alapértelmezett beállítás). A szabály minden futtatáskor egyetlen riasztást hoz létre, amíg a lekérdezés több eredményt ad vissza, mint a fenti riasztási küszöbérték . A riasztás az eredményekben visszaadott összes esemény összegzését tartalmazza.

    • Riasztás aktiválása minden eseményhez. A szabály egyedi riasztást hoz létre a lekérdezés által visszaadott minden egyes eseményhez. Ez akkor hasznos, ha azt szeretné, hogy az események egyenként jelenjenek meg, vagy ha bizonyos paraméterek szerint szeretné csoportosítani őket – felhasználó, állomásnév vagy valami más szerint. Ezeket a paramétereket a lekérdezésben definiálhatja.

      Jelenleg a szabály által generálható riasztások száma 150-re van leképezve. Ha egy adott szabályban az Eseménycsoportosítás értéke Eseményriasztás aktiválása minden eseménynél, és a szabály lekérdezése több mint 150 eseményt ad vissza, az első 149 esemény mindegyike egyedi riasztást hoz létre, a 150. riasztás pedig összegzi a visszaadott események teljes készletét. Más szóval a 150. riasztás lett volna létrehozva az Összes esemény csoportosítása egyetlen riasztási beállításban .

      Ha ezt a lehetőséget választja, Microsoft Sentinel egy új, OriginalQuery nevű mezőt ad hozzá a lekérdezés eredményeihez. Íme a meglévő Lekérdezés mező és az új mező összehasonlítása:

      Mező neve Contains A lekérdezés futtatása ebben a mezőben
      eredménye...
      Lekérdezés A riasztás ezen példányát létrehozó esemény tömörített rekordja A riasztás ezen példányát létrehozó esemény
      OriginalQuery Az eredeti lekérdezés az elemzési szabályban leírtak szerint A lekérdezés futási idejének legutóbbi eseménye, amely megfelel a lekérdezés által meghatározott paramétereknek

      Más szóval az OriginalQuery mező a Lekérdezés mezőhöz hasonlóan viselkedik. Ennek a további mezőnek az eredménye, hogy az alábbi Hibaelhárítás szakasz első eleme által leírt probléma megoldódott.

    Megjegyzés

    Mi a különbség az események és a riasztások között?

    • Az esemény egy művelet egyetlen előfordulásának leírása. Egy naplófájl egyetlen bejegyzése például eseménynek számíthat. Ebben az összefüggésben egy esemény egyetlen eredményre utal, amelyet egy elemzési szabály lekérdezése ad vissza.

    • A riasztások olyan események gyűjteményei, amelyek együttesen biztonsági szempontból jelentősek. A riasztások egyetlen eseményt tartalmazhatnak, ha az eseménynek jelentős biztonsági következményei vannak – például egy külső országból, munkaidőn kívülről történő rendszergazdai bejelentkezés.

    • Egyébként mik azok az incidensek? Microsoft Sentinel belső logikája incidenseket hoz létre riasztásokból vagy riasztáscsoportokból. Az incidensek várólistája az SOC-elemzők munkájának fókuszpontja – osztályozás, vizsgálat és szervizelés.

    Microsoft a Sentinel betölti egyes adatforrásokból származó nyers eseményeket, másoktól pedig már feldolgozott riasztásokat. Fontos megjegyezni, hogy bármikor melyikkel foglalkozik.

  • A Mellőzés szakaszban bekapcsolhatja a Stop running query after alert is generated (A lekérdezés futtatása a riasztás létrehozása után) beállítást, ha a riasztást követően a szabály működését a lekérdezési időközt túllépő időtartamra szeretné felfüggeszteni. Ha bekapcsolja ezt a beállítást, a Lekérdezés futtatásának leállítása beállítást be kell állítania arra az időre, amíg a lekérdezésnek le kell állnia, legfeljebb 24 órára.

Az incidenslétrehozás beállításainak konfigurálása

Az Incidensbeállítások lapon megadhatja, hogy a Sentinel Microsoft és hogyan alakítsa át a riasztásokat végrehajtható incidensekké. Ha ez a lap egyedül marad, Microsoft Sentinel egyetlen, különálló incidenst hoz létre az egyes riasztásoktól. A lap beállításainak módosításával dönthet úgy, hogy nem hoz létre incidenseket, vagy több riasztást egyetlen incidensbe csoportosít.

