Problemen met analyseregels in Microsoft Sentinel oplossen
In dit artikel wordt uitgelegd hoe u bepaalde problemen kunt oplossen die kunnen optreden bij het uitvoeren van geplande analyseregels in Microsoft Sentinel.
Probleem: Er worden geen gebeurtenissen weergegeven in queryresultaten
Wanneer gebeurtenisgroepering is ingesteld om een waarschuwing voor elke gebeurtenis te activeren, lijken queryresultaten die op een later tijdstip worden weergegeven mogelijk te ontbreken of anders dan verwacht. U kunt bijvoorbeeld de resultaten van een query op een later tijdstip bekijken wanneer u een gerelateerd incident onderzoekt en als onderdeel van dat onderzoek besluit u terug te draaien naar de eerdere resultaten van deze query.
Resultaten worden automatisch opgeslagen met de waarschuwingen. Als de resultaten echter te groot zijn, worden er geen resultaten opgeslagen en worden er geen gegevens weergegeven wanneer de queryresultaten opnieuw worden weergegeven.
In gevallen waarin er sprake is van opnamevertraging of de query niet deterministisch is vanwege aggregatie, kan het resultaat van de waarschuwing afwijken van het resultaat dat wordt weergegeven door de query handmatig uit te voeren.
Om dit probleem op te lossen, voegt Microsoft Sentinel, wanneer een regel deze instelling voor gebeurtenisgroepering heeft, het OriginalQuery-veld toe aan de resultaten van de query. Hier volgt een vergelijking van het bestaande queryveld en het nieuwe veld:
| Veldnaam | Contains | De query uitvoeren in dit veld resulteert in... |
|---|---|---|
| Query | De gecomprimeerde record van de gebeurtenis die dit exemplaar van de waarschuwing heeft gegenereerd. | De gebeurtenis die dit exemplaar van de waarschuwing heeft gegenereerd; beperkt tot 10 kilobytes. |
| OriginalQuery | De oorspronkelijke query zoals geschreven in de analyseregel. | De meest recente gebeurtenis in het tijdsbestek waarin de query wordt uitgevoerd, die past bij de parameters die door de query zijn gedefinieerd. |
Met andere woorden: het veld OriginalQuery gedraagt zich zoals het queryveld zich gedraagt onder de standaardinstelling voor het groeperen van gebeurtenissen.
Probleem: een geplande regel kan niet worden uitgevoerd of wordt weergegeven met AUTOMATISCH UITGESCHAKELD toegevoegd aan de naam
Het is een zeldzame gebeurtenis dat een geplande queryregel niet kan worden uitgevoerd, maar dit kan gebeuren. Microsoft Sentinel classificeert fouten vooraf als tijdelijk of permanent, op basis van het specifieke type van de fout en de omstandigheden die ertoe hebben geleid.
Tijdelijke fout
Een tijdelijke fout treedt op als gevolg van een omstandigheid die tijdelijk is en binnenkort weer normaal wordt, waarna de uitvoering van de regel slaagt. Enkele voorbeelden van fouten die microsoft Sentinel classificeert als tijdelijk zijn:
- Het duurt te lang voordat een regelquery wordt uitgevoerd en er een time-out optreedt.
- Verbinding maken iviteitsproblemen tussen gegevensbronnen en Log Analytics, of tussen Log Analytics en Microsoft Sentinel.
- Elke andere nieuwe en onbekende fout wordt beschouwd als tijdelijk.
In het geval van een tijdelijke fout blijft Microsoft Sentinel proberen de regel opnieuw uit te voeren na vooraf vastgestelde en steeds toenemende intervallen, tot een punt. Daarna wordt de regel alleen opnieuw uitgevoerd op de volgende geplande tijd. Een regel wordt nooit automatischdisabled vanwege een tijdelijke fout.
Permanente fout: regel automatischdisabled
Er treedt een permanente fout op als gevolg van een wijziging in de voorwaarden waarmee de regel kan worden uitgevoerd, die zonder menselijke tussenkomst niet kan terugkeren naar hun voormalige status. Hier volgen enkele voorbeelden van fouten die zijn geclassificeerd als permanent:
- De doelwerkruimte (waarop de regelquery wordt uitgevoerd) is verwijderd.
- De doeltabel (waarop de regelquery wordt uitgevoerd) is verwijderd.
- Microsoft Sentinel is verwijderd uit de doelwerkruimte.
