Előző

Következő

Elemzési szabályok kezelése

Befejeződött

Elemzési szabályok kezelése

A zaj finomítása és a fontosabb észlelt fenyegetések szűrés érdekében ajánlott az elemzési szabályokat folyamatosan felügyelni. Ez segít biztosítani, hogy a szabályok hasznosak és hatékonyak maradjanak a potenciális biztonsági fenyegetések észlelésében.

Meglévő aktív szabályokon az alábbi négy műveletet végezheti el:

• Szerkesztés

• Disable

• Másolat készítése

• Delete

Szabályok szerkesztése

Meglévő szabályokat a részletek panel Szerkesztés elemének kiválasztásával módosíthat. Szabály szerkesztéséhez ugyanazokat az oldalakat kell felkeresnie, mint a szabály létrehozásakor. A szabály létrehozásához előzetesen megadott bemenetek megmaradnak. A szabály tetszőleges tulajdonságát módosíthatja a veszélyforrás-észlelés eredményének finombeállításához.

Egy tipikus módosítás, amit érdemes lehet végrehajtani, hogy automatikus reagálást társít egy már észlelt veszélyforráshoz. Ehhez az Automatikus reagálás oldalon választhatja ki a meglévő forgatókönyvek egyikét, amely definiálja a veszélyforrás észlelésekor futtatandó automatikus tevékenységet.

Lehetséges például, hogy az elemzési szabály egy már megoldott incidenst észlel, Ön pedig szeretné csökkenteni a további riasztások számát hasonló műveletek esetén. Egy automatikus tevékenységet tartalmazó forgatókönyv csatolásával megváltoztathatja az incidens állapotát, vagy megjegyzéseket adhat hozzá hasonló incidens észlelésekor.

Szabályok letiltása

Letilthat egy szabályt olyan tevékenység végrehajtásakor, amely aktiválhatja a szabályriasztást. A letiltott szabályok konfigurációja megmarad, és később újra engedélyezhetők.

Szabályok megkettőzése

Egy szabály megkettőzésekor a szabály megtartja az eredeti szabályban megadott teljes konfigurációt. A konfigurációt az igényeknek megfelelően tovább módosíthatja. Ne felejtse el átnevezni a megkettőzött szabályt, mert annak neve alapértelmezés szerint az eredeti szabály neve a Copy sztringgel kiegészítve.

Szabályok törlése

A szabály törlése megerősítést kér, mielőtt a Microsoft Sentinel Analytics eltávolítja azt az aktív szabályok készletéből. Törölhet például egy olyan szolgáltatásra vagy erőforrásra vonatkozó szabályt, amely nincs használatban, ezért a szabály szükségtelenné vált. A szabály törlése végleges, és nincs visszavonási funkció. Ezért ajánlott a szabályt először egy időre letiltani, amíg meg nem bizonyosodik arról, hogy nincs szükség rá.

Tesztelje tudását

1.

Folyamatos karbantartási tevékenység miatt ideiglenesen le kell állítania az elemzési szabályoktól érkező riasztásokat. Melyik műveletet kell engedélyeznie a szabályon ennek a konfigurációnak az eléréséhez?

Delete

Disable

Másolat készítése

2.

Mi egy meglévő elemzési szabály szerkesztésének leghatékonyabb módja?

A riasztás törlése és ismételt létrehozása az új logikával.

A szabály megkettőzése és módosítása a szükséges változások eléréséhez.

Új szabály létrehozása.

A munka ellenőrzése előtt minden kérdésre válaszolnia kell.

Folytatás