Sebelumnya

Berikutnya

Mengelola aturan analitik

Selesai

Mengelola aturan analitik

Untuk menyesuaikan kebisingan dan memfilter ancaman yang lebih penting yang terdeteksi, Anda harus mengelola aturan analitik secara berkelanjutan. Ini membantu memastikan bahwa aturan Anda tetap berguna dan efisien dalam mendeteksi potensi ancaman keamanan.

Anda bisa melakukan empat tindakan berikut pada aturan aktif yang sudah ada:

• Edit

• Nonaktifkan

• Duplikat

• Delete

Mengedit aturan

Anda bisa mengubah aturan yang sudah ada dengan memilih Edit di panel detail. Untuk mengedit aturan, Anda menavigasi halaman yang sama dengan yang Anda lakukan dalam membuat aturan. Input sebelumnya yang Anda gunakan untuk membuat aturan dipertahankan. Anda dapat mengubah properti aturan apa pun untuk menyelaraskan hasil deteksi ancaman lebih lanjut.

Modifikasi umum yang mungkin ingin Anda terapkan adalah melampirkan respons otomatis ke ancaman yang sudah terdeteksi. Untuk melakukan ini, pada halaman Respons Otomatis, Anda dapat memilih salah satu playbook yang ada yang menentukan aktivitas otomatis yang akan berjalan jika ancaman terdeteksi.

Misalnya, aturan analitik Anda mungkin mendeteksi insiden yang telah diatasi, dan Anda ingin mengurangi pemberitahuan lebih lanjut jika aktivitas serupa terjadi. Dengan melampirkan playbook yang berisi aktivitas otomatis, Anda dapat mengubah status insiden atau menambahkan komentar saat insiden serupa terdeteksi.

Nonaktifkan aturan

Anda dapat menonaktifkan aturan saat melakukan aktivitas yang dapat memicu pemberitahuan aturan. Aturan yang dinonaktifkan mempertahankan konfigurasinya, dan Anda dapat mengaktifkannya lagi di lain waktu.

Aturan duplikat

Saat Anda menduplikasi aturan, aturan berisi semua konfigurasi yang disediakan dari aturan asli. Anda dapat memodifikasi konfigurasi lebih lanjut berdasarkan kebutuhan Anda. Jangan lupa untuk mengubah nama aturan duplikat karena secara default, aturan duplikat memiliki nama yang sama dengan aturan asli dengan string Copy ditambahkan ke dalamnya.

Menghapus aturan

Menghapus aturan meminta konfirmasi sebelum Analitik Microsoft Sentinel menghapusnya dari kumpulan aturan aktif. Misalnya, Anda dapat menghapus aturan tentang layanan atau sumber daya yang tidak digunakan, yang menghilangkan kebutuhan akan aturan tersebut. Menghapus aturan bersifat permanen, dan tidak ada fitur batalkan. Oleh karena itu, kami sarankan Anda terlebih dahulu menonaktifkan aturan untuk jangka waktu tertentu hingga Anda yakin tidak membutuhkannya.

Uji pengetahuan Anda

1.

Karena aktivitas pemeliharaan yang sedang berlangsung, Anda harus berhenti menerima pemberitahuan dari aturan analitik untuk sementara. Tindakan mana yang harus Anda aktifkan pada aturan untuk mencapai konfigurasi tersebut?

Delete

Nonaktifkan

Duplikat

2.

Apa cara paling efisien untuk mengedit aturan analitik yang ada?

Hapus dan buat ulang pemberitahuan dengan logika baru.

Duplikat aturan dan ubah untuk mencapai perubahan yang diperlukan.

Buat aturan baru.

Anda harus menjawab semua pertanyaan sebelum memeriksa pekerjaan Anda.

Lanjutkan