Elemzési szabályok hibaelhárítása a Microsoft Sentinelben

Ez a cikk bemutatja, hogyan kezelhetők a Microsoft Sentinel ütemezett elemzési szabályainak végrehajtásával kapcsolatos bizonyos problémák.

Probléma: Nem jelennek meg események a lekérdezési eredményekben

Ha az eseménycsoportozás úgy van beállítva, hogy minden eseményhez riasztást aktiváljon, előfordulhat, hogy a későbbi időpontban megtekintett lekérdezési eredmények hiányoznak, vagy eltérnek a várttól. Előfordulhat például, hogy egy lekérdezés eredményeit egy későbbi időpontban tekinti meg egy kapcsolódó incidens vizsgálatakor, és a vizsgálat részeként úgy dönt, hogy visszatér a lekérdezés korábbi eredményeihez.

A rendszer automatikusan menti az eredményeket a riasztásokkal. Ha azonban az eredmények túl nagyok, a rendszer nem menti az eredményeket, és nem jelenik meg adat a lekérdezés eredményeinek újbóli megtekintésekor.

Azokban az esetekben, amikor betöltési késés van, vagy a lekérdezés az összesítés miatt nem determinisztikus, a riasztás eredménye eltérhet a lekérdezés manuális futtatásával megjelenített eredményétől.

A probléma megoldásához, ha egy szabály rendelkezik ezzel az eseménycsoportozási beállítással, a Microsoft Sentinel hozzáadja az OriginalQuery mezőt a lekérdezés eredményeihez. Íme a meglévő Lekérdezés mező és az új mező összehasonlítása:

Mezőnév	Contains	A lekérdezés futtatása ebben a mezőben találatok...
Lekérdezés	A riasztás ezen példányát létrehozó esemény tömörített rekordja.	A riasztás ezen példányát létrehozó esemény; legfeljebb 10 kilobájt.
OriginalQuery	Az eredeti lekérdezés az elemzési szabályban leírtak szerint.	A lekérdezés futtatásának időkeretének legújabb eseménye, amely megfelel a lekérdezés által meghatározott paramétereknek.

Más szóval az OriginalQuery mező úgy viselkedik, mintha a Lekérdezés mező az alapértelmezett eseménycsoportozási beállítás alatt viselkedik.

Probléma: Egy ütemezett szabály nem lett végrehajtva vagy a nevéhez hozzá lett adva, hogy AUTO DISABLED (automatikusan letiltva)

Ritkán fordul elő, hogy egy ütemezett lekérdezési szabály nem fut, de előfordulhat. A Microsoft Sentinel a hibákat átmeneti vagy állandóként sorolja be a hiba konkrét típusa és az ahhoz vezető körülmények alapján.

Átmeneti hiba

Átmeneti hiba olyan körülmény miatt következik be, amely ideiglenes, és hamarosan visszatér a normál állapotba, és ekkor a szabály végrehajtása sikeres lesz. Néhány példa a Microsoft Sentinel átmenetiként besorolt hibáira:

• A szabály-lekérdezések futtatása túl sokáig tart, és időtúllépést igényel.
• az adatforrások és a Log Analytics, illetve a Log Analytics és a Microsoft Sentinel közötti Csatlakozás tivitási problémák.
• Minden más új és ismeretlen hiba átmenetinek minősül.

Átmeneti hiba esetén a Microsoft Sentinel az előre meghatározott és folyamatosan növekvő intervallumok után is megpróbálja újra végrehajtani a szabályt egy pontig. Ezt követően a szabály csak a következő ütemezett időpontban fog újra futni. Egy szabályt átmeneti hiba miatt soha nem lehet automatikusan felcserélni.

Állandó hiba – automatikusan dedukált szabály

Az állandó hiba a szabály futtatását lehetővé tevő feltételek megváltozása miatt következik be, amely emberi beavatkozás nélkül nem térhet vissza a korábbi állapotukhoz. Az alábbiakban néhány példát láthat az állandóként besorolt hibákra:

• A cél-munkaterület (amelyen a szabály-lekérdezés működött) törölve lett.
• A céltáblát (amelyen a szabály lekérdezése működött) törölték.
• A Microsoft Sentinel el lett távolítva a cél-munkaterületről.
• A szabály lekérdezése által használt függvény már nem érvényes; vagy módosították vagy eltávolították.
• A szabály lekérdezésének egyik adatforrására vonatkozó engedélyek módosultak (lásd a példát).
• A szabály lekérdezésének egyik adatforrása törölve lett.

