Gestire le versioni dei modelli per le regole di analisi pianificata in Microsoft Sentinel

Importante

Questa funzionalità si trova in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Introduzione

Microsoft Sentinel contiene modelli di regole di analisi che si trasformano in regole attive creando in modo efficace una copia di esse, questo si verifica quando si crea una regola da un modello. A questo punto, tuttavia, la regola attiva non è più connessa al modello. Se vengono apportate modifiche a un modello di regola, dai tecnici Microsoft o da altri utenti, tutte le regole create in precedenza da tale modello non vengono aggiornate dinamicamente in modo da corrispondere al nuovo modello.

Tuttavia, le regole create dai modelli ricordano i modelli da cui provengono, consentendo di usufruire di due vantaggi:

• Se sono state apportate modifiche a una regola durante la creazione da un modello o in qualsiasi momento successivo, è sempre possibile ripristinare la regola alla versione originale.

• Si riceve una notifica quando un modello viene aggiornato. È possibile aggiornare le regole alla nuova versione dei modelli oppure lasciarle invariate.

Questo articolo illustra come gestire queste attività e cosa considerare. Le procedure descritte nell'articolo si applicano a qualsiasi regola di analisi pianificata creata dai modelli.

Individuare il numero di versione del modello della regola

Con l'implementazione del controllo della versione del modello, è possibile visualizzare e tenere traccia delle versioni dei modelli della regola e delle regole create da essi. Le regole con i modelli aggiornati visualizzano un badge "Aggiorna" accanto al nome della regola.

1. Nella pagina Analisi selezionare la scheda Regole attive.

2. Selezionare una regola di tipo Pianificata.

   • Se la regola visualizza il badge "Aggiorna", il riquadro dei dettagli avrà un pulsante Esamina e aggiorna accanto al pulsante Modifica (vedere l'immagine 1 nel passaggio successivo).

   • Se la regola è stata creata da un modello ma non ha il badge "Aggiorna", il riquadro dei dettagli avrà un pulsante Confronta con il modello accanto al pulsante Modifica (vedere le immagini 2 e 3 nel passaggio successivo).

   • Se è presente solo un pulsante Modifica, la regola è stata creata da zero, non da un modello.

     

3. Scorrere verso il basso fino alla fine del riquadro dei dettagli, in cui vengono visualizzati due numeri di versione: la versione del modello da cui è stata creata la regola e la versione più recente disponibile del modello.

   

   Il numero è in formato "1.0.0": versione principale, versione secondaria e build.

   • Una differenza nel numero della versione principale indica che è stato modificato qualcosa di essenziale nel modello, che potrebbe influire sul modo in cui la regola rileva le minacce o persino la sua capacità di funzionare del tutto. Si vuole includere questa modifica nelle regole.

   • Una differenza nel numero della versione secondaria indica un miglioramento secondario nel modello, una modifica estetica o qualcosa di simile, che sarebbe "consigliato", ma non è fondamentale per mantenere la funzionalità, l'efficacia o le prestazioni della regola. È possibile apportare facilmente questa modifica o lasciarla.

   Nota

   Le immagini 2 e 3 mostrano due esempi di regole create dai modelli, in cui il modello non è stato aggiornato.

   • L'immagine 2 mostra una regola con un numero di versione per il modello corrente. Segnala che la regola è stata creata dopo l'implementazione iniziale del controllo della versione del modello di Microsoft Sentinel nell'ottobre 2021.
   • L'immagine 3 mostra una regola che non ha una versione del modello corrente. Ciò mostra che la regola è stata creata prima di ottobre 2021. Se è disponibile una versione più recente del modello, è probabile che sia disponibile una versione più recente del modello rispetto a quella usata per creare la regola.

