Tworzenie niestandardowych reguł analizy do wykrywania zagrożeń

Uwaga

Usługa Azure Sentinel jest teraz nazywana usługą Microsoft Sentinel i będziemy aktualizować te strony w najbliższych tygodniach. Dowiedz się więcej o najnowszych ulepszeniach zabezpieczeń firmy Microsoft.

Po połączeniu źródeł danych z usługą Microsoft Sentinel utwórz niestandardowe reguły analizy, aby ułatwić odnajdywanie zagrożeń i nietypowych zachowań w środowisku.

Reguły analizy wyszukują określone zdarzenia lub zestawy zdarzeń w całym środowisku, ostrzegają o osiągnięciu określonych progów lub warunków zdarzeń, generują zdarzenia dla soC w celu klasyfikowania i badania zagrożeń oraz reagowania na nie za pomocą zautomatyzowanych procesów śledzenia i korygowania.

Porada

Podczas tworzenia reguł niestandardowych użyj istniejących reguł jako szablonów lub odwołań. Korzystanie z istniejących reguł jako punktu odniesienia pomaga w tworzeniu większości logiki przed wprowadzeniem wymaganych zmian.

  • Tworzenie reguł analizy
  • Definiowanie sposobu przetwarzania zdarzeń i alertów
  • Definiowanie sposobu generowania alertów i zdarzeń
  • Wybieranie automatycznych odpowiedzi na zagrożenia dla reguł

Tworzenie niestandardowej reguły analizy z zaplanowanym zapytaniem

  1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.

  2. Na pasku akcji u góry wybierz pozycję +Utwórz i wybierz pozycję Reguła zaplanowanego zapytania. Spowoduje to otwarcie kreatora reguły analizy.

    Create scheduled query

Kreator reguł analizy — karta Ogólne

  • Podaj unikatową nazwę i opis.

  • W polu Taktyka i techniki można wybrać spośród kategorii ataków, według których ma być sklasyfikowana reguła. Są one oparte na taktyki i technikach struktury MITRE ATT&CK .

    Zdarzenia utworzone na podstawie alertów wykrywanych przez reguły mapowane na taktykę MITRE ATT&CK i techniki automatycznie dziedziczą mapowanie reguły.

  • Ustaw odpowiednio ważność alertu.

  • Po utworzeniu reguły jej stan jest domyślnie włączony , co oznacza, że zostanie on uruchomiony natychmiast po zakończeniu tworzenia. Jeśli nie chcesz, aby był uruchamiany natychmiast, wybierz pozycję Wyłączone, a reguła zostanie dodana do karty Aktywne reguły i będzie można ją włączyć z tego miejsca, gdy będzie potrzebna.

    Start creating a custom analytics rule

Definiowanie logiki zapytania reguły i konfigurowanie ustawień

Na karcie Ustaw logikę reguły możesz napisać zapytanie bezpośrednio w polu Zapytanie reguły lub utworzyć zapytanie w usłudze Log Analytics, a następnie skopiować je i wkleić tutaj.

  • Zapytania są pisane w języku KQL (Kusto Query Language). Dowiedz się więcej na temat KQL pojęć i zapytań oraz zapoznaj się z tym przydatnym przewodnikiem szybkich dokumentacji.

  • Przykład pokazany na tym zrzucie ekranu wysyła zapytanie do tabeli SecurityEvent w celu wyświetlenia typu nieudanych zdarzeń logowania Windows.

    Configure query rule logic and settings

  • Oto kolejne przykładowe zapytanie, które będzie otrzymywać alerty po utworzeniu nietypowej liczby zasobów w działaniu platformy Azure.

    AzureActivity
    | where OperationName == "Create or Update Virtual Machine" or OperationName =="Create Deployment"
    | where ActivityStatus == "Succeeded"
    | make-series dcount(ResourceId)  default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller
    

    Ważne

    Zalecamy, aby zapytanie używało analizatora ASIM (Advanced Security Information Model), a nie tabeli natywnej. Zapewni to, że zapytanie obsługuje dowolne bieżące lub przyszłe odpowiednie źródło danych, a nie jedno źródło danych.

    Uwaga

    Najlepsze rozwiązania dotyczące zapytań reguł:

    • Długość zapytania powinna wynosić od 1 do 10 000 znaków i nie może zawierać znaków "search *" lub "union *". Za pomocą funkcji zdefiniowanych przez użytkownika można przezwyciężyć ograniczenie długości zapytania.

