Memantau dan mengoptimalkan eksekusi aturan analitik terjadwal Anda

Untuk memastikan bahwa deteksi ancaman Microsoft Sentinel menyediakan cakupan lengkap di lingkungan Anda, manfaatkan alat manajemen eksekusinya. Alat-alat ini terdiri dari wawasan tentang eksekusi aturan analitik terjadwal Anda, berdasarkan data kesehatan dan audit Microsoft Azure Sentinel, dan fasilitas untuk menjalankan kembali eksekusi aturan sebelumnya secara manual pada jendela waktu tertentu, untuk tujuan pengujian dan/atau pemecahan masalah.

Penting

Wawasan aturan analitik Microsoft Azure Sentinel dan eksekusi ulang manual saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Ringkasan

Ada dua alat manajemen eksekusi untuk aturan analitik terjadwal: wawasan aturan terjadwal bawaan dan kemampuan untuk menjalankan kembali aturan terjadwal sesuai permintaan.

Pada halaman Analitik , panel Insight ditampilkan sebagai tab lain di panel detail, bersama tab Info . Panel Wawasan menyediakan informasi tentang aktivitas dan hasil aturan. Misalnya: eksekusi yang gagal, masalah kesehatan teratas, jumlah pemberitahuan dari waktu ke waktu, dan klasifikasi penutupan insiden yang dibuat oleh aturan. Wawasan ini membantu analis keamanan Anda mengidentifikasi potensi masalah atau kesalahan konfigurasi dengan aturan analitik, dan memungkinkan mereka menemukan dan memperbaiki kegagalan aturan dan mengoptimalkan konfigurasi aturan untuk performa dan akurasi yang lebih baik.

Selain itu, di halaman Analitik , Anda memiliki kemampuan untuk menjalankan ulang aturan analitik sesuai permintaan. Kemampuan ini memberikan fleksibilitas dan kontrol dalam memvalidasi efektivitas aturan. Ini dapat berguna dalam skenario seperti penyempurnaan aturan, pengujian, validasi, dan lainnya. Memiliki fleksibilitas untuk memulai eksekusi ulang manual dapat mendukung operasi keamanan yang efisien, memungkinkan respons insiden yang efektif, dan meningkatkan kemampuan deteksi dan respons sistem secara keseluruhan.

Kasus penggunaan dan manfaat eksekusi ulang aturan

Berikut adalah beberapa skenario yang dapat memperoleh manfaat dari pemutaran ulang aturan analitik tertentu:

Penyempurnaan dan penyetelan aturan: Aturan analitik mungkin memerlukan penyesuaian berkala dan penyempurnaan berdasarkan lanskap ancaman yang berkembang dan perubahan kebutuhan organisasi. Dengan menjalankan ulang aturan secara manual, analis Anda dapat menilai dampak modifikasi aturan dan memvalidasi efektivitasnya sebelum menyebarkannya di lingkungan produksi.

Pengujian dan validasi: Saat memperkenalkan aturan analitik baru, membuat perubahan signifikan pada yang sudah ada, atau mengembangkan playbook insiden baru, penting untuk menguji performa dan akurasinya secara menyeluruh. Menjalankan ulang manual memungkinkan Anda mensimulasikan skenario yang berbeda, termasuk alur insiden otomatis end-to-end, dan memvalidasi aturan terhadap sekumpulan input data yang konsisten. Proses ini memastikan bahwa aturan menghasilkan pemberitahuan yang diharapkan tanpa menghasilkan positif palsu yang berlebihan.

Penyelidikan insiden: Jika terjadi insiden keamanan atau aktivitas yang mencurigakan, analis Anda mungkin ingin memunculkan detail tambahan dalam pemberitahuan yang sudah dibuat. Mereka dapat melakukan ini dengan memperbarui aturan dan menjalankannya kembali pada interval eksekusi tertentu (kembali ke tujuh hari) untuk mengumpulkan informasi tambahan dan mengidentifikasi peristiwa terkait. Menjalankan ulang manual memungkinkan analis Anda untuk melakukan penyelidikan mendalam dan membantu memastikan cakupan yang komprehensif.

Kepatuhan dan audit: Beberapa persyaratan peraturan atau kebijakan internal dapat mengharuskan menjalankan ulang aturan analitik secara berkala atau sesuai permintaan untuk menunjukkan pemantauan dan kepatuhan berkelanjutan. Menjalankan ulang manual memberikan kemampuan untuk memenuhi kewajiban tersebut dengan memastikan bahwa aturan diterapkan secara konsisten dan menghasilkan pemberitahuan yang sesuai.

Prasyarat

Untuk menggunakan alat manajemen eksekusi, Anda harus mengaktifkan fitur kesehatan dan audit Microsoft Sentinel, dan khususnya pemantauan kesehatan aturan analitik. Pelajari cara mengaktifkan kesehatan dan audit.

Melihat wawasan aturan analitik

Untuk memanfaatkan alat-alat ini, mulailah dengan memeriksa wawasan tentang aturan tertentu.

