Az ütemezett elemzési szabályok sablonverzióinak kezelése a Microsoft Sentinelben
Fontos
Ez a funkció előzetes verzióban érhető el. A Microsoft Azure előzetes verziójának kiegészítő használati feltételei című cikkben további jogi feltételeket talál, amelyek a bétaverziós, előzetes verziójú vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Bevezetés
A Microsoft Sentinel olyan elemzésiszabály-sablonokat tartalmaz, amelyeket aktív szabályokká alakíthat, ha hatékonyan létrehoz egy másolatot róluk – ez történik, amikor szabályt hoz létre egy sablonból. Ekkor azonban az aktív szabály már nem kapcsolódik a sablonhoz. Ha a microsoftos mérnökök vagy bárki más módosít egy szabálysablont, a sablonból korábban létrehozott szabályok nem frissülnek dinamikusan az új sablonnak megfelelően.
A sablonokból létrehozott szabályok azonban megjegyzik , hogy mely sablonokból származnak, ami két előnyt tesz lehetővé:
Ha módosításokat hajtott végre egy szabályon, amikor sablonból hozta létre (vagy ezt követően bármikor), bármikor visszaállíthatja a szabályt az eredeti verzióra (a sablon másolataként).
Értesítést kaphat egy sablon frissítésekor, és dönthet úgy, hogy frissíti a szabályokat a sablonok új verziójára, vagy hagyja őket változatlanul.
Ez a cikk bemutatja, hogyan kezelheti ezeket a feladatokat, és mit kell szem előtt tartania. Az alábbi eljárások a sablonokból létrehozott ütemezett elemzési szabályokra vonatkoznak.
A szabály sablonverziószámának felderítése
A sablonverzió-vezérlő implementálásával megtekintheti és nyomon követheti a szabálysablonok verzióit és a belőlük létrehozott szabályokat. Azok a szabályok, amelyek sablonjait frissítették, egy "Elérhető frissítés" jelvény jelenik meg a szabály neve mellett.
Az Elemzés panelen válassza az Aktív szabályok lapot.
Válasszon ki egy Ütemezett típusú szabályt.
Ha a szabály az "Elérhető frissítés" jelvényt jeleníti meg, a részletek ablaktábláján a Szerkesztés gomb mellett megjelenik a Véleményezés és frissítés gomb (lásd az alábbi 1. ábrát).
Ha a szabály sablonból lett létrehozva, de nem rendelkezik az "Elérhető frissítés" jelvénysel, a részletek ablaktábláján a Szerkesztés gomb mellett megjelenik a Compare with template (Összehasonlítás sablonnal) gomb (lásd az alábbi következő lépés 2. és 3. képét).
Ha csak szerkesztés gomb van, a szabály az alapoktól lett létrehozva, nem sablonból.
Görgessen le a részletek panel aljára, ahol két verziószám látható: annak a sablonnak a verziója, amelyből a szabály létrejött, és a sablon legújabb elérhető verziója.
A szám "1.0.0" formátumú – főverzió, alverzió és build.
A főverziószám különbsége azt jelzi, hogy a sablonban lényeges dolog megváltozott, ami hatással lehet arra, hogy a szabály hogyan észleli a fenyegetéseket, vagy akár teljes mértékben képes működni. Ezt a módosítást bele szeretné foglalni a szabályokba.
Az alverziószám különbsége kisebb javulást jelez a sablonban – kozmetikai változás vagy valami hasonló –, amely "jó lenne, ha lenne", de nem kritikus fontosságú a szabály működésének, hatékonyságának vagy teljesítményének fenntartásához. Ez egy olyan változás, amelyet egyszerűen el is vihet vagy elhagyhat.
Megjegyzés
A fenti 2. és 3. képen két példa látható a sablonokból létrehozott szabályokra, ahol a sablon nem frissült.
- A 2. ábrán egy szabály látható, amely az aktuális sablon verziószámával rendelkezik. Ez azt jelzi, hogy a szabály a Microsoft Sentinel sablonverzió-vezérlőjének 2021. októberi kezdeti implementálása után jött létre.
- A 3. ábrán egy olyan szabály látható, amely nem rendelkezik aktuális sablonverzióval. Ez azt mutatja, hogy a szabályt 2021 októbere előtt hozták létre. Ha elérhető a legújabb sablonverzió, valószínűleg a sablon újabb verziója, mint a szabály létrehozásához használt.
Az aktív szabály összehasonlítása a sablonnal
A művelet utasításainak megtekintéséhez válassza az alábbi fülek egyikét a végrehajtandó műveletnek megfelelően:
Miután kiválasztott egy szabályt, és megállapította, hogy érdemes lehet frissíteni, válassza az Áttekintés és frissítés lehetőséget a részletek panelen (lásd fent). Látni fogja, hogy az Elemzési szabály varázslóban megjelenik a Compare to latest version (Összehasonlítás a legújabb verzióval ) lap.
Ezen a lapon egy párhuzamos összehasonlítást láthat a meglévő szabály YAML-ábrázolásai és a sablon legújabb verziója között.
Megjegyzés
A szabály frissítése felülírja a meglévő szabályt a sablon legújabb verziójával.
Minden olyan automatizálási lépést vagy logikát, amely hivatkozik a meglévő szabályra, ellenőrizni kell, ha a hivatkozott nevek megváltoztak. Emellett az eredeti szabály létrehozásakor végrehajtott testreszabások – a lekérdezés módosítása, az ütemezés, a csoportosítás vagy más beállítások – felülírhatók.
Szabály frissítése az új sablonverzióval
Ha a sablon új verziójában végzett módosítások elfogadhatók Önnek, és az eredeti szabályban semmi másra nincs hatással, válassza az Áttekintés és frissítés lehetőséget a módosítások érvényesítéséhez és alkalmazásához.
Ha tovább szeretné szabni a szabályt, vagy újra szeretné alkalmazni az esetlegesen felülírható módosításokat, válassza a Tovább: Egyéni módosítások lehetőséget. Ha ezt választja, az Elemzési szabály varázsló többi lapján lépegetve hajtja végre ezeket a módosításokat, majd érvényesíti és alkalmazza a módosításokat a Véleményezés és frissítés lapon.
Ha nem szeretné módosítani a meglévő szabályt, hanem meg szeretné tartani a meglévő sablonverziót, egyszerűen lépjen ki a varázslóból a jobb felső sarokban található X kiválasztásával.
Következő lépések
Ebben a dokumentumban megtanulta, hogyan követheti nyomon a Microsoft Sentinel-elemzési szabálysablonok verzióit, és hogyan állíthatja vissza az aktív szabályokat a meglévő sablonverziókra, vagy frissítheti őket újakra. A Microsoft Sentinelről az alábbi cikkekben talál további információt:
- További információ az elemzési szabályokról.
- További részletek az elemzési szabály varázslójáról.