    • Tworzenie zapytań usługi Azure Data Explorer w oknie zapytania usługi Log Analytics przy użyciu funkcji ADX nie jest obsługiwane.

    • Jeśli używasz bag_unpack funkcji w zapytaniu, jeśli rzutujesz kolumny jako pola przy użyciuproject field1 "", a kolumna nie istnieje, zapytanie zakończy się niepowodzeniem. Aby chronić się przed tym zdarzeniem, należy projektować kolumnę w następujący sposób:

      • project field1 = column_ifexists("field1","")

Wzbogacanie alertów

  • Sekcja Konfiguracja mapowania jednostek umożliwia mapowanie parametrów z wyników zapytania na jednostki rozpoznawane przez usługę Microsoft Sentinel. Jednostki wzbogacają dane wyjściowe reguł (alerty i zdarzenia) o podstawowe informacje, które służą jako bloki konstrukcyjne wszelkich procesów śledczych i działań korygujących, które następują. Są to również kryteria, za pomocą których można grupować alerty w zdarzenia na karcie Ustawienia zdarzenia .

    Dowiedz się więcej o jednostkach w usłudze Microsoft Sentinel.

    Zobacz Mapowanie pól danych na jednostki w usłudze Microsoft Sentinel , aby uzyskać pełne instrukcje dotyczące mapowania jednostek wraz z ważnymi informacjami na temat ograniczeń i zgodności z poprzednimi wersjami.

  • Sekcja Konfiguracja szczegółów niestandardowych umożliwia wyodrębnianie elementów danych zdarzeń z zapytania i wyświetlanie ich w alertach generowanych przez tę regułę, co zapewnia bezpośredni wgląd w zawartość zdarzeń w alertach i zdarzeniach.

    Dowiedz się więcej o tworzeniu niestandardowych szczegółów w alertach i zobacz pełne instrukcje.

  • Użyj sekcji Konfiguracja szczegółów alertu , aby dostosować szczegóły prezentacji alertu do rzeczywistej zawartości. Szczegóły alertu umożliwiają wyświetlanie na przykład adresu IP lub nazwy konta osoby atakującej w tytule samego alertu, dzięki czemu będzie on wyświetlany w kolejce zdarzeń, co daje znacznie bogatszy i jaśniejszy obraz krajobrazu zagrożeń.

    Zobacz pełne instrukcje dotyczące dostosowywania szczegółów alertu.

Uwaga

Limit rozmiaru całego alertu wynosi 64 KB.

  • Alerty o rozmiarze większym niż 64 KB zostaną obcięte. W miarę identyfikowania jednostek są one dodawane do alertu jeden po drugim, dopóki rozmiar alertu nie osiągnie 64 KB, a pozostałe jednostki zostaną usunięte z alertu.

  • Inne wzbogacenia alertów również przyczyniają się do rozmiaru alertu.

  • Aby zmniejszyć rozmiar alertu, użyj project-away operatora w zapytaniu, aby usunąć wszystkie niepotrzebne pola. (Rozważ również operator, project jeśli istnieje tylko kilka pól, które należy zachować).

Planowanie zapytań i próg alertu

  • W sekcji Planowanie zapytań ustaw następujące parametry:

    Set query schedule and event grouping

    • Ustaw opcję Uruchom zapytanie co , aby kontrolować częstotliwość uruchamiania zapytania — tak często, jak co 5 minut lub tak często, jak raz na 14 dni.

    • Ustaw pozycję Dane odnośnika z ostatniego , aby określić okres danych objętych zapytaniem — na przykład może wykonywać zapytania dotyczące ostatnich 10 minut danych lub ostatnich 6 godzin danych. Wartość maksymalna to 14 dni.

