Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
I rilevamenti personalizzati sono ora il modo migliore per creare nuove regole in Microsoft Sentinel Microsoft Defender XDR SIEM. Con i rilevamenti personalizzati, è possibile ridurre i costi di inserimento, ottenere rilevamenti in tempo reale illimitati e trarre vantaggio dall'integrazione senza problemi con dati, funzioni e azioni di correzione Defender XDR con il mapping automatico delle entità. Per altre informazioni, leggere questo blog.
Questo articolo illustra come gestire determinati problemi che possono verificarsi con l'esecuzione di regole di analisi pianificate in Microsoft Sentinel.
Problema: nei risultati della query non vengono visualizzati eventi
Quando il raggruppamento di eventi è impostato per attivare un avviso per ogni evento, i risultati della query visualizzati in un secondo momento potrebbero sembrare mancanti o diversi dal previsto. Ad esempio, è possibile visualizzare i risultati di una query in un secondo momento durante l'analisi di un evento imprevisto correlato e, nell'ambito di tale indagine, si decide di tornare ai risultati precedenti della query.
I risultati vengono salvati automaticamente con gli avvisi. Tuttavia, se i risultati sono troppo grandi, non vengono salvati risultati e non vengono visualizzati dati quando si visualizzano di nuovo i risultati della query.
Nei casi in cui si verifica un ritardo di inserimento o la query non è deterministica a causa dell'aggregazione, il risultato dell'avviso potrebbe essere diverso da quello visualizzato eseguendo manualmente la query.
Per risolvere questo problema, quando una regola ha questa impostazione di raggruppamento di eventi, Microsoft Sentinel aggiunge il campo OriginalQuery ai risultati della query. Di seguito è riportato un confronto tra il campo Query esistente e il nuovo campo:
| Nome del campo | Contains | Esecuzione della query in questo campo risultati in... |
|---|---|---|
| Query | Record compresso dell'evento che ha generato questa istanza dell'avviso. | Evento che ha generato questa istanza dell'avviso; limitato a 10 kilobyte. |
| OriginalQuery | Query originale scritta nella regola di analisi. | Evento più recente nell'intervallo di tempo in cui viene eseguita la query, che si adatta ai parametri definiti dalla query. |
In altre parole, il campo OriginalQuery si comporta come se il campo Query si comporta nell'impostazione predefinita di raggruppamento di eventi.
Problema: impossibile eseguire una regola pianificata o visualizzarla con AUTO DISABLED aggiunto al nome
È una rara occorrenza che non viene eseguita una regola di query pianificata, ma può verificarsi. Microsoft Sentinel classifica gli errori in anticipo come temporanei o permanenti, in base al tipo specifico di errore e alle circostanze che lo hanno portato.
Errore temporaneo
Un errore temporaneo si verifica a causa di una circostanza temporanea che torna presto alla normalità, a quel punto l'esecuzione della regola ha esito positivo. Alcuni esempi di errori che Microsoft Sentinel classificano come temporanei sono:
- L'esecuzione di una query sulle regole richiede troppo tempo e il timeout.
- Problemi di connettività tra origini dati e Log Analytics o tra Log Analytics e Microsoft Sentinel.
- Qualsiasi altro errore nuovo e sconosciuto è considerato temporaneo.
In caso di errore temporaneo, Microsoft Sentinel continua a provare a eseguire nuovamente la regola dopo intervalli predeterminati e sempre crescenti, fino a un punto. Successivamente, la regola verrà eseguita di nuovo solo all'ora pianificata successiva. Una regola non viene mai disattivata automaticamente a causa di un errore temporaneo.
Errore permanente: regola autodisabled
Un errore permanente si verifica a causa di una modifica delle condizioni che consentono l'esecuzione della regola, che senza l'intervento umano non può tornare al loro stato precedente. Di seguito sono riportati alcuni esempi di errori classificati come permanenti:
- L'area di lavoro di destinazione (in cui è stata eseguita la query della regola) è stata eliminata.
- La tabella di destinazione (in cui è stata eseguita la query della regola) è stata eliminata.
- Microsoft Sentinel è stato rimosso dall'area di lavoro di destinazione.
