Az ütemezett elemzési szabályok sablonverzióinak kezelése a Microsoft Sentinelben

Fontos

Ez a funkció előzetes verzióban érhető el. A Microsoft Azure előzetes verziójának kiegészítő használati feltételei című cikkben további jogi feltételeket talál, amelyek a bétaverziós, előzetes verziójú vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Bevezetés

A Microsoft Sentinel olyan elemzésiszabály-sablonokat tartalmaz, amelyeket aktív szabályokká alakíthat, ha hatékonyan létrehoz egy másolatot róluk – ez történik, amikor szabályt hoz létre egy sablonból. Ekkor azonban az aktív szabály már nem kapcsolódik a sablonhoz. Ha a microsoftos mérnökök vagy bárki más módosít egy szabálysablont, a sablonból korábban létrehozott szabályok nem frissülnek dinamikusan az új sablonnak megfelelően.

A sablonokból létrehozott szabályok azonban megjegyzik , hogy mely sablonokból származnak, ami két előnyt tesz lehetővé:

• Ha módosításokat hajtott végre egy szabályon, amikor sablonból hozta létre (vagy ezt követően bármikor), bármikor visszaállíthatja a szabályt az eredeti verzióra (a sablon másolataként).

• Értesítést kaphat egy sablon frissítésekor, és dönthet úgy, hogy frissíti a szabályokat a sablonok új verziójára, vagy hagyja őket változatlanul.

Ez a cikk bemutatja, hogyan kezelheti ezeket a feladatokat, és mit kell szem előtt tartania. Az alábbi eljárások a sablonokból létrehozott ütemezett elemzési szabályokra vonatkoznak.

A szabály sablonverziószámának felderítése

A sablonverzió-vezérlő implementálásával megtekintheti és nyomon követheti a szabálysablonok verzióit és a belőlük létrehozott szabályokat. Azok a szabályok, amelyek sablonjait frissítették, egy "Elérhető frissítés" jelvény jelenik meg a szabály neve mellett.

1. Az Elemzés panelen válassza az Aktív szabályok lapot.

2. Válasszon ki egy Ütemezett típusú szabályt.

   • Ha a szabály az "Elérhető frissítés" jelvényt jeleníti meg, a részletek ablaktábláján a Szerkesztés gomb mellett megjelenik a Véleményezés és frissítés gomb (lásd az alábbi 1. ábrát).

   • Ha a szabály sablonból lett létrehozva, de nem rendelkezik az "Elérhető frissítés" jelvénysel, a részletek ablaktábláján a Szerkesztés gomb mellett megjelenik a Compare with template (Összehasonlítás sablonnal) gomb (lásd az alábbi következő lépés 2. és 3. képét).

   • Ha csak szerkesztés gomb van, a szabály az alapoktól lett létrehozva, nem sablonból.

     

3. Görgessen le a részletek panel aljára, ahol két verziószám látható: annak a sablonnak a verziója, amelyből a szabály létrejött, és a sablon legújabb elérhető verziója.

   

   A szám "1.0.0" formátumú – főverzió, alverzió és build.

   • A főverziószám különbsége azt jelzi, hogy a sablonban lényeges dolog megváltozott, ami hatással lehet arra, hogy a szabály hogyan észleli a fenyegetéseket, vagy akár teljes mértékben képes működni. Ezt a módosítást bele szeretné foglalni a szabályokba.

   • Az alverziószám különbsége kisebb javulást jelez a sablonban – kozmetikai változás vagy valami hasonló –, amely "jó lenne, ha lenne", de nem kritikus fontosságú a szabály működésének, hatékonyságának vagy teljesítményének fenntartásához. Ez egy olyan változás, amelyet egyszerűen el is vihet vagy elhagyhat.

   Megjegyzés

   A fenti 2. és 3. képen két példa látható a sablonokból létrehozott szabályokra, ahol a sablon nem frissült.

   • A 2. ábrán egy szabály látható, amely az aktuális sablon verziószámával rendelkezik. Ez azt jelzi, hogy a szabály a Microsoft Sentinel sablonverzió-vezérlőjének 2021. októberi kezdeti implementálása után jött létre.
   • A 3. ábrán egy olyan szabály látható, amely nem rendelkezik aktuális sablonverzióval. Ez azt mutatja, hogy a szabályt 2021 októbere előtt hozták létre. Ha elérhető a legújabb sablonverzió, valószínűleg a sablon újabb verziója, mint a szabály létrehozásához használt.