      Uwaga

      Interwały zapytań i okres wyszukiwania wstecznego

      Te dwa ustawienia są niezależne od siebie, nawet do punktu. Zapytanie można uruchomić w krótkim interwale obejmującym okres dłuższy niż interwał (w efekcie nakładające się zapytania), ale nie można uruchomić zapytania w interwale przekraczającym okres pokrycia. W przeciwnym razie będziesz mieć luki w ogólnym pokryciu zapytania. >>Opóźnienie>> pozyskiwania Aby uwzględnić opóźnienie , które może wystąpić między generowaniem zdarzenia w źródle a jego pozyskiwaniem do usługi Microsoft Sentinel, oraz zapewnienie pełnego pokrycia bez duplikowania danych, usługa Microsoft Sentinel uruchamia zaplanowane reguły analizy w ciągu pięciu minut od zaplanowanego czasu. >> Aby uzyskać więcej informacji, zobacz Handle ingestion delay in scheduled analytics rules (Obsługa opóźnienia pozyskiwania w zaplanowanych regułach analizy).

  • Użyj sekcji Próg alertu , aby zdefiniować poziom poufności reguły. Na przykład ustaw opcję Generuj alert, gdy liczba wyników zapytaniajest większa niż i wprowadź liczbę 1000, jeśli chcesz, aby reguła wygenerowała alert tylko wtedy, gdy zapytanie zwraca więcej niż 1000 wyników przy każdym uruchomieniu. Jest to pole wymagane, więc jeśli nie chcesz ustawić progu — oznacza to, że jeśli chcesz, aby alert zarejestrował każde zdarzenie, wprowadź wartość 0 w polu liczba.

Symulacja wyników

W obszarze Symulacja wyników po prawej stronie kreatora wybierz pozycję Testuj z bieżącymi danymi , a usługa Microsoft Sentinel wyświetli wykres wyników (zdarzeń dziennika), które zapytanie wygenerowałoby w ciągu ostatnich 50 razy, zgodnie z aktualnie zdefiniowanym harmonogramem. Jeśli zmodyfikujesz zapytanie, ponownie wybierz pozycję Testuj przy użyciu bieżących danych , aby zaktualizować graf. Wykres przedstawia liczbę wyników w zdefiniowanym okresie, który jest określany przez ustawienia w sekcji Planowanie zapytań .

Oto jak może wyglądać symulacja wyników dla zapytania na powyższym zrzucie ekranu. Lewa strona jest widokiem domyślnym, a prawa strona jest widoczna po umieszczeniu wskaźnika myszy na punkcie w czasie na wykresie.

Results simulation screenshots

Jeśli zobaczysz, że zapytanie wyzwoli zbyt wiele lub zbyt częste alerty, możesz eksperymentować z ustawieniami w sekcjachPlanowanie zapytań i Próg alertu, a następnie ponownie wybrać pozycję Testuj przy użyciu bieżących danych.

Grupowanie zdarzeń i pomijanie reguł

  • W obszarze Grupowanie zdarzeń wybierz jeden z dwóch sposobów obsługi grupowania zdarzeń w alerty:

    • Grupuj wszystkie zdarzenia w jeden alert (ustawienie domyślne). Reguła generuje pojedynczy alert za każdym razem, gdy jest uruchamiany, o ile zapytanie zwraca więcej wyników niż określony próg alertu powyżej. Alert zawiera podsumowanie wszystkich zdarzeń zwróconych w wynikach.

    • Wyzwalaj alert dla każdego zdarzenia. Reguła generuje unikatowy alert dla każdego zdarzenia zwróconego przez zapytanie. Jest to przydatne, jeśli chcesz, aby zdarzenia były wyświetlane indywidualnie lub jeśli chcesz je pogrupować według określonych parametrów — według użytkownika, nazwy hosta lub czegoś innego. Te parametry można zdefiniować w zapytaniu.

      Obecnie liczba alertów, które może wygenerować reguła, jest ograniczona do 150. Jeśli w określonej regule grupowanie zdarzeń jest ustawione na Wyzwalanie alertu dla każdego zdarzenia, a zapytanie reguły zwraca więcej niż 150 zdarzeń, każde z pierwszych 149 zdarzeń spowoduje wygenerowanie unikatowego alertu, a 150 alert będzie zawierać podsumowanie całego zestawu zwracanych zdarzeń. Innymi słowy, 150. alert zostałby wygenerowany w obszarze Grupuj wszystkie zdarzenia w jedną opcję alertu .