- Una funzione usata dalla query sulle regole non è più valida; è stato modificato o rimosso.
- Le autorizzazioni per una delle origini dati della query sulle regole sono state modificate (vedere l'esempio).
- Una delle origini dati della query sulle regole è stata eliminata.
In caso di un numero predeterminato di errori permanenti consecutivi, dello stesso tipo e della stessa regola, Microsoft Sentinel smette di provare a eseguire la regola e segue anche la procedura seguente:
- Disabilita la regola.
- Aggiunge le parole "AUTO DISABLED" all'inizio del nome della regola.
- Aggiunge il motivo dell'errore (e la disabilitazione) alla descrizione della regola.
È possibile determinare facilmente la presenza di eventuali regole autodisabilizzabili ordinando l'elenco di regole in base al nome. Le regole autodisabled si trovano nella parte superiore dell'elenco o nelle vicinanze.
I responsabili soc devono assicurarsi di controllare regolarmente l'elenco delle regole per verificare la presenza di regole autodisabili.
Errore permanente dovuto all'esaurimento delle risorse
Un altro tipo di errore permanente si verifica a causa di una query compilata in modo non corretto che causa l'utilizzo eccessivo di risorse di calcolo da parte della regola e il rischio di un esaurimento delle prestazioni nei sistemi. Quando Microsoft Sentinel identifica tale regola, esegue gli stessi tre passaggi indicati per gli altri tipi di errori permanenti: disabilita la regola, antepone "AUTO DISABLED" al nome della regola e aggiunge il motivo dell'errore alla descrizione.
Per riabilitare la regola, è necessario risolvere i problemi nella query che causano l'uso di un numero eccessivo di risorse. Per altre informazioni, vedere:
- Procedure consigliate per le query - Documentazione di Kusto
- Ottimizzare le query di log in monitoraggio Azure
- Linguaggio di query Kusto risorse di apprendimento
Errore permanente a causa della perdita dell'accesso tra sottoscrizioni/tenant
Un esempio particolare di quando potrebbe verificarsi un errore permanente a causa di una modifica delle autorizzazioni in un'origine dati (vedere l'elenco) riguarda il caso di un provider di soluzioni di sicurezza Microsoft (MSSP) o qualsiasi altro scenario in cui le regole di analisi eseguono query tra sottoscrizioni o tenant.
Quando si crea una regola di analisi, alla regola viene applicato e salvato un token di autorizzazioni di accesso. Questo token garantisce che la regola possa accedere all'area di lavoro che contiene le tabelle a cui fa riferimento la query della regola e che questo accesso venga mantenuto anche se l'autore della regola perde l'accesso a tale area di lavoro.
Esiste tuttavia un'eccezione: quando viene creata una regola per accedere alle aree di lavoro in altre sottoscrizioni o tenant, ad esempio ciò che accade nel caso di un provider di servizi condivisi, Microsoft Sentinel adotta misure di sicurezza aggiuntive per impedire l'accesso non autorizzato ai dati dei clienti. Questi tipi di regole hanno le credenziali dell'utente che ha creato la regola applicata, anziché un token di accesso indipendente. Quando l'utente non ha più accesso all'altro tenant, la regola smette di funzionare.
Se si opera Microsoft Sentinel in uno scenario tra sottoscrizioni o tra tenant e se uno degli analisti o dei tecnici perde l'accesso a una particolare area di lavoro, tutte le regole create dall'utente smetteranno di funzionare. Verrà visualizzato un messaggio di monitoraggio dell'integrità relativo all'"accesso insufficiente alla risorsa" e la regola verrà disddisabile automaticamente in base alla procedura descritta in precedenza.
Passaggi successivi
Per ulteriori informazioni, vedere:
- Esercitazione: Analizzare gli eventi imprevisti con Microsoft Sentinel
- Esplorare e analizzare gli eventi imprevisti in Microsoft Sentinel - Anteprima
- Classificare e analizzare i dati usando entità in Microsoft Sentinel
- Esercitazione: Usare playbook con regole di automazione in Microsoft Sentinel
Inoltre, imparare da un esempio di uso di regole di analisi personalizzate durante il monitoraggio di Zoom con un connettore personalizzato.