Membuat aturan analitik terjadwal dari templat

• Berlaku untuk:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Sejauh ini jenis aturan analitik yang paling umum, Aturan terjadwal didasarkan pada kueri Kusto yang dikonfigurasi untuk berjalan secara berkala dan memeriksa data mentah dari periode "lookback" yang ditentukan. Kueri ini dapat melakukan operasi statistik yang kompleks pada data target mereka, mengungkapkan garis besar dan outlier dalam grup peristiwa. Jika jumlah hasil yang diambil oleh kueri melewati ambang batas yang dikonfigurasi dalam aturan, aturan akan menghasilkan pemberitahuan.

Microsoft membuat berbagai templat aturan analitik yang tersedia untuk Anda melalui banyak solusi yang disediakan di hub Konten, dan sangat mendorong Anda untuk menggunakannya untuk membuat aturan Anda. Kueri dalam templat aturan terjadwal ditulis oleh pakar keamanan dan ilmu data, baik dari Microsoft atau dari vendor solusi yang menyediakan templat.

Artikel ini memperlihatkan kepada Anda cara membuat aturan analitik terjadwal menggunakan templat.

Penting

Microsoft Azure Sentinel tersedia sebagai bagian dari platform operasi keamanan terpadu di portal Pertahanan Microsoft. Microsoft Sentinel di portal Defender sekarang didukung untuk penggunaan produksi. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Menampilkan aturan analitik yang ada

Untuk melihat aturan analitik yang diinstal di Microsoft Azure Sentinel, buka halaman Analitik . Tab Templat aturan menampilkan semua templat aturan yang diinstal. Untuk menemukan lebih banyak templat aturan, buka Hub konten di Microsoft Azure Sentinel untuk menginstal solusi produk terkait atau konten mandiri.

Portal Azure

1. Dari bagian Konfigurasi menu navigasi Microsoft Azure Sentinel, pilih Analitik.

2. Pada layar Analitik, pilih tab Templat aturan.

3. Jika Anda ingin memfilter daftar untuk templat Terjadwal :

   1. Pilih Tambahkan filter dan pilih Jenis aturan dari daftar filter.

   2. Dari daftar yang dihasilkan, pilih Terjadwal. Lalu, pilih Terapkan.

   

Portal pertahanan

1. Dari menu navigasi Pertahanan Microsoft, perluas Microsoft Sentinel, lalu Konfigurasi. Pilih Analitik.

2. Pada layar Analitik, pilih tab Templat aturan.

3. Jika Anda ingin memfilter daftar untuk templat Terjadwal :

   1. Pilih Tambahkan filter dan pilih Jenis aturan dari daftar filter.

   2. Dari daftar yang dihasilkan, pilih Terjadwal. Lalu, pilih Terapkan.

   

Membuat aturan dari templat

Prosedur ini menjelaskan cara membuat aturan analitik dari templat.

Portal Azure

Dari bagian Konfigurasi menu navigasi Microsoft Azure Sentinel, pilih Analitik.

Portal pertahanan

Dari menu navigasi Pertahanan Microsoft, perluas Microsoft Sentinel, lalu Konfigurasi. Pilih Analitik.

1. Pada layar Analitik, pilih tab Templat aturan.

2. Pilih nama templat, lalu pilih tombol Buat aturan pada panel detail untuk membuat aturan aktif baru berdasarkan templat tersebut.

   Setiap templat memiliki daftar sumber data yang diperlukan. Saat Anda membuka templat, sumber data secara otomatis diperiksa ketersediaannya. Jika sumber data tidak diaktifkan, tombol Buat aturan mungkin dinonaktifkan, atau Anda mungkin melihat pesan ke efek tersebut.

   

3. Wizard pembuatan aturan terbuka. Semua detail diisi otomatis.

4. Telusuri tab wizard, kustomisasi logika dan pengaturan aturan lainnya jika memungkinkan untuk lebih sesuai dengan kebutuhan spesifik Anda.

   Saat Anda sampai di akhir wizard pembuatan aturan, Microsoft Sentinel membuat aturan. Aturan baru muncul di tab Aturan aktif.

   Ulangi proses untuk membuat lebih banyak aturan. Untuk detail selengkapnya tentang cara mengkustomisasi aturan Anda di wizard pembuatan aturan, lihat Membuat aturan analitik kustom dari awal.

Tip

• Pastikan Anda mengaktifkan semua aturan yang terkait dengan sumber data yang tersambung untuk memastikan cakupan keamanan penuh bagi lingkungan Anda. Cara paling efisien untuk mengaktifkan aturan analitik adalah langsung dari halaman konektor data, yang mencantumkan aturan terkait apa pun. Untuk informasi selengkapnya, lihat Menyambungkan sumber data.

• Anda juga dapat menerapkan aturan ke Microsoft Azure Sentinel melalui API dan PowerShell, meskipun tindakan ini memerlukan upaya lain.

  Saat menggunakan API atau PowerShell, Anda harus terlebih dahulu mengekspor aturan ke JSON sebelum mengaktifkan aturan. API atau PowerShell dapat berguna saat mengaktifkan aturan di beberapa instans Microsoft Azure Sentinel dengan pengaturan yang identik di setiap instans.

Langkah berikutnya

Dalam dokumen ini, Anda mempelajari cara membuat aturan analitik terjadwal dari templat di Microsoft Azure Sentinel.

• Pelajari lebih lanjut tentang aturan analitik.
• Pelajari cara membuat aturan analitik dari awal.