1. Dari menu navigasi Microsoft Azure Sentinel, pilih Analitik.

2. Temukan dan pilih aturan (Terjadwal atau NRT) yang wawasannya ingin Anda lihat.

3. Pilih tab Insight di panel detail.

   

4. Saat Anda memilih tab Insight, pemilih jangka waktu akan muncul. Pilih jangka waktu, atau biarkan sebagai default 24 jam terakhir.

   

Panel Insight saat ini menunjukkan empat jenis wawasan. Setiap wawasan diikuti oleh tautan Tampilkan semua yang membawa Anda ke halaman Log dan menampilkan kueri yang menghasilkan wawasan bersama dengan hasil mentah lengkap. Berikut adalah wawasannya:

• Eksekusi yang gagal menampilkan daftar eksekusi aturan yang gagal dalam jangka waktu tertentu. Wawasan ini juga diikuti oleh tautan ke panel Aturan berjalan , di mana Anda dapat melihat daftar setiap kali aturan dijalankan, dan Anda dapat memutar ulang eksekusi aturan tertentu.

• Masalah kesehatan teratas menampilkan daftar masalah kesehatan yang paling umum untuk aturan ini selama jangka waktu tertentu. Wawasan ini juga diikuti oleh tautan Tampilkan eksekusi yang membawa Anda ke halaman Log tempat Anda akan melihat kueri setiap kali aturan ini dijalankan.

• Grafik pemberitahuan memperlihatkan bagan jumlah pemberitahuan yang dihasilkan oleh aturan ini dalam jangka waktu tertentu.

• Klasifikasi insiden menunjukkan ringkasan klasifikasi insiden tertutup yang dibuat oleh aturan ini selama jangka waktu tertentu.

Menjalankan ulang aturan analitik

Ada beberapa skenario yang mungkin mengarahkan Anda untuk menjalankan ulang aturan.

• Aturan gagal dijalankan karena kondisi sementara yang kembali normal, atau karena kesalahan konfigurasi. Setelah memperbaiki kesalahan konfigurasi atau memperbaiki kondisi, Anda akan ingin menjalankan ulang aturan pada jendela waktu yang sama (yaitu, pada data yang sama) sebagai eksekusi yang gagal, untuk mengurangi celah dalam cakupan.

• Aturan berhasil dijalankan, tetapi tidak memberikan informasi yang cukup dalam pemberitahuan yang dihasilkannya. Dalam hal ini Anda mungkin ingin mengedit aturan untuk memberikan informasi lebih lanjut, baik dengan mengubah kueri atau pengaturan pengayaan. Anda kemudian ingin menjalankan ulang aturan pada jendela waktu yang sama (yaitu, pada data yang sama) sebagai eksekusi yang Anda inginkan informasi selengkapnya.

• Anda mungkin bereksperimen dengan menulis atau mengedit aturan dan ingin melihat bagaimana pengaturan yang berbeda akan memengaruhi pemberitahuan yang dihasilkan aturan. Untuk perbandingan yang valid, Anda ingin menjalankan ulang aturan pada jendela waktu yang sama.

Berikut cara menjalankan ulang aturan:

1. Dari halaman Analitik , pilih Aturan berjalan (Pratinjau) dari toolbar di bagian atas. Panel Aturan berjalan akan terbuka.

   

   Anda juga bisa masuk ke panel Eksekusi aturan dengan memilih Jalankan ulang aturan dari tampilan Eksekusi gagal pada tab Insight ( lihat di atas).

   

2. Pilih aturan yang dijalankan yang ingin Anda putar ulang, sesuai dengan jendela waktu tempat aturan awalnya dijalankan, seperti yang ditampilkan di kolom Waktu eksekusi . Anda dapat memilih lebih dari satu aturan yang dijalankan.

   

3. Pilih Putar ulang eksekusi. Pemberitahuan akan ditampilkan yang menunjukkan kemajuan permintaan dan bahwa aturan diantrekan untuk eksekusi.

   

4. Pilih Refresh untuk melihat status eksekusi aturan yang diperbarui. Anda akan melihat bahwa permintaan Anda ditampilkan di antaranya, dengan status Sedang berlangsung (akhirnya akan ditampilkan sebagai Berhasil) dan jenis Yang dipicu Pengguna dibandingkan dengan yang dipicu Sistem.

   

   Anda juga akan melihat bahwa waktu eksekusi eksekusi ulang yang Anda minta sama dengan eksekusi yang dipicu sistem asli, dan bukan waktu eksekusi eksekusi ulang Anda. Ini untuk menunjukkan kepada Anda jendela waktu mana yang dirujuk oleh eksekusi ulang Anda.

   Anda hanya dapat memutar ulang eksekusi aturan yang dipicu sistem, bukan aturan yang dipicu pengguna.

Pilih Tampilkan detail lengkap di akhir baris aturan apa pun yang dijalankan untuk melihat detail mentah lengkapnya di layar Log .

Langkah berikutnya

• Pantau kesehatan dan audit integritas aturan analitik Anda.
• Pelajari tentang audit dan pemantauan kesehatan di Microsoft Azure Sentinel.
• Aktifkan audit dan pemantauan kesehatan di Microsoft Azure Sentinel.
• Lihat informasi selengkapnya tentang skema tabel SentinelHealth dan SentinelAudit .