Sjabloonversies voor uw geplande analyseregels beheren in Microsoft Sentinel

Belangrijk

Deze functie bevindt zich in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.

Inleiding

Microsoft Sentinel bevat sjablonen voor analyseregels die u kunt omzetten in actieve regels door effectief een kopie van deze regels te maken. Dit gebeurt wanneer u een regel maakt op basis van een sjabloon. Op dat moment is de actieve regel echter niet meer verbonden met de sjabloon. Als er wijzigingen worden aangebracht in een regelsjabloon, door Microsoft-technici of iemand anders, worden alle regels die vooraf op basis van die sjabloon zijn gemaakt, niet dynamisch bijgewerkt zodat deze overeenkomen met de nieuwe sjabloon.

Regels die zijn gemaakt op basis van sjablonen, onthouden echter van welke sjablonen ze afkomstig zijn, waardoor u twee voordelen krijgt:

• Als u wijzigingen hebt aangebracht in een regel bij het maken van een sjabloon of op elk gewenst moment daarna, kunt u de regel altijd terugzetten naar de oorspronkelijke versie.

• U ontvangt een melding wanneer een sjabloon wordt bijgewerkt. U kunt uw regels bijwerken naar de nieuwe versie van hun sjablonen of ze laten staan zoals ze zijn.

In dit artikel leest u hoe u deze taken beheert en waar u rekening mee moet houden. De procedures die in het artikel worden besproken, zijn van toepassing op geplande analyseregels die zijn gemaakt op basis van sjablonen.

Het versienummer van de sjabloon van uw regel detecteren

Met de implementatie van sjabloonversiebeheer kunt u de versies van uw regelsjablonen en de bijbehorende regels bekijken en bijhouden. Regels met bijgewerkte sjablonen geven een badge Bijwerken weer naast de naam van de regel.

1. Selecteer op de pagina Analyse het tabblad Actieve regels .

2. Selecteer een regel van het type Gepland.

   • Als de regel de badge Bijwerken weergeeft, heeft het detailvenster een knop Controleren en bijwerken naast de knop Bewerken (zie afbeelding 1 in de volgende stap).

   • Als de regel is gemaakt op basis van een sjabloon, maar de badge Bijwerken niet heeft, heeft het detailvenster een knop Vergelijken met de sjabloon naast de knop Bewerken (zie afbeeldingen 2 en 3 in de volgende stap).

   • Als er alleen een knop Bewerken is, is de regel helemaal opnieuw gemaakt, niet vanuit een sjabloon.

     

3. Schuif omlaag naar de onderkant van het detailvenster, waar u twee versienummers ziet: de versie van de sjabloon waaruit de regel is gemaakt en de meest recente beschikbare versie van de sjabloon.

   

   Het getal heeft de indeling 1.0.0: primaire versie, secundaire versie en build.

   • Een verschil in het primaire versienummer geeft aan dat er iets essentieels in de sjabloon is gewijzigd, wat van invloed kan zijn op de wijze waarop bedreigingen worden gedetecteerd of zelfs de mogelijkheid om helemaal te functioneren. U wilt deze wijziging opnemen in uw regels.

   • Een verschil in het secundaire versienummer duidt op een kleine verbetering in de sjabloon, een cosmetische wijziging of iets dergelijks, dat 'leuk te hebben' zou zijn, maar niet essentieel is om de functionaliteit, werkzaamheid of prestaties van de regel te behouden. U kunt deze wijziging net zo eenvoudig nemen of achterlaten.

   Notitie

   In afbeeldingen 2 en 3 ziet u twee voorbeelden van regels die zijn gemaakt op basis van sjablonen, waarbij de sjabloon niet is bijgewerkt.

   • Afbeelding 2 toont een regel met een versienummer voor de huidige sjabloon. Dit geeft aan dat de regel is gemaakt na de eerste implementatie van versiebeheer voor sjablonen in oktober 2021 van Microsoft Sentinel.
   • Afbeelding 3 toont een regel die geen huidige sjabloonversie heeft. Dit laat zien dat de regel vóór oktober 2021 is gemaakt. Als er een nieuwste sjabloonversie beschikbaar is, is deze waarschijnlijk een nieuwere versie van de sjabloon dan de versie die wordt gebruikt om de regel te maken.