Például:

Az incidensek létrehozásának és a riasztások csoportosítási beállításainak meghatározása

Incidensbeállítások

Az Incidensbeállítások szakaszban az incidensek létrehozása az elemzési szabály által aktivált riasztásokból alapértelmezés szerint Engedélyezve értékre van állítva, ami azt jelenti, hogy Microsoft Sentinel egyetlen, a szabály által aktivált riasztástól különálló incidenst hoz létre.

  • Ha nem szeretné, hogy ez a szabály incidensek létrehozását eredményezné (például ha ez a szabály csak az információk későbbi elemzéshez való gyűjtésére szolgál), állítsa ezt Letiltva értékre.

  • Ha azt szeretné, hogy egyetlen incidenst hozzon létre egy riasztási csoportból, és ne minden egyes riasztáshoz, tekintse meg a következő szakaszt.

Riasztások csoportosítása

A Riasztások csoportosítása szakaszban, ha azt szeretné, hogy egyetlen incidenst hozzon létre egy legfeljebb 150 hasonló vagy ismétlődő riasztásból álló csoportból (lásd a megjegyzést), állítsa be a Csoporthoz kapcsolódó riasztásokat az elemzési szabály által aktivált incidensek értékre, és állítsa be az alábbi paramétereket.

  • A csoport korlátozása a kiválasztott időkereten belül létrehozott riasztásokra: Határozza meg azt az időkeretet, amelyen belül a hasonló vagy ismétlődő riasztások csoportosítva lesznek. Az ezen időkereten belüli összes megfelelő riasztás együttesen generál egy incidenst vagy incidenskészletet (az alábbi csoportosítási beállításoktól függően). Az ezen időkereten kívüli riasztások külön incidenst vagy incidenskészletet hoznak létre.

  • Az elemzési szabály által aktivált riasztások csoportosítása egyetlen incidensbe: Válassza ki, hogy a riasztások mely alapján legyenek csoportosítva:

    Beállítás Leírás
    Riasztások csoportosítása egyetlen incidensbe, ha az összes entitás egyezik A riasztások akkor vannak csoportosítva, ha azonos értékeket osztanak meg az egyes leképezett entitásokhoz (a fenti Szabálylogika beállítása lapon definiálva). Ez a javasolt beállítás.
    A szabály által aktivált összes riasztás csoportosítása egyetlen incidensbe A szabály által generált összes riasztás akkor is csoportosítva van, ha nem azonos értékeket osztanak meg.
    Riasztások csoportosítása egyetlen incidensbe, ha a kiválasztott entitások és részletek egyeznek A riasztások akkor lesznek csoportosítva, ha azonos értékeket osztanak meg az összes leképezett entitáshoz, a riasztás részleteihez és a megfelelő legördülő listákból kiválasztott egyéni részletekhez.

    Ezt a beállítást akkor érdemes használni, ha például külön incidenseket szeretne létrehozni a forrás- vagy cél IP-címek alapján, vagy ha egy adott entitásnak és súlyosságnak megfelelő riasztásokat szeretne csoportosítani.

    Megjegyzés: Ha ezt a lehetőséget választja, legalább egy entitástípust vagy mezőt ki kell jelölnie a szabályhoz. Ellenkező esetben a szabály érvényesítése sikertelen lesz, és a szabály nem jön létre.
  • Lezárt egyező incidensek újbóli megnyitása: Ha egy incidenst megoldottak és lezártak, és később egy másik riasztás jön létre, amelynek az adott incidenshez kell tartoznia, állítsa ezt a beállítást Engedélyezve értékre, ha újra meg szeretné nyitni a bezárt incidenst, és hagyja Letiltva állapotban, ha azt szeretné, hogy a riasztás új incidenst hozzon létre.

    Megjegyzés

    Legfeljebb 150 riasztás csoportosítható egyetlen incidensbe. Ha több mint 150 riasztást hoz létre egy szabály, amely egyetlen incidensbe csoportosítja őket, egy új incidens jön létre ugyanazokkal az incidensadatokkal, mint az eredeti, és a felesleges riasztások az új incidensbe lesznek csoportosítva.

