Risoluzione dei problemi relativi alle regole di analisi in Microsoft Sentinel

Questo articolo illustra come gestire alcuni problemi che possono verificarsi con l'esecuzione di regole di analisi pianificate in Microsoft Sentinel.

Problema: non vengono visualizzati eventi nei risultati della query

Quando il raggruppamento di eventi è impostato per attivare un avviso per ogni evento, i risultati della query visualizzati in un secondo momento potrebbero risultare mancanti o diversi dal previsto. Ad esempio, è possibile visualizzare i risultati di una query in un secondo momento quando si analizza un evento imprevisto correlato e nell'ambito di tale indagine si decide di tornare ai risultati precedenti di questa query.

I risultati vengono salvati automaticamente con gli avvisi. Tuttavia, se i risultati sono troppo elevati, non vengono salvati risultati e non vengono visualizzati dati quando si visualizzano di nuovo i risultati della query.

Nei casi in cui si verifica un ritardo di inserimento oppure la query non è deterministica a causa dell'aggregazione, il risultato dell'avviso potrebbe essere diverso dal risultato visualizzato eseguendo la query manualmente.

Per risolvere questo problema, quando una regola ha questa impostazione di raggruppamento di eventi, Microsoft Sentinel aggiunge il campo OriginalQuery ai risultati della query. Ecco un confronto tra il campo Query esistente e il nuovo campo:

Nome del campo	Contiene	Esecuzione della query in questo campo il risultato è...
Query	Record compresso dell'evento che ha generato questa istanza dell'avviso.	Evento che ha generato questa istanza dell'avviso; limitato a 10 kilobyte.
OriginalQuery	Query originale come scritto nella regola di analisi.	Evento più recente nell'intervallo di tempo in cui viene eseguita la query, che soddisfa i parametri definiti dalla query.

In altre parole, il campo OriginalQuery si comporta come il campo Query si comporta con l'impostazione di raggruppamento di eventi predefinita.

Problema: non è stato possibile eseguire una regola pianificata oppure questa viene visualizzata con la dicitura AUTO DISABLED aggiunta al nome

È raro che una regola di query pianificata non venga eseguita, ma può verificarsi. Microsoft Sentinel classifica gli errori in anticipo come temporanei o permanenti, in base al tipo specifico dell'errore e alle circostanze che lo hanno causato.

Errore temporaneo

Si verifica un errore temporaneo a causa di una circostanza temporanea che presto torna alla normalità; a questo punto, l'esecuzione della regola ha esito positivo. Alcuni esempi di errori che Microsoft Sentinel classifica come temporanei sono:

• L'esecuzione e il timeout di una query di una regola richiede troppo tempo.
• Problemi di connettività tra origini dati e Log Analytics o tra Log Analytics e Microsoft Sentinel.
• Qualsiasi altro errore nuovo e sconosciuto viene considerato temporaneo.

In caso di errore temporaneo, Microsoft Sentinel continua a tentare di eseguire di nuovo la regola dopo intervalli predeterminati e sempre crescenti, fino a un punto. Successivamente, la regola verrà eseguita di nuovo solo al successivo orario pianificato. Una regola non è mai disponibile automaticamente a causa di un errore temporaneo.

Errore permanente: regola disponibile automaticamente

Si verifica un errore permanente a causa di una modifica delle condizioni che consentono l'esecuzione della regola, che senza l'intervento umano non può tornare al proprio stato precedente. Di seguito sono riportati alcuni esempi di errori classificati come permanenti:

• L'area di lavoro di destinazione (in cui è stata eseguita la query della regola) è stata eliminata.
• La tabella di destinazione (in cui è stata eseguita la query della regola) è stata eliminata.
• Microsoft Sentinel è stato rimosso dall'area di lavoro di destinazione.
• Una funzione usata dalla query della regola non è più valida; è stata modificata o rimossa.
• Le autorizzazioni per una delle origini dati della query della regola sono state modificate (vedere l'esempio).
• Una delle origini dati della query della regola è stata eliminata.

