Opprett planlagte analyseregler fra maler

Den klart vanligste typen analyseregel, planlagte regler er basert på Kusto-spørringer som er konfigurert til å kjøre med jevne mellomrom og undersøke rådata fra en definert "tilbakeslagsperiode". Disse spørringene kan utføre komplekse statistiske operasjoner på måldataene, noe som avslører grunnlinjer og ytterpunkter i grupper med hendelser. Hvis antall resultater som fanges opp av spørringen, passerer terskelen som er konfigurert i regelen, produserer regelen et varsel.

Microsoft gjør et stort utvalg av analyseregelmaler tilgjengelige for deg gjennom de mange løsningene som tilbys i innholdshuben, og oppfordrer deg på det sterkeste til å bruke dem til å opprette reglene dine. Spørringene i planlagte regelmaler er skrevet av sikkerhets- og datavitenskapseksperter, enten fra Microsoft eller fra leverandøren av løsningen som leverer malen.

Denne artikkelen viser deg hvordan du oppretter en planlagt analyseregel ved hjelp av en mal.

Viktig

Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen.

Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender.

Vis eksisterende analyseregler

Hvis du vil vise de installerte analysereglene i Microsoft Sentinel, går du til Analyse-siden. Fanen Regelmaler viser alle de installerte regelmalene. Hvis du vil finne flere regelmaler, kan du gå til innholdshuben i Microsoft Sentinel for å installere relaterte produktløsninger eller frittstående innhold.

Defender-portalen

1. Utvid Microsoft Sentinel fra Microsoft Defender navigasjonsmenyen, og deretter Konfigurasjon. Velg analyse.

2. Velg Regelmaler-fanen på Analyse-skjermen.

3. Hvis du vil filtrere listen for planlagte maler:

   1. Velg Legg til filter , og velg Regeltype fra listen over filtre.

   2. Velg Planlagt fra resultatlisten. Velg deretter Bruk.

   

Azure Portal

1. Velg Analyse fra Konfigurasjon-delen av Microsoft Sentinel navigasjonsmeny.

2. Velg Regelmaler-fanen på Analyse-skjermen.

3. Hvis du vil filtrere listen for planlagte maler:

   1. Velg Legg til filter , og velg Regeltype fra listen over filtre.

   2. Velg Planlagt fra resultatlisten. Velg deretter Bruk.

   

Opprette en regel fra en mal

Denne fremgangsmåten beskriver hvordan du oppretter en analyseregel fra en mal.

Defender-portalen

Utvid Microsoft Sentinel fra Microsoft Defender navigasjonsmenyen, og deretter Konfigurasjon. Velg analyse.

Azure Portal

Velg Analyse fra Konfigurasjon-delen av Microsoft Sentinel navigasjonsmeny.

1. Velg Regelmaler-fanen på Analyse-skjermen.

2. Velg et malnavn, og velg deretter Opprett regel-knappen i detaljruten for å opprette en ny aktiv regel basert på denne malen.

   Hver mal har en liste over nødvendige datakilder. Når du åpner malen, kontrolleres datakildene automatisk for tilgjengelighet. Hvis en datakilde ikke er aktivert, kan opprett regel-knappen være deaktivert, eller det kan hende du ser en melding om dette.

   

3. Veiviseren for oppretting av regel åpnes. Alle detaljene fylles opp automatisk.

4. Bla gjennom fanene i veiviseren, og tilpass logikken og andre regelinnstillinger der det er mulig, slik at de passer bedre til dine spesifikke behov. Hvis du vil ha mer informasjon, kan du se:

   • Kusto-spørringsspråk i Microsoft Sentinel
   • Hurtigreferanse for KQL
   • Anbefalte fremgangsmåter for spørringer for Kusto-spørringsspråk

   Når du kommer til slutten av veiviseren for oppretting av regel, oppretter Microsoft Sentinel regelen. Den nye regelen vises i kategorien Aktive regler .

   Gjenta prosessen for å opprette flere regler. Hvis du vil ha mer informasjon om hvordan du tilpasser reglene i veiviseren for regeloppretting, kan du se Opprette en egendefinert analyseregel fra grunnen av.

Tips

• Kontroller at du aktiverer alle regler som er knyttet til de tilkoblede datakildene , for å sikre full sikkerhetsdekning for miljøet. Den mest effektive måten å aktivere analyseregler på, er direkte fra datakoblingssiden, som viser eventuelle relaterte regler. Hvis du vil ha mer informasjon, kan du se Koble til datakilder.

• Du kan også sende regler til Microsoft Sentinel via API og PowerShell, selv om dette krever ekstra innsats.

  Når du bruker API eller PowerShell, må du først eksportere reglene til JSON før du aktiverer reglene. API eller PowerShell kan være nyttig når du aktiverer regler i flere forekomster av Microsoft Sentinel med identiske innstillinger i hver forekomst.

Neste trinn

I dette dokumentet lærte du hvordan du oppretter planlagte analyseregler fra maler i Microsoft Sentinel.

• Mer informasjon om analyseregler.
• Finn ut hvordan du oppretter en analyseregel fra grunnen av.