Automatikus válaszok beállítása és a szabály létrehozása

  1. Az Automatizált válaszok lapon az automatizálást az elemzési szabály által létrehozott riasztás vagy riasztások, illetve a riasztások által létrehozott incidens alapján állíthatja be.

    • Riasztásalapú automatizálás esetén válassza ki a Riasztásautomatizálás területen található legördülő listából azokat a forgatókönyveket, amelyeket automatikusan szeretne futtatni riasztás létrehozásakor.

    • Incidensalapú automatizálás esetén az Incidensautomatizálás területen megjelenő rács megjeleníti azokat az automatizálási szabályokat, amelyek már vonatkoznak erre az elemzési szabályra (mivel megfelel az ezekben a szabályokban meghatározott feltételeknek). Ezek bármelyikét szerkesztheti az egyes sorok végén található három pont kiválasztásával. Vagy létrehozhat egy új automatizálási szabályt.

      Ezekből az automatizálási szabályokból meghívhat forgatókönyveket (amelyek az incidens eseményindítóján alapulnak), valamint automatizálhatja az osztályozást, a hozzárendelést és a lezárást.

    • A forgatókönyvek és automatizálási szabályok létrehozásával kapcsolatos további információkért és utasításokért lásd: Veszélyforrásokra adott válaszok automatizálása.

    • További információ a riasztási eseményindító vagy az incidens-eseményindító használatáról: Eseményindítók és műveletek használata Microsoft Sentinel-forgatókönyvekben.

    Az automatikus válaszbeállítások megadása

  2. Válassza az Áttekintés és létrehozás lehetőséget az új riasztási szabály összes beállításának áttekintéséhez. Amikor megjelenik az "Ellenőrzés sikeres" üzenet, válassza a Létrehozás lehetőséget a riasztási szabály inicializálásához.

    Tekintse át az összes beállítást, és hozza létre a szabályt

A szabály és kimenetének megtekintése

  • Az újonnan létrehozott egyéni szabályt (amely "Ütemezett" típusú) az Active rules (Aktív szabályok ) lapon találja a fő Elemzés képernyőn. Ebből a listából engedélyezheti, letilthatja vagy törölheti az egyes szabályokat.

  • A létrehozott riasztási szabályok eredményeinek megtekintéséhez lépjen az Incidensek oldalra, ahol osztályozást végezhet, kivizsgálhatja az incidenseket, és elháríthatja a fenyegetéseket.

  • Frissítheti a szabály lekérdezését, hogy kizárja a téves pozitív értékeket. További információ: Hamis pozitív értékek kezelése Microsoft Sentinelben.

Megjegyzés

Az Microsoft Sentinelben létrehozott riasztások a Microsoft Graph Securityen keresztül érhetők el. További információ: Microsoft Graph Security-riasztások dokumentációja.

A szabály exportálása ARM-sablonba

Ha kódként szeretné csomagolni a szabályt a felügyelethez és üzembe helyezéshez, egyszerűen exportálhatja a szabályt egy Azure Resource Manager -sablonba. A szabályokat sablonfájlokból is importálhatja, hogy megtekinthesse és szerkeszthesse őket a felhasználói felületen.

Hibaelhárítás

Probléma: A lekérdezési eredményekben nem jelennek meg események

Ha az eseménycsoportozás úgy van beállítva, hogy minden eseményhez riasztást aktiváljon, előfordulhat, hogy a későbbi időpontban megtekintett lekérdezési eredmények hiányoznak, vagy eltérnek a várttól. Előfordulhat például, hogy egy lekérdezés eredményeit egy későbbi időpontban tekinti meg, amikor visszafordult egy kapcsolódó incidens eredményeihez.

  • A rendszer automatikusan menti az eredményeket a riasztásokkal. Ha azonban az eredmények túl nagyok, a rendszer nem menti az eredményeket, és nem jelennek meg adatok a lekérdezés eredményeinek újbóli megtekintésekor.
  • Azokban az esetekben, amikor a betöltés késik, vagy a lekérdezés az összesítés miatt nem determinisztikus, a riasztás eredménye eltérhet a lekérdezés manuális futtatásával megjelenített eredményétől.

Megjegyzés

Ezt a problémát megoldotta egy új, OriginalQuery nevű mező hozzáadása az eredményekhez, amikor ez az eseménycsoportozási lehetőség be van jelölve. Tekintse meg a fenti leírást .