      Jeśli wybierzesz tę opcję, usługa Microsoft Sentinel doda nowe pole OriginalQuery do wyników zapytania. Oto porównanie istniejącego pola Zapytanie i nowego pola:

      Nazwa pola Contains Uruchamianie zapytania w tym polu
      wyniki w...
      Zapytanie Skompresowany rekord zdarzenia, które wygenerowało to wystąpienie alertu Zdarzenie, które wygenerowało to wystąpienie alertu
      OriginalQuery Oryginalne zapytanie zapisane w regule analizy Najnowsze zdarzenie w przedziale czasowym, w którym jest uruchamiane zapytanie, które pasuje do parametrów zdefiniowanych przez zapytanie

      Innymi słowy, pole OriginalQuery zachowuje się tak, jak zwykle zachowuje się pole Zapytanie . Wynikiem tego dodatkowego pola jest to, że problem opisany przez pierwszy element w sekcji Rozwiązywanie problemów poniżej został rozwiązany.

    Uwaga

    Jaka jest różnica między zdarzeniami i alertami?

    • Zdarzenie to opis pojedynczego wystąpienia akcji. Na przykład pojedynczy wpis w pliku dziennika może być liczone jako zdarzenie. W tym kontekście zdarzenie odwołuje się do pojedynczego wyniku zwróconego przez zapytanie w regule analizy.

    • Alert to zbiór zdarzeń, które wzięte ze sobą są istotne z punktu widzenia zabezpieczeń. Alert może zawierać jedno zdarzenie, jeśli zdarzenie miało znaczące konsekwencje dla bezpieczeństwa — na przykład identyfikator logowania administracyjnego z obcego kraju poza godzinami pracy.

    • Co to są zdarzenia? Wewnętrzna logika usługi Microsoft Sentinel tworzy zdarzenia na podstawie alertów lub grup alertów. Kolejka zdarzeń jest centralnym punktem pracy analityków SOC - klasyfikacji, badania i korygowania.

    Usługa Microsoft Sentinel pozyskuje nieprzetworzone zdarzenia z niektórych źródeł danych i już przetworzone alerty z innych. Ważne jest, aby pamiętać, z którym masz do czynienia w dowolnym momencie.

  • W sekcji Pomijanie możesz włączyć ustawienie Zatrzymaj uruchamianie zapytania po wygenerowaniu alertuWłączone , jeśli po otrzymaniu alertu chcesz wstrzymać działanie tej reguły przez okres przekraczający interwał zapytania. Jeśli włączysz tę opcję, musisz ustawić ustawienie Zatrzymaj uruchamianie zapytania dla czasu, przez który zapytanie powinno przestać działać, maksymalnie 24 godziny.

Konfigurowanie ustawień tworzenia zdarzeń

Na karcie Zdarzenie Ustawienia możesz wybrać, czy i jak usługa Microsoft Sentinel przekształca alerty w zdarzenia umożliwiające podejmowanie działań. Jeśli ta karta pozostanie sama, usługa Microsoft Sentinel utworzy pojedynczy, oddzielny incydent od każdego alertu. Możesz wybrać, że nie utworzono żadnych zdarzeń lub zgrupować kilka alertów w jeden incydent, zmieniając ustawienia na tej karcie.

Przykład:

Define the incident creation and alert grouping settings

Ustawienia zdarzenia

W sekcji Ustawienia zdarzeniautwórz zdarzenia na podstawie alertów wyzwalanych przez tę regułę analizy jest domyślnie ustawiona na wartość Włączone, co oznacza, że usługa Microsoft Sentinel utworzy pojedynczy, oddzielny incydent od każdego alertu wyzwalanego przez regułę.

  • Jeśli nie chcesz, aby ta reguła powodowała utworzenie jakichkolwiek zdarzeń (na przykład jeśli ta reguła ma tylko zbierać informacje na potrzeby kolejnej analizy), ustaw tę opcję na wartość Wyłączone.

  • Jeśli chcesz utworzyć pojedyncze zdarzenie na podstawie grupy alertów, zamiast jednego dla każdego alertu, zobacz następną sekcję.

Grupowanie alertów

Jeśli w sekcji Grupowanie alertów chcesz wygenerować pojedyncze zdarzenie z grupy do 150 podobnych lub cyklicznych alertów (zobacz uwaga), ustaw alerty powiązane z grupą, wyzwalane przez tę regułę analizy, na zdarzeniawłączone i ustaw następujące parametry.

  • Ogranicz grupę do alertów utworzonych w wybranym przedziale czasu: określ przedział czasu, w którym podobne lub cykliczne alerty będą grupowane razem. Wszystkie odpowiednie alerty w tym przedziale czasu będą łącznie generować zdarzenie lub zestaw zdarzeń (w zależności od poniższych ustawień grupowania). Alerty poza tym przedziałem czasu spowodują wygenerowanie oddzielnego zdarzenia lub zestawu zdarzeń.