Confrontare la regola attiva con il relativo modello

Scegliere una delle schede seguenti in base all'azione che si vuole eseguire, per visualizzare le istruzioni per tale azione:

Aggiornare il modello

Dopo aver selezionato una regola e aver determinato che la si vuole aggiornare, selezionare Esamina e aggiorna nel riquadro dei dettagli (vedere in precedenza). Si noterà che la Procedura guidata della regola di analisi ora include una scheda Confronto con l’ultima versione.

In questa scheda viene visualizzato un confronto affiancato tra le rappresentazioni YAML della regola esistente e l’ultima versione del modello.

Nota

L'aggiornamento di questa regola sovrascriverà la regola esistente con l’ultima versione del modello.

Qualsiasi passaggio o logica di automazione che fa riferimento alla regola esistente deve essere verificato, nel caso in cui i nomi a cui si fa riferimento vengano modificati. Inoltre, eventuali personalizzazioni apportate durante la creazione della regola originale, modifiche alla query, alla pianificazione, al raggruppamento o ad altre impostazioni, potrebbero essere sovrascritte.

Aggiornare la regola con la nuova versione del modello

• Se le modifiche apportate alla nuova versione del modello sono accettabili e non sono interessate altre modifiche nella regola originale, selezionare Esamina e aggiorna per convalidare e applicare le modifiche.

• Se si vuole personalizzare ulteriormente la regola o riapplicare le modifiche che altrimenti potrebbero essere sovrascritte, selezionare Avanti: Modifiche personalizzate. Scorrere le schede rimanenti della Procedura guidata della regola di analisi per apportare tali modifiche, quindi convalidare e applicare le modifiche nella scheda Esamina e aggiorna.

• Se non si desidera apportare modifiche alla regola esistente, ma solo mantenere la versione del modello esistente, è sufficiente uscire dalla procedura guidata selezionando la X nell'angolo in alto a destra.

Annullare le modifiche al modello

Dopo aver selezionato una regola e determinato che si vuole ripristinare la versione originale, selezionare Confronta con il modello nel riquadro dei dettagli (vedere in precedenza). Si noterà che la Procedura guidata della regola di analisi ora include una scheda Confronto con l’ultima versione.

In questa scheda viene visualizzato un confronto affiancato tra le rappresentazioni YAML della regola esistente e l’ultima versione del modello. Questi due numeri di versione potrebbero essere uguali, ma il lato destro mostra il modello originale, invariato e quello sinistro la regola attiva, incluse le modifiche apportate al modello originale.

Nota

L'aggiornamento di questa regola sovrascriverà la regola esistente con l’ultima versione del modello.

Qualsiasi passaggio o logica di automazione che fa riferimento alla regola esistente deve essere verificato, nel caso in cui i nomi a cui si fa riferimento vengano modificati. Inoltre, eventuali personalizzazioni apportate durante la creazione della regola originale, modifiche alla query, alla pianificazione, al raggruppamento o ad altre impostazioni, potrebbero essere sovrascritte.

Ripristinare la regola alla versione originale del modello

• Se si vuole ripristinare completamente la versione originale di questa regola, una copia pulita del modello, selezionare Esamina e aggiorna per convalidare e applicare le modifiche.

• Se si vuole personalizzare la regola in modo differente o riapplicare le modifiche che altrimenti potrebbero essere sovrascritte, selezionare Avanti: Modifiche personalizzate. Scorrere le schede rimanenti della Procedura guidata della regola di analisi per apportare tali modifiche, quindi convalidare e applicare le modifiche nella scheda Esamina e aggiorna.

• Se non si desidera apportare modifiche alla regola esistente è sufficiente uscire dalla procedura guidata selezionando la X nell'angolo in alto a destra.

Passaggi successivi

In questo documento si è appreso come tenere traccia delle versioni dei modelli di regole di analisi di Microsoft Sentinel e ripristinare le regole attive alle versioni dei modelli esistenti o aggiornarle a quelle nuove. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:

• Altre informazioni sulle regole di analisi.
• Vedere altri dettagli sulla procedura guidata per le regole di analisi.