- Een functie die door de regelquery wordt gebruikt, is niet langer geldig; het is gewijzigd of verwijderd.
- Machtigingen voor een van de gegevensbronnen van de regelquery zijn gewijzigd (zie voorbeeld).
- Een van de gegevensbronnen van de regelquery is verwijderd.
In het geval van een vooraf bepaald aantal opeenvolgende permanente fouten, van hetzelfde type en van dezelfde regel, stopt Microsoft Sentinel met het uitvoeren van de regel en voert ook de volgende stappen uit:
- Hiermee schakelt u de regel uit.
- Voegt de woorden 'AUTOMATISCH UITGESCHAKELD' toe aan het begin van de naam van de regel.
- Hiermee voegt u de reden voor de fout (en het uitschakelen) toe aan de beschrijving van de regel.
U kunt eenvoudig de aanwezigheid van eventuele automatischdisabled regels bepalen door de lijst met regels op naam te sorteren. De regels voor automatischdisabled bevinden zich boven aan de lijst of boven aan de lijst.
SOC-managers moeten ervoor zorgen dat u de lijst met regels regelmatig controleert op de aanwezigheid van automatischdisabled regels.
Permanente fout vanwege leegmaken van resources
Een ander soort permanente fout treedt op als gevolg van een onjuist gebouwde query die ervoor zorgt dat de regel overmatige rekenresources verbruikt en risico's lopen als een prestatieafvoer op uw systemen. Wanneer Microsoft Sentinel een dergelijke regel identificeert, worden dezelfde drie stappen uitgevoerd die worden vermeld voor de andere typen permanente fouten. Hiermee wordt de regel uitgeschakeld, wordt automatisch uitgeschakeld op de naam van de regel en wordt de reden voor het mislukken van de beschrijving toegevoegd.
Als u de regel opnieuw wilt inschakelen, moet u de problemen in de query oplossen waardoor deze te veel resources gebruikt. Zie de volgende artikelen voor aanbevolen procedures voor het optimaliseren van uw Kusto-query's:
Zie ook nuttige informatiebronnen voor het werken met Kusto-querytaal in Microsoft Sentinel voor meer hulp.
Permanente fout vanwege verloren toegang tussen abonnementen/tenants
Een bepaald voorbeeld van wanneer een permanente fout kan optreden als gevolg van een wijziging van machtigingen in een gegevensbron (zie de lijst) heeft betrekking op het geval van een Microsoft Security Solution Provider (MSSP) of een ander scenario waarin analyseregels worden opgevraagd in abonnementen of tenants.
Wanneer u een analyseregel maakt, wordt er een toegangsmachtigingstoken toegepast op de regel en samen opgeslagen. Dit token zorgt ervoor dat de regel toegang heeft tot de werkruimte die de tabellen bevat waarnaar wordt verwezen door de query van de regel en dat deze toegang wordt gehandhaafd, zelfs als de maker van de regel de toegang tot die werkruimte verliest.
Er is echter één uitzondering: wanneer er een regel wordt gemaakt voor toegang tot werkruimten in andere abonnementen of tenants, zoals wat er gebeurt in het geval van een MSSP, neemt Microsoft Sentinel extra beveiligingsmaatregelen om onbevoegde toegang tot klantgegevens te voorkomen. Dit soort regels hebben de referenties van de gebruiker die de regel heeft gemaakt die hierop is toegepast, in plaats van een onafhankelijk toegangstoken. Wanneer de gebruiker geen toegang meer heeft tot de andere tenant, werkt de regel niet meer.
Als u Microsoft Sentinel in een scenario voor meerdere abonnementen of meerdere tenants gebruikt en een van uw analisten of technici geen toegang meer heeft tot een bepaalde werkruimte, werken alle regels die door die gebruiker zijn gemaakt, niet meer. U krijgt een statuscontrolebericht met betrekking tot 'onvoldoende toegang tot resource' en de regel wordt automatischdisabled volgens de eerder beschreven procedure.
Volgende stappen
Zie voor meer informatie:
- Zelfstudie: Incidenten onderzoeken met Microsoft Sentinel
- Navigeren en incidenten onderzoeken in Microsoft Sentinel - Preview
- Gegevens classificeren en analyseren met behulp van entiteiten in Microsoft Sentinel
- Zelfstudie: Playbooks gebruiken met automatiseringsregels in Microsoft Sentinel
Leer ook van een voorbeeld van het gebruik van aangepaste analyseregels bij het bewaken van Zoom met een aangepaste connector.