Uw actieve regel vergelijken met de bijbehorende sjabloon

Kies een van de volgende tabbladen op basis van de actie die u wilt uitvoeren om de instructies voor die actie te bekijken:

Sjabloon bijwerken

Nadat u een regel hebt geselecteerd en hebt bepaald dat u deze wilt bijwerken, selecteert u Controleren en bijwerken in het detailvenster (zie eerder). U ziet dat de wizard Analyseregels nu een tabblad Vergelijken met de meest recente versie heeft.

Op dit tabblad ziet u een vergelijking naast elkaar tussen de YAML-weergaven van de bestaande regel en de nieuwste versie van de sjabloon.

Notitie

Als u deze regel bijwerkt, wordt uw bestaande regel overschreven met de nieuwste versie van de sjabloon.

Elke automatiseringsstap of -logica die naar de bestaande regel verwijst, moet worden geverifieerd voor het geval de namen waarnaar wordt verwezen, worden gewijzigd. Ook kunnen alle aanpassingen die u hebt aangebracht bij het maken van de oorspronkelijke regel, wijzigingen in de query, planning, groepering of andere instellingen, worden overschreven.

Uw regel bijwerken met de nieuwe sjabloonversie

• Als de wijzigingen in de nieuwe versie van de sjabloon acceptabel zijn voor u en niets anders in de oorspronkelijke regel wordt beïnvloed, selecteert u Controleren en bijwerken om de wijzigingen te valideren en toe te passen.

• Als u de regel verder wilt aanpassen of wijzigingen wilt toepassen die anders kunnen worden overschreven, selecteert u Volgende: Aangepaste wijzigingen. Blader door de resterende tabbladen van de wizard Analyseregels om deze wijzigingen aan te brengen en valideer en pas de wijzigingen vervolgens toe op het tabblad Controleren en bijwerken .

• Als u geen wijzigingen wilt aanbrengen in uw bestaande regel, maar de bestaande sjabloonversie wilt behouden, sluit u de wizard af door de X in de rechterbovenhoek te selecteren.

Terugkeren naar sjabloon

Nadat u een regel hebt geselecteerd en hebt bepaald dat u wilt terugkeren naar de oorspronkelijke versie, selecteert u Vergelijken met sjabloon in het detailvenster (zie eerder). U ziet dat de wizard Analyseregels nu een tabblad Vergelijken met de meest recente versie heeft.

Op dit tabblad ziet u een vergelijking naast elkaar tussen de YAML-weergaven van de bestaande regel en de nieuwste versie van de sjabloon. Deze twee versienummers zijn mogelijk hetzelfde, maar aan de rechterkant ziet u de oorspronkelijke, ongewijzigde sjabloon en aan de linkerkant ziet u de actieve regel, inclusief eventuele wijzigingen van de oorspronkelijke sjabloon.

Notitie

Als u deze regel bijwerkt, wordt uw bestaande regel overschreven met de nieuwste versie van de sjabloon.

Elke automatiseringsstap of -logica die naar de bestaande regel verwijst, moet worden geverifieerd voor het geval de namen waarnaar wordt verwezen, worden gewijzigd. Ook kunnen alle aanpassingen die u hebt aangebracht bij het maken van de oorspronkelijke regel, wijzigingen in de query, planning, groepering of andere instellingen, worden overschreven.

De regel herstellen naar de oorspronkelijke sjabloonversie

• Als u volledig wilt terugkeren naar de oorspronkelijke versie van deze regel( een schone kopie van de sjabloon), selecteert u Controleren en bijwerken om de wijzigingen te valideren en toe te passen.

• Als u de regel anders wilt aanpassen of wijzigingen wilt toepassen die anders kunnen worden overschreven, selecteert u Volgende: Aangepaste wijzigingen. Blader door de resterende tabbladen van de wizard Analyseregels om deze wijzigingen aan te brengen en valideer en pas de wijzigingen vervolgens toe op het tabblad Controleren en bijwerken .

• Als u geen wijzigingen wilt aanbrengen in uw bestaande regel, sluit u de wizard af door de X in de rechterbovenhoek te selecteren.

Volgende stappen

In dit document hebt u geleerd hoe u de versies van uw microsoft Sentinel-analyseregelsjablonen kunt bijhouden en hoe u actieve regels kunt herstellen naar bestaande sjabloonversies of deze kunt bijwerken naar nieuwe sjablonen. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:

• Meer informatie over analyseregels.
• Zie meer informatie over de wizard Analyseregels.