Ha előre meghatározott számú, azonos típusú és azonos szabályú, egymást követő állandó hiba történik, a Microsoft Sentinel nem próbálja végrehajtani a szabályt, és a következő lépéseket is végrehajtja:

1. Letiltja a szabályt.
2. Hozzáadja az "AUTO DISABLED" (AUTOMATIKUS LETILTÁS) szavakat a szabály nevének elejéhez.
3. Hozzáadja a hiba okát (és a letiltást) a szabály leírásához.

A szabálylista név szerinti rendezésével egyszerűen meghatározhatja az automatikusan deduktálható szabályok jelenlétét. Az automatikusan dedukált szabályok a lista tetején vagy közelében találhatók.

Az SOC-kezelőknek rendszeresen ellenőrizniük kell a szabálylistát az automatikusan dedukált szabályok meglétéről.

Állandó hiba az erőforrás-ürítés miatt

Egy másik típusú állandó hiba egy helytelenül összeállított lekérdezés miatt következik be, amely miatt a szabály túlzott számítási erőforrásokat használ fel, és azzal a kockázattal jár, hogy a rendszer teljesítménycsökkenést okoz. Amikor a Microsoft Sentinel azonosítja az ilyen szabályt, ugyanazt a három lépést kell elvégeznie a többi állandó hibatípus esetében– letiltja a szabályt, az "AUTOMATIKUS LETILTVA" előtagot a szabály nevére írja, és hozzáadja a hiba okát a leíráshoz.

A szabály újbóli engedélyezéséhez meg kell oldania a lekérdezés azon problémáit, amelyek miatt túl sok erőforrást használ. A Kusto-lekérdezések optimalizálásának ajánlott eljárásait az alábbi cikkekben találhatja meg:

• Ajánlott lekérdezési eljárások – Azure Data Explorer
• Naplólekérdezések optimalizálása az Azure Monitorban

További segítségért tekintse meg az Kusto lekérdezésnyelv Microsoft Sentinelben való használatát segítő hasznos forrásokat.

Végleges hiba az előfizetések/bérlők közötti hozzáférés elvesztése miatt

Az egyik konkrét példa arra, hogy egy adatforrás engedélyváltozása (lásd a listát) állandó hiba esetén a Microsoft biztonsági megoldásszolgáltatója (MSSP) esetére vonatkozik, vagy bármely más olyan forgatókönyvre, amikor az elemzési szabályok előfizetések vagy bérlők között kérdeznek le.

Elemzési szabály létrehozásakor a rendszer egy hozzáférési engedély jogkivonatot alkalmaz a szabályra, és azzal együtt menti. Ez a jogkivonat biztosítja, hogy a szabály hozzáférhessen a szabály lekérdezése által hivatkozott táblákat tartalmazó munkaterülethez, és hogy ez a hozzáférés akkor is megmaradjon, ha a szabály létrehozója elveszíti a hozzáférést az adott munkaterülethez.

Van azonban egy kivétel: ha olyan szabály jön létre, amely más előfizetésekben vagy bérlőkben lévő munkaterületekhez fér hozzá, például az MSSP esetében, a Microsoft Sentinel további biztonsági intézkedéseket tesz az ügyféladatokhoz való jogosulatlan hozzáférés megakadályozása érdekében. Az ilyen típusú szabályok a szabályt létrehozó felhasználó hitelesítő adataival rendelkeznek, nem pedig független hozzáférési jogkivonattal. Ha a felhasználó már nem fér hozzá a másik bérlőhöz, a szabály nem működik.

Ha előfizetések közötti vagy bérlők közötti forgatókönyvben üzemelteti a Microsoft Sentinelt, és ha az egyik elemzője vagy mérnöke elveszíti a hozzáférést egy adott munkaterülethez, a felhasználó által létrehozott szabályok nem fognak működni. Állapotfigyelési üzenet jelenik meg az "erőforráshoz való elégtelen hozzáférésről", és a szabály a korábban ismertetett eljárásnak megfelelően automatikusan fel lesz osztva.

Következő lépések

További információkért lásd:

• Oktatóanyag: Incidensek vizsgálata a Microsoft Sentinellel
• Navigálás és incidensek kivizsgálása a Microsoft Sentinelben – előzetes verzió
• Adatok osztályozása és elemzése entitások használatával a Microsoft Sentinelben
• Oktatóanyag: Forgatókönyvek használata automatizálási szabályokkal a Microsoft Sentinelben

Emellett megtudhatja, hogyan használhat egyéni elemzési szabályokat a Nagyítás egyéni összekötővel való monitorozása során.