Creare regole di analisi pianificata dai modelli

Di gran lunga il tipo più comune di regola di analisi, le regole pianificate si basano su query Kusto configurate per l'esecuzione a intervalli regolari ed esaminano i dati non elaborati da un periodo di "lookback" definito. Queste query possono eseguire operazioni statistiche complesse sui dati di destinazione, rivelando baseline e outlier in gruppi di eventi. Se il numero di risultati acquisiti dalla query supera la soglia configurata nella regola, la regola genera un avviso.

Microsoft rende disponibile una vasta gamma di modelli di regole di analisi tramite le numerose soluzioni disponibili nell'hub contenuto e incoraggia vivamente l'utente a usarli per creare le regole. Le query nei modelli di regole pianificate vengono scritte da esperti di sicurezza e data science, da Microsoft o dal fornitore della soluzione che fornisce il modello.

Questo articolo illustra come creare una regola di analisi pianificata usando un modello.

Importante

Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.

Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.

Visualizzare le regole di analisi esistenti

Per visualizzare le regole di analisi installate in Microsoft Sentinel, passare alla pagina Analisi. Nella scheda Modelli di regola vengono visualizzati tutti i modelli di regola installati. Per trovare altri modelli di regole, passare all'hub Contenuto in Microsoft Sentinel per installare le soluzioni di prodotto correlate o il contenuto autonomo.

Portale di Defender

1. Dal menu di spostamento Microsoft Defender espandere Microsoft Sentinel, quindi Configurazione. Selezionare Analisi.

2. Nella schermata Analisi selezionare la scheda Modelli di regola .

3. Se si vuole filtrare l'elenco per i modelli pianificati :

   1. Selezionare Aggiungi filtro e scegliere Tipo di regola dall'elenco dei filtri.

   2. Nell'elenco risultante selezionare Pianificato. Selezionare quindi Applica.

   

Portale di Azure

1. Nella sezione Configurazione del menu di spostamento Microsoft Sentinel selezionare Analisi.

2. Nella schermata Analisi selezionare la scheda Modelli di regola .

3. Se si vuole filtrare l'elenco per i modelli pianificati :

   1. Selezionare Aggiungi filtro e scegliere Tipo di regola dall'elenco dei filtri.

   2. Nell'elenco risultante selezionare Pianificato. Selezionare quindi Applica.

   

Creare una regola da un modello

Questa procedura descrive come creare una regola di analisi da un modello.

Portale di Defender

Dal menu di spostamento Microsoft Defender espandere Microsoft Sentinel, quindi Configurazione. Selezionare Analisi.

Portale di Azure

Nella sezione Configurazione del menu di spostamento Microsoft Sentinel selezionare Analisi.

1. Nella schermata Analisi selezionare la scheda Modelli di regola .

2. Selezionare un nome di modello e quindi selezionare il pulsante Crea regola nel riquadro dei dettagli per creare una nuova regola attiva basata su tale modello.

   Ogni modello include un elenco di origini dati necessarie. Quando si apre il modello, le origini dati vengono controllate automaticamente per la disponibilità. Se un'origine dati non è abilitata, il pulsante Crea regola potrebbe essere disabilitato o potrebbe essere visualizzato un messaggio in tal modo.

   

3. Verrà visualizzata la creazione guidata delle regole. Tutti i dettagli vengono riempiti automaticamente.

4. Scorrere le schede della procedura guidata, personalizzando la logica e altre impostazioni delle regole, dove possibile, in base alle esigenze specifiche. Per altre informazioni, vedere:

   • Linguaggio di query Kusto in Microsoft Sentinel
   • Guida di riferimento rapido KQL
   • Procedure consigliate per le query Linguaggio di query Kusto

   Quando si arriva alla fine della creazione guidata regola, Microsoft Sentinel crea la regola. La nuova regola viene visualizzata nella scheda Regole attive .

   Ripetere il processo per creare altre regole. Per altre informazioni su come personalizzare le regole nella creazione guidata delle regole, vedere Creare una regola di analisi personalizzata da zero.

Consiglio

• Assicurarsi di abilitare tutte le regole associate alle origini dati connesse per garantire una copertura di sicurezza completa per l'ambiente. Il modo più efficiente per abilitare le regole di analisi è direttamente dalla pagina del connettore dati, che elenca tutte le regole correlate. Per altre informazioni, vedere Connettere origini dati.

• È anche possibile eseguire il push di regole in Microsoft Sentinel tramite API e PowerShell, anche se per farlo è necessario un ulteriore sforzo.

  Quando si usa l'API o PowerShell, è prima necessario esportare le regole in JSON prima di abilitare le regole. L'API o PowerShell può essere utile quando si abilitano regole in più istanze di Microsoft Sentinel con impostazioni identiche in ogni istanza.

Passaggi successivi

In questo documento si è appreso come creare regole di analisi pianificata dai modelli in Microsoft Sentinel.

• Altre informazioni sulle regole di analisi.
• Informazioni su come creare una regola di analisi da zero.