  • Grupuj alerty wyzwalane przez tę regułę analizy w jeden incydent według: wybierz podstawę grupowania alertów:

    Opcja Opis
    Grupowanie alertów w jeden incydent, jeśli wszystkie jednostki są zgodne Alerty są grupowane razem, jeśli współdzielą identyczne wartości dla każdej z zamapowanych jednostek (zdefiniowanej na karcie Ustawianie logiki reguły powyżej). Jest to zalecane ustawienie.
    Grupuj wszystkie alerty wyzwalane przez tę regułę w jeden incydent Wszystkie alerty generowane przez tę regułę są grupowane razem, nawet jeśli nie mają identycznych wartości.
    Grupowanie alertów w jeden incydent, jeśli wybrane jednostki i szczegóły są zgodne Alerty są grupowane razem, jeśli współdzielą identyczne wartości dla wszystkich mapowanych jednostek, szczegółów alertu i niestandardowych szczegółów wybranych z odpowiednich list rozwijanych.

    Możesz użyć tego ustawienia, jeśli na przykład chcesz utworzyć oddzielne zdarzenia na podstawie źródłowych lub docelowych adresów IP lub jeśli chcesz zgrupować alerty zgodne z określoną jednostką i ważnością.

    Uwaga: po wybraniu tej opcji musisz mieć co najmniej jeden typ jednostki lub pole wybrane dla reguły. W przeciwnym razie walidacja reguły zakończy się niepowodzeniem, a reguła nie zostanie utworzona.
  • Otwórz ponownie zamknięte zdarzenia dopasowania: jeśli zdarzenie zostało rozwiązane i zamknięte, a później zostanie wygenerowany inny alert, który powinien należeć do tego zdarzenia, ustaw to ustawienie na Włączone , jeśli chcesz ponownie otworzyć zamknięte zdarzenie, i pozostaw wartość Wyłączone , jeśli chcesz, aby alert utworzył nowe zdarzenie.

    Uwaga

    Maksymalnie 150 alertów można zgrupować w jeden incydent. Jeśli więcej niż 150 alertów jest generowanych przez regułę, która grupuje je w jeden incydent, nowe zdarzenie zostanie wygenerowane z tymi samymi szczegółami zdarzenia co oryginał, a nadmiarowe alerty zostaną zgrupowane w nowym zdarzeniu.

Ustawianie automatycznych odpowiedzi i tworzenie reguły

  1. Na karcie Automatyczne odpowiedzi możesz ustawić automatyzację na podstawie alertu lub alertów generowanych przez tę regułę analizy lub na podstawie zdarzenia utworzonego przez alerty.

    • W przypadku automatyzacji opartej na alertach wybierz z listy rozwijanej w obszarze Automatyzacja alertów wszystkie podręczniki, które mają być uruchamiane automatycznie po wygenerowaniu alertu.

    • W przypadku automatyzacji opartej na zdarzeniach siatka wyświetlana w obszarze Automatyzacja zdarzeń pokazuje reguły automatyzacji , które już mają zastosowanie do tej reguły analizy (ze względu na to, że są spełnione warunki zdefiniowane w tych regułach). Dowolny z nich można edytować, wybierając wielokropek na końcu każdego wiersza. Możesz też utworzyć nową regułę automatyzacji.

      Możesz wywoływać podręczniki (oparte na wyzwalaczu zdarzenia) z tych reguł automatyzacji, a także automatyzować klasyfikację, przypisywanie i zamykanie.

    • Aby uzyskać więcej informacji i instrukcji dotyczących tworzenia podręczników i reguł automatyzacji, zobacz Automatyzowanie odpowiedzi na zagrożenia.

    • Aby uzyskać więcej informacji o tym, kiedy używać wyzwalacza alertu lub wyzwalacza zdarzenia, zobacz Używanie wyzwalaczy i akcji w podręcznikach usługi Microsoft Sentinel.

    Define the automated response settings

  2. Wybierz pozycję Przejrzyj i utwórz , aby przejrzeć wszystkie ustawienia nowej reguły alertu. Po wyświetleniu komunikatu "Weryfikacja przekