Mengelola versi templat untuk aturan analitik terjadwal Anda di Microsoft Azure Sentinel

Penting

Fitur ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Pendahuluan

Microsoft Sentinel berisi templat aturan analitik yang Anda ubah menjadi aturan aktif dengan membuat salinannya secara efektif - itulah yang terjadi saat Anda membuat aturan dari templat. Namun, pada saat itu, aturan aktif tidak lagi tersambung ke template. Jika perubahan dilakukan pada template aturan, oleh teknisi Microsoft atau orang lain, aturan apa pun yang dibuat dari template tersebut sebelumnya tidak diperbarui secara dinamis agar sesuai dengan template baru.

Namun, aturan yang dibuat dari templat memang mengingat dari template mana aturan tersebut berasal, yang memungkinkan Anda mendapatkan dua keuntungan:

• Jika Anda membuat perubahan pada aturan saat membuatnya dari templat, atau kapan saja setelahnya, Anda selalu dapat mengembalikan aturan ke versi aslinya.

• Anda mendapatkan pemberitahuan saat templat diperbarui. Anda dapat memperbarui aturan Anda ke versi baru templatnya, atau membiarkannya apa adanya.

Artikel ini memperlihatkan kepada Anda cara mengelola tugas-tugas ini, dan apa yang perlu diingat. Prosedur yang dibahas dalam artikel berlaku untuk aturan analitik terjadwal yang dibuat dari templat.

Menemukan nomor versi template aturan Anda

Dengan penerapan kontrol versi template, Anda dapat melihat dan melacak versi template aturan Anda dan aturan yang dibuat dari template. Aturan dengan templat yang diperbarui menampilkan lencana "Perbarui" di samping nama aturan.

1. Pada halaman Analitik , pilih tab Aturan aktif.

2. Pilih aturan jenis Terjadwal apa pun.

   • Jika aturan menampilkan lencana "Perbarui", panel detailnya akan memiliki tombol Tinjau dan perbarui di samping tombol Edit (lihat gambar 1 di langkah berikutnya).

   • Jika aturan dibuat dari templat tetapi tidak memiliki lencana "Perbarui", panel detailnya akan memiliki tombol Bandingkan dengan templat di samping tombol Edit (lihat gambar 2 dan 3 di langkah berikutnya).

   • Jika hanya ada tombol Edit , aturan dibuat dari awal, bukan dari templat.

     

3. Gulir ke bawah ke bagian bawah panel detail, tempat Anda melihat dua nomor versi: versi templat tempat aturan dibuat, dan versi templat terbaru yang tersedia.

   

   Angka tersebut dalam format "1.0.0" – versi utama, versi minor, dan build.

   • Perbedaan dalam nomor versi utama menunjukkan bahwa sesuatu yang penting dalam template diubah, yang dapat memengaruhi cara aturan mendeteksi ancaman atau bahkan semua kemampuannya untuk berfungsi. Anda ingin menyertakan perubahan ini dalam aturan Anda.

   • Perbedaan dalam nomor versi minor menunjukkan peningkatan kecil dalam templat - perubahan kosmetik atau sesuatu yang serupa - itu akan "bagus untuk dimiliki" tetapi tidak penting untuk mempertahankan fungsionalitas, kemanjuran, atau performa aturan. Anda bisa dengan mudah mengambil perubahan ini atau meninggalkannya.

   Catatan

   Gambar 2 dan 3 memperlihatkan dua contoh aturan yang dibuat dari templat, di mana templat belum diperbarui.

   • Gambar 2 menunjukkan aturan yang memiliki nomor versi untuk template saat ini. Ini menandakan bahwa aturan itu dibuat setelah implementasi awal kontrol versi template Microsoft Azure Sentinel pada Oktober 2021.
   • Gambar 3 menunjukkan aturan yang tidak memiliki versi template saat ini. Ini menunjukkan bahwa aturan tersebut telah dibuat sebelum Oktober 2021. Jika ada versi template terbaru yang tersedia, versi ini kemungkinan versi template yang lebih baru daripada yang digunakan untuk membuat aturan.

Membandingkan aturan aktif Anda dengan templatenya

Pilih salah satu tab berikut sesuai dengan tindakan yang ingin Anda ambil, untuk melihat petunjuk untuk tindakan tersebut:

Memperbarui templat

Setelah memilih aturan dan menentukan bahwa Anda ingin mempertimbangkan untuk memperbaruinya, pilih Tinjau dan perbarui pada panel detail (lihat sebelumnya). Anda melihat bahwa wizard aturan Analitik sekarang memiliki tab Bandingkan dengan versi terbaru.

Pada tab ini, Anda akan melihat perbandingan berdampingan antara representasi YAML dari aturan yang ada dan versi terbaru templat.

Catatan

Memperbarui aturan ini akan menimpa aturan yang ada dengan versi terbaru template.

Setiap langkah atau logika otomatisasi yang mengacu pada aturan yang ada harus diverifikasi, jika nama yang dirujuk berubah. Selain itu, kustomisasi apa pun yang Anda buat dalam membuat aturan asli—perubahan pada kueri, penjadwalan, pengelompokan, atau pengaturan lainnya—mungkin ditimpa.

Memperbarui aturan Anda dengan versi template baru

• Jika perubahan yang dilakukan pada versi baru templat dapat diterima oleh Anda, dan tidak ada hal lain dalam aturan asli Anda yang terpengaruh, pilih Tinjau dan perbarui untuk memvalidasi dan menerapkan perubahan.

• Jika Anda ingin menyesuaikan aturan lebih lanjut atau menerapkan kembali perubahan apa pun yang mungkin ditimpa, pilih Berikutnya : Perubahan kustom. Telusuri tab yang tersisa dari wizard aturan Analitik untuk membuat perubahan tersebut, lalu validasi dan terapkan perubahan pada tab Tinjau dan perbarui.

• Jika Anda tidak ingin membuat perubahan pada aturan yang ada, namun untuk menjaga versi template yang ada, cukup keluar dari wizard dengan memilih X di pojok kanan atas.

Kembali ke template

Setelah memilih aturan dan menentukan bahwa Anda ingin kembali ke versi aslinya, pilih Bandingkan dengan templat pada panel detail (lihat sebelumnya). Anda melihat bahwa wizard aturan Analitik sekarang memiliki tab Bandingkan dengan versi terbaru.

Pada tab ini, Anda akan melihat perbandingan berdampingan antara representasi YAML dari aturan yang ada dan versi terbaru templat. Kedua nomor versi ini mungkin sama, tetapi sisi kanan menunjukkan templat asli, tidak berubah, dan sisi kiri menunjukkan aturan aktif, termasuk perubahan apa pun dari templat asli.

Catatan

Memperbarui aturan ini akan menimpa aturan yang ada dengan versi terbaru template.

Setiap langkah atau logika otomatisasi yang mengacu pada aturan yang ada harus diverifikasi, jika nama yang dirujuk berubah. Selain itu, kustomisasi apa pun yang Anda buat dalam membuat aturan asli—perubahan pada kueri, penjadwalan, pengelompokan, atau pengaturan lainnya—mungkin ditimpa.

Mengembalikan aturan Anda ke versi template aslinya

• Jika Anda ingin mengembalikan sepenuhnya ke versi asli aturan ini—salinan templat yang bersih—pilih Tinjau dan perbarui untuk memvalidasi dan menerapkan perubahan.

• Jika Anda ingin menyesuaikan aturan secara berbeda atau menerapkan kembali perubahan apa pun yang mungkin ditimpa, pilih Berikutnya : Perubahan kustom. Telusuri tab yang tersisa dari wizard aturan Analitik untuk membuat perubahan tersebut, lalu validasi dan terapkan perubahan pada tab Tinjau dan perbarui.

• Jika Anda tidak ingin membuat perubahan pada aturan yang ada, cukup keluar dari wizard dengan memilih X di pojok kanan atas.

Langkah berikutnya

Dalam dokumen ini, Anda belajar cara melacak versi templat aturan analitik Microsoft Azure Sentinel Anda, dan mengembalikan aturan aktif ke versi templat yang ada, atau memperbaruinya ke yang baru. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut:

• Pelajari lebih lanjut tentang aturan analitik.
• Lihat detail selengkapnya tentang wizard aturan analitik.