Probléma: Egy ütemezett szabály nem lett végrehajtva vagy a nevéhez hozzá lett adva, hogy AUTO DISABLED (automatikusan letiltva)

Ritkán fordul elő, hogy egy ütemezett lekérdezési szabály nem fut, de előfordulhat. Microsoft Sentinel a hibákat átmenetiként vagy állandóként sorolja be a hiba konkrét típusa és az ahhoz vezető körülmények alapján.

Átmeneti hiba

Átmeneti hiba olyan körülmény miatt következik be, amely ideiglenes, és hamarosan visszatér a normál állapotba, és ekkor a szabály végrehajtása sikeres lesz. Néhány példa azokra a hibákra, amelyek Microsoft Sentinel átmenetiként vannak besorolva:

  • A szabály lekérdezése túl sokáig tart, és túllépi az időkorlátot.
  • Az adatforrások és a Log Analytics, illetve a Log Analytics és Microsoft Sentinel közötti csatlakozási problémák.
  • Minden más új és ismeretlen hiba átmenetinek minősül.

Átmeneti hiba esetén Microsoft Sentinel az előre meghatározott és egyre növekvő intervallumok után is megpróbálja újra végrehajtani a szabályt, egészen egy pontig. Ezt követően a szabály csak a következő ütemezett időpontban fog újra futni. Egy szabály átmeneti hiba miatt soha nem lesz automatikusan letiltva.

Állandó hiba – szabály automatikusan letiltva

Az állandó hiba a szabály futtatását lehetővé tevő feltételek megváltozása miatt következik be, amely emberi beavatkozás nélkül nem tér vissza a korábbi állapotukhoz. Az alábbiakban néhány példát láthat az állandóként besorolt hibákra:

  • A cél-munkaterület (amelyen a szabály-lekérdezés működött) törölve lett.
  • A céltábla (amelyen a szabály-lekérdezés működött) törölve lett.
  • Microsoft Sentinel el lett távolítva a cél munkaterületről.
  • A szabály lekérdezése által használt függvény már nem érvényes; vagy módosították vagy eltávolították.
  • A szabály lekérdezésének egyik adatforrásához tartozó engedélyek módosultak.
  • A szabály lekérdezésének egyik adatforrását törölték vagy leválasztották.

Ha előre meghatározott számú, azonos típusú és ugyanazon szabályon lévő egymást követő állandó hiba történik, Microsoft Sentinel nem próbálja végrehajtani a szabályt, és a következő lépéseket is végrehajtja:

  • Letiltja a szabályt.
  • Hozzáadja az "AUTOMATIKUS LETILTVA" szavakat a szabály nevének elejéhez.
  • Hozzáadja a hiba okát (és a letiltás) a szabály leírásához.

Az automatikusan letiltott szabályok meglétét egyszerűen meghatározhatja, ha név szerint rendezi a szabálylistát. Az automatikusan letiltott szabályok a lista tetején vagy közelében lesznek.

Az SOC-kezelőknek rendszeresen ellenőrizniük kell a szabálylistát, hogy vannak-e automatikusan letiltott szabályok.

Következő lépések

Ha elemzési szabályokkal észleli a Microsoft Sentinel fenyegetéseit, győződjön meg arról, hogy engedélyezi a csatlakoztatott adatforrásokhoz társított összes szabályt a környezet teljes körű biztonsági lefedettségének biztosítása érdekében. Az elemzési szabályok engedélyezésének leghatékonyabb módja közvetlenül az adatösszekötő oldaláról érhető el, amely felsorolja a kapcsolódó szabályokat. További információ: Adatforrások csatlakoztatása.

A szabályokat az API-n és a PowerShellen keresztül is leküldheti a Sentinel Microsoft, bár ehhez további erőfeszítésre van szükség. API vagy PowerShell használata esetén a szabályok engedélyezése előtt először exportálnia kell a szabályokat a JSON-ba. Az API vagy a PowerShell akkor lehet hasznos, ha az egyes példányokban azonos beállításokkal rendelkező Microsoft Sentinel több példányában engedélyezi a szabályokat.

További információkért lásd:

További információkért lásd:

Emellett megtudhatja, hogyan használhat egyéni elemzési szabályokat a Nagyítás egyéni összekötővelvaló monitorozása során.