Mengelola aturan analitik
Mengelola aturan analitik
Untuk menyesuaikan kebisingan dan memfilter ancaman yang lebih penting yang terdeteksi, Anda harus mengelola aturan analitik secara berkelanjutan. Ini membantu memastikan bahwa aturan Anda tetap berguna dan efisien dalam mendeteksi potensi ancaman keamanan.
Anda bisa melakukan empat tindakan berikut pada aturan aktif yang sudah ada:
Edit
Nonaktifkan
Duplikat
Delete
Mengedit aturan
Anda bisa mengubah aturan yang sudah ada dengan memilih Edit di panel detail. Untuk mengedit aturan, Anda menavigasi halaman yang sama dengan yang Anda lakukan dalam membuat aturan. Input sebelumnya yang Anda gunakan untuk membuat aturan dipertahankan. Anda dapat mengubah properti aturan apa pun untuk menyelaraskan hasil deteksi ancaman lebih lanjut.
Modifikasi umum yang mungkin ingin Anda terapkan adalah melampirkan respons otomatis ke ancaman yang sudah terdeteksi. Untuk melakukan ini, pada halaman Respons Otomatis, Anda dapat memilih salah satu playbook yang ada yang menentukan aktivitas otomatis yang akan berjalan jika ancaman terdeteksi.
Misalnya, aturan analitik Anda mungkin mendeteksi insiden yang telah diatasi, dan Anda ingin mengurangi pemberitahuan lebih lanjut jika aktivitas serupa terjadi. Dengan melampirkan playbook yang berisi aktivitas otomatis, Anda dapat mengubah status insiden atau menambahkan komentar saat insiden serupa terdeteksi.
Nonaktifkan aturan
Anda dapat menonaktifkan aturan saat melakukan aktivitas yang dapat memicu pemberitahuan aturan. Aturan yang dinonaktifkan mempertahankan konfigurasinya, dan Anda dapat mengaktifkannya lagi di lain waktu.
Aturan duplikat
Saat Anda menduplikasi aturan, aturan berisi semua konfigurasi yang disediakan dari aturan asli. Anda dapat memodifikasi konfigurasi lebih lanjut berdasarkan kebutuhan Anda. Jangan lupa untuk mengubah nama aturan duplikat karena secara default, aturan duplikat memiliki nama yang sama dengan aturan asli dengan string Copy ditambahkan ke dalamnya.
Menghapus aturan
Menghapus aturan meminta konfirmasi sebelum Analitik Microsoft Sentinel menghapusnya dari kumpulan aturan aktif. Misalnya, Anda dapat menghapus aturan tentang layanan atau sumber daya yang tidak digunakan, yang menghilangkan kebutuhan akan aturan tersebut. Menghapus aturan bersifat permanen, dan tidak ada fitur batalkan. Oleh karena itu, kami sarankan Anda terlebih dahulu menonaktifkan aturan untuk jangka waktu tertentu hingga Anda yakin tidak membutuhkannya.