Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Per garantire che il rilevamento delle minacce di Microsoft Sentinel fornisca una copertura completa nell'ambiente, sfruttare i vantaggi degli strumenti di gestione dell'esecuzione. Questi strumenti sono costituiti da informazioni dettagliate sull'esecuzione pianificata delle regole di analisi, in base ai dati di integrità e controllo di Microsoft Sentinel, e da una funzionalità per eseguire manualmente le esecuzioni precedenti di regole in finestre temporali specifiche, a scopo di test e/o risoluzione dei problemi.
Importante
le informazioni dettagliate sulle regole di analisi di Microsoft Sentinel e la riesecuzione manuale sono attualmente disponibili in ANTEPRIMA. Per altre condizioni legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate in disponibilità generale, vedere le Condizioni aggiuntive per l'utilizzo per Microsoft Azure Previews.
Riepilogo
Esistono due strumenti di gestione dell'esecuzione per le regole di analisi pianificata: informazioni dettagliate sulle regole pianificate predefinite e la possibilità di eseguire nuovamente le regole pianificate su richiesta.
Nella pagina Analisi il pannello Informazioni dettagliate viene visualizzato come un'altra scheda nel riquadro dei dettagli, insieme alla scheda Info . Il pannello Informazioni dettagliate fornisce informazioni sull'attività e sui risultati di una regola. Ad esempio: esecuzioni non riuscite, problemi di integrità principali, conteggio degli avvisi nel tempo e classificazioni di chiusura degli eventi imprevisti creati dalla regola. Queste informazioni dettagliate consentono agli analisti della sicurezza di identificare potenziali problemi o configurazioni errate con le regole di analisi e di individuare e correggere gli errori delle regole e ottimizzare le configurazioni delle regole per ottenere prestazioni e accuratezza migliori.
Anche nella pagina Analisi è possibile rieseguire le regole di analisi su richiesta. Questa funzionalità offre flessibilità e controllo nella convalida dell'efficacia delle regole. Può essere utile in scenari come il perfezionamento delle regole, il test, la convalida e altri. La flessibilità necessaria per avviare le esecuzioni manuali può supportare operazioni di sicurezza efficienti, consentire una risposta efficace agli eventi imprevisti e migliorare le funzionalità generali di rilevamento e risposta del sistema.
Casi d'uso e vantaggi della riesecuzione delle regole
Ecco alcuni scenari che possono trarre vantaggio dalla riproduzione di esecuzioni specifiche di regole di analisi:
Ottimizzazione e perfezionamento delle regole: Le regole di analisi possono richiedere modifiche periodiche e ottimizzazioni in base all'evoluzione del panorama delle minacce e alle mutevoli esigenze dell'organizzazione. Rieseguendo manualmente le regole, gli analisti possono valutare l'impatto delle modifiche delle regole e convalidarne l'efficacia prima di distribuirle in un ambiente di produzione.
Test e convalida: Quando si introducono nuove regole di analisi, si apportano modifiche significative a quelle esistenti o si sviluppano nuovi playbook di eventi imprevisti, è essenziale testarne accuratamente le prestazioni e l'accuratezza. La riesecuzione manuale consente di simulare scenari diversi, incluso il flusso di eventi imprevisti automatizzati end-to-end, e di convalidare le regole in base a un set coerente di input di dati. Questo processo garantisce che le regole generino gli avvisi previsti senza generare falsi positivi eccessivi.
Indagine sugli eventi imprevisti: In caso di un evento imprevisto di sicurezza o di un'attività sospetta, gli analisti potrebbero voler visualizzare dettagli aggiuntivi negli avvisi già generati. A tale scopo, è possibile aggiornare la regola ed eseguirla nuovamente a intervalli di esecuzione specifici (fino a sette giorni) per raccogliere informazioni aggiuntive e identificare gli eventi correlati. La riesecuzione manuale consente agli analisti di eseguire indagini approfondite e garantisce una copertura completa.
Conformità e controllo: Alcuni requisiti normativi o criteri interni possono richiedere la riesecuzione periodica o su richiesta delle regole di analisi per dimostrare il monitoraggio e la conformità continui. La riesecuzione manuale consente di soddisfare tali obblighi garantendo che le regole vengano applicate in modo coerente e generando avvisi appropriati.
Prerequisiti
Per usare gli strumenti di gestione dell'esecuzione, è necessario che la funzionalità di integrità e controllo di Microsoft Sentinel sia abilitata e in particolare il monitoraggio dell'integrità delle regole di analisi. Informazioni su come abilitare l'integrità e il controllo.
Visualizzare informazioni dettagliate sulle regole di analisi
Per sfruttare questi strumenti, iniziare esaminando le informazioni dettagliate su una determinata regola.
Dal menu di spostamento Microsoft Sentinel selezionare Analisi.
Trovare e selezionare una regola (pianificata o NRT) di cui si desidera visualizzare le informazioni dettagliate.
Selezionare la scheda Insights nel riquadro dei dettagli.
Quando si seleziona la scheda Informazioni dettagliate , verrà visualizzato il selettore dell'intervallo di tempo. Selezionare un intervallo di tempo o lasciarlo come valore predefinito delle ultime 24 ore.
Il pannello Informazioni dettagliate mostra attualmente quattro tipi di informazioni dettagliate. Ogni informazioni dettagliate è seguita da un collegamento Visualizza tutto che consente di accedere alla pagina Log e visualizza la query che ha prodotto le informazioni dettagliate insieme ai risultati non elaborati completi. Ecco le informazioni dettagliate:
Le esecuzioni non riuscite visualizzano un elenco di esecuzioni non riuscite di questa regola nell'intervallo di tempo specificato. Questa informazione è seguita anche da un collegamento al pannello Esecuzioni regole , in cui è possibile visualizzare un elenco di tutte le volte in cui la regola è stata eseguita ed è possibile riprodurre esecuzioni specifiche della regola.
I principali problemi di integrità visualizzano un elenco dei problemi di integrità più comuni per questa regola durante l'intervallo di tempo specificato. Questa informazione è seguita anche da un collegamento Visualizza esecuzioni che consente di passare alla pagina Log in cui verrà visualizzata una query di tutte le volte in cui questa regola è stata eseguita.
Il grafico degli avvisi mostra un grafico del numero di avvisi generati da questa regola nell'intervallo di tempo specificato.
La classificazione degli eventi imprevisti mostra un riepilogo della classificazione degli eventi imprevisti chiusi creati da questa regola durante l'intervallo di tempo specificato.
Rieseguire le regole di analisi
Esistono diversi scenari che potrebbero comportare la riesecuzione di una regola.
Impossibile eseguire una regola a causa di una condizione temporanea ripristinata normale o a causa di una configurazione errata. Dopo aver corretto la configurazione errata o aver ripristinato la condizione, è necessario eseguire nuovamente la regola nello stesso intervallo di tempo (ovvero sugli stessi dati) dell'esecuzione che non è riuscita, per ridurre le lacune nella copertura.
Una regola è riuscita a essere in esecuzione, ma non ha fornito informazioni sufficienti negli avvisi generati. In questo caso è possibile modificare la regola per fornire altre informazioni, sia modificando la query che le impostazioni di arricchimento. Sarà quindi necessario eseguire di nuovo la regola nello stesso intervallo di tempo (ovvero sugli stessi dati) dell'esecuzione per cui si vogliono altre informazioni.
Si potrebbe provare a scrivere o modificare una regola e si vuole vedere in che modo le diverse impostazioni influiranno sugli avvisi generati dalla regola. Per un confronto valido, si vuole rieseguire la regola nello stesso intervallo di tempo.
Ecco come eseguire di nuovo una regola:
Nella pagina Analisi selezionare Esecuzioni regole (anteprima) dalla barra degli strumenti nella parte superiore. Verrà aperto il pannello Esecuzione regola .
È anche possibile accedere al pannello Esecuzioni regole selezionando Riesegui regole dalla visualizzazione Esecuzioni non riuscite nella scheda Informazioni dettagliate (vedere sopra).
Selezionare le esecuzioni della regola che si desidera riprodurre, in base all'intervallo di tempo in cui sono state originariamente eseguite, come visualizzato nella colonna Ora di esecuzione . È possibile scegliere più di un'esecuzione di regole.
Selezionare Esegui riesecuzione. Verranno visualizzate notifiche che mostrano lo stato di avanzamento delle richieste e che le regole sono state accodate per l'esecuzione.
Selezionare Aggiorna per visualizzare lo stato aggiornato delle esecuzioni della regola. Si noterà che le richieste vengono visualizzate tra di esse, con uno stato In corso (che alla fine verrà visualizzato come Operazione riuscita) e un tipo di attivato dall'utente anziché attivato dal sistema.
Si noterà anche che il tempo di esecuzione delle riesecuzione richieste è lo stesso dell'esecuzione dell'esecuzione attivata dal sistema originale e non il tempo di esecuzione della riesegui. In questo modo è possibile visualizzare l'intervallo di tempo in cui viene fatto riferimento alla riesegui.
È possibile riprodurre solo le esecuzioni delle regole attivate dal sistema, non quelle attivate dall'utente.
Selezionare Visualizza dettagli completi alla fine della riga di qualsiasi esecuzione di regole per visualizzarne i dettagli completi non elaborati nella schermata Log .
Passaggi successivi
- Monitorare l'integrità e controllare l'integrità delle regole di analisi.
- Informazioni sul controllo e il monitoraggio dell'integrità in Microsoft Sentinel.
- Attivare il controllo e il monitoraggio dell'integrità in Microsoft Sentinel.
- Vedere altre informazioni sugli schemi di tabella SentinelHealth e SentinelAudit .