Az aktív szabály összehasonlítása a sablonnal

A művelet utasításainak megtekintéséhez válassza az alábbi fülek egyikét a végrehajtandó műveletnek megfelelően:

Sablon frissítése

Miután kiválasztott egy szabályt, és megállapította, hogy érdemes lehet frissíteni, válassza az Áttekintés és frissítés lehetőséget a részletek panelen (lásd fent). Látni fogja, hogy az Elemzési szabály varázslóban megjelenik a Compare to latest version (Összehasonlítás a legújabb verzióval ) lap.

Ezen a lapon egy párhuzamos összehasonlítást láthat a meglévő szabály YAML-ábrázolásai és a sablon legújabb verziója között.

Megjegyzés

A szabály frissítése felülírja a meglévő szabályt a sablon legújabb verziójával.

Minden olyan automatizálási lépést vagy logikát, amely hivatkozik a meglévő szabályra, ellenőrizni kell, ha a hivatkozott nevek megváltoztak. Emellett az eredeti szabály létrehozásakor végrehajtott testreszabások – a lekérdezés módosítása, az ütemezés, a csoportosítás vagy más beállítások – felülírhatók.

Szabály frissítése az új sablonverzióval

• Ha a sablon új verziójában végzett módosítások elfogadhatók Önnek, és az eredeti szabályban semmi másra nincs hatással, válassza az Áttekintés és frissítés lehetőséget a módosítások érvényesítéséhez és alkalmazásához.

• Ha tovább szeretné szabni a szabályt, vagy újra szeretné alkalmazni az esetlegesen felülírható módosításokat, válassza a Tovább: Egyéni módosítások lehetőséget. Ha ezt választja, az Elemzési szabály varázsló többi lapján lépegetve hajtja végre ezeket a módosításokat, majd érvényesíti és alkalmazza a módosításokat a Véleményezés és frissítés lapon.

• Ha nem szeretné módosítani a meglévő szabályt, hanem meg szeretné tartani a meglévő sablonverziót, egyszerűen lépjen ki a varázslóból a jobb felső sarokban található X kiválasztásával.

Visszaállítás sablonra

Miután kiválasztott egy szabályt, és megállapította, hogy vissza szeretne térni az eredeti verzióra, válassza az Összehasonlítás sablonnal lehetőséget a részletek panelen (lásd fent). Látni fogja, hogy az Elemzési szabály varázslóban megjelenik a Compare to latest version (Összehasonlítás a legújabb verzióval ) lap.

Ezen a lapon egy párhuzamos összehasonlítást láthat a meglévő szabály YAML-ábrázolásai és a sablon legújabb verziója között. Ez a két verziószám azonos lehet, de a bal oldalon az aktív szabály látható, beleértve azokat a módosításokat is, amelyek a sablon létrehozása során vagy után történtek, míg a jobb oldalon a változatlan sablon látható.

Megjegyzés

A szabály frissítése felülírja a meglévő szabályt a sablon legújabb verziójával. Minden olyan automatizálási lépést vagy logikát, amely hivatkozik a meglévő szabályra, ellenőrizni kell, ha a hivatkozott nevek megváltoztak. Emellett az eredeti szabály létrehozásakor végrehajtott testreszabások – a lekérdezés módosítása, az ütemezés, a csoportosítás vagy más beállítások – felülírhatók.

A szabály visszaállítása az eredeti sablonverzióra

• Ha teljesen vissza szeretne térni a szabály eredeti verziójára – a sablon tiszta másolatára –, válassza az Áttekintés és frissítés lehetőséget a módosítások érvényesítéséhez és alkalmazásához.

• Ha másképp szeretné testre szabni a szabályt, vagy újra szeretné alkalmazni az esetlegesen felülírható módosításokat, válassza a Tovább: Egyéni módosítások lehetőséget. Ha ezt választja, az Elemzési szabály varázsló többi lapján lépegetve hajtja végre ezeket a módosításokat, majd érvényesíti és alkalmazza a módosításokat a Véleményezés és frissítés lapon.

• Ha nem szeretné módosítani a meglévő szabályt, egyszerűen lépjen ki a varázslóból a jobb felső sarokban található X kiválasztásával.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan követheti nyomon a Microsoft Sentinel-elemzési szabálysablonok verzióit, és hogyan állíthatja vissza az aktív szabályokat a meglévő sablonverziókra, vagy frissítheti őket újakra. A Microsoft Sentinelről az alábbi cikkekben talál további információt:

• További információ az elemzési szabályokról.
• További részletek az elemzési szabály varázslójáról.