Creare regole di analisi pianificate dai modelli

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Di gran lunga il tipo più comune di regola di analisi, le regole pianificate sono basate su query Kusto configurate per l'esecuzione a intervalli regolari ed esaminare i dati non elaborati da un periodo di "lookback" definito. Queste query possono eseguire operazioni statistiche complesse sui dati di destinazione, rivelando baseline e outlier in gruppi di eventi. Se il numero di risultati acquisiti dalla query supera la soglia configurata nella regola, la regola genera un avviso.

Microsoft rende disponibile una vasta gamma di modelli di regole di analisi tramite le numerose soluzioni fornite nell'hub contenuto e incoraggia vivamente l'utente a usarli per creare le regole. Le query nei modelli di regola pianificate vengono scritte da esperti di sicurezza e data science, microsoft o dal fornitore della soluzione che fornisce il modello.

Questo articolo illustra come creare una regola di analisi pianificata usando un modello.

Importante

Microsoft Sentinel è disponibile come parte della piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Microsoft Sentinel nel portale di Defender è ora supportato per l'uso in produzione. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Visualizzare le regole di analisi esistenti

Per visualizzare le regole di analisi installate in Microsoft Sentinel, passare alla pagina Analisi . Nella scheda Modelli di regola vengono visualizzati tutti i modelli di regola installati. Per trovare altri modelli di regole, passare all'hub contenuto in Microsoft Sentinel per installare le soluzioni di prodotto correlate o il contenuto autonomo.

Azure portal

1. Nella sezione Configurazione del menu di spostamento di Microsoft Sentinel selezionare Analisi.

2. Nella schermata Analisi selezionare la scheda Modelli di regola.

3. Per filtrare l'elenco per i modelli pianificati :

   1. Selezionare Aggiungi filtro e scegliere Tipo di regola dall'elenco dei filtri.

   2. Nell'elenco risultante selezionare Pianificato. Quindi seleziona Applica.

   

Portale di Defender

1. Dal menu di spostamento di Microsoft Defender espandere Microsoft Sentinel, quindi Configurazione. Selezionare Analisi.

2. Nella schermata Analisi selezionare la scheda Modelli di regola.

3. Per filtrare l'elenco per i modelli pianificati :

   1. Selezionare Aggiungi filtro e scegliere Tipo di regola dall'elenco dei filtri.

   2. Nell'elenco risultante selezionare Pianificato. Quindi seleziona Applica.

   

Creare una regola da un modello

Questa procedura descrive come creare una regola di analisi da un modello.

Azure portal

Nella sezione Configurazione del menu di spostamento di Microsoft Sentinel selezionare Analisi.

Portale di Defender

Dal menu di spostamento di Microsoft Defender espandere Microsoft Sentinel, quindi Configurazione. Selezionare Analisi.

1. Nella schermata Analisi selezionare la scheda Modelli di regola.

2. Selezionare un nome di modello e quindi selezionare il pulsante Crea regola nel riquadro dei dettagli per creare una nuova regola attiva basata su tale modello.

   Ogni modello include un elenco delle origini dati necessarie. Quando si apre il modello, le origini dati vengono controllate automaticamente per la disponibilità. Se un'origine dati non è abilitata, il pulsante Crea regola potrebbe essere disabilitato oppure potrebbe essere visualizzato un messaggio a tale effetto.

   

3. Verrà visualizzata la creazione guidata della regola. Tutti i dettagli vengono compilati automaticamente.

4. Scorrere le schede della procedura guidata, personalizzando la logica e altre impostazioni delle regole, se possibile, in base alle esigenze specifiche.

   Quando si arriva alla fine della creazione guidata delle regole, Microsoft Sentinel crea la regola. La nuova regola viene visualizzata nella scheda Regole attive.

   Ripetere il processo per creare altre regole. Per altre informazioni su come personalizzare le regole nella creazione guidata delle regole, vedere Creare una regola di analisi personalizzata da zero.

Suggerimento

• Assicurarsi di abilitare tutte le regole associate alle origini dati connesse per garantire la copertura completa della sicurezza per l'ambiente. Il modo più efficiente per abilitare le regole di analisi è direttamente dalla pagina del connettore dati, che elenca le regole correlate. Per altre informazioni, vedere Connettere le origini dati.

• È anche possibile eseguire il push delle regole in Microsoft Sentinel tramite API e PowerShell, anche se questa operazione richiede ulteriore sforzo.

  Quando si usa l'API o PowerShell, è prima necessario esportare le regole in JSON prima di abilitare le regole. L'API o PowerShell può essere utile quando si abilitano regole in più istanze di Microsoft Sentinel con impostazioni identiche in ogni istanza.

Passaggi successivi

In questo documento si è appreso come creare regole di analisi pianificate dai modelli in Microsoft Sentinel.

• Altre informazioni sulle regole di analisi.
• Informazioni su come creare una regola di analisi da zero.