In caso di un numero predeterminato di errori permanenti consecutivi, dello stesso tipo e della stessa regola, Microsoft Sentinel smette di tentare di eseguire la regola ed esegue anche i passaggi seguenti:

1. Disabilita la regola.
2. Aggiunge le parole "AUTO DISABLED" all'inizio del nome della regola.
3. Aggiunge il motivo dell'errore (e della disabilitazione) alla descrizione della regola.

È possibile determinare facilmente la presenza di tutte le regole disabilitate automaticamente, ordinando l'elenco di regole in base al nome. Le regole disabilitate automaticamente si trovano nella parte superiore o nella parte superiore dell'elenco.

I responsabili SOC devono assicurarsi di controllare regolarmente l'elenco delle regole per verificare la presenza di regole disabilitate automaticamente.

Errore permanente dovuto allo svuotamento delle risorse

Un altro tipo di errore permanente si verifica a causa di una query compilata in modo non corretto che causa un utilizzo eccessivo delle risorse di calcolo e il rischio di esaurire le prestazioni nei sistemi. Quando Microsoft Sentinel identifica tale regola, esegue gli stessi tre passaggi indicati per gli altri tipi di errori permanenti, disabilita la regola, antepone "AUTO DISABLED" al nome della regola e aggiunge il motivo dell'errore alla descrizione.

Per riabilitare la regola, è necessario risolvere i problemi nella query che causano l'uso di troppe risorse. Vedere gli articoli seguenti per le procedure consigliate per ottimizzare le query Kusto:

• Procedure consigliate per le query - Esplora dati di Azure
• Ottimizzare le query di log in Monitoraggio di Azure

Vedere anche Risorse utili per l'uso del linguaggio di query Kusto in Microsoft Sentinel per ulteriore assistenza.

Errore permanente dovuto alla perdita dell'accesso tra sottoscrizioni/tenant

Un esempio particolare di quando può verificarsi un errore permanente a causa di una modifica delle autorizzazioni in un'origine dati (vedere l'elenco) riguarda il caso di un provider di soluzioni di sicurezza Microsoft (MSSP) o qualsiasi altro scenario in cui le regole di analisi eseguono query tra sottoscrizioni o tenant.

Quando si crea una regola di analisi, viene applicato un token di autorizzazioni di accesso alla regola e salvato insieme a esso. Questo token garantisce che la regola possa accedere all'area di lavoro contenente le tabelle a cui fa riferimento la query della regola e che questo accesso venga mantenuto anche se l'autore della regola perde l'accesso a tale area di lavoro.

Esiste tuttavia un'eccezione: quando viene creata una regola per accedere alle aree di lavoro in altre sottoscrizioni o tenant, ad esempio ciò che accade nel caso di un MSSP, Microsoft Sentinel adotta misure di sicurezza aggiuntive per impedire l'accesso non autorizzato ai dati dei clienti. Questi tipi di regole hanno le credenziali dell'utente che ha creato la regola applicata, anziché un token di accesso indipendente. Quando l'utente non ha più accesso all'altro tenant, la regola smette di funzionare.

Se si gestisce Microsoft Sentinel in uno scenario tra sottoscrizioni o tra tenant e se uno degli analisti o dei tecnici perde l'accesso a una determinata area di lavoro, le regole create da tale utente smetteranno di funzionare. Verrà visualizzato un messaggio di monitoraggio dell'integrità relativo all'accesso insufficiente alla risorsa e la regola verrà automaticamente disabilitata in base alla procedura descritta in precedenza.

Passaggi successivi

Per altre informazioni, vedi:

• Esercitazione: Analizzare gli eventi imprevisti con Microsoft Sentinel
• Esplorare e analizzare gli eventi imprevisti in Microsoft Sentinel - Anteprima
• Classificare e analizzare i dati usando entità in Microsoft Sentinel
• Esercitazione: Usare playbook con regole di automazione in Microsoft Sentinel

Inoltre, sono fornite informazioni su un esempio dell'uso di regole di analisi personalizzate durante il monitoraggio di Zoom con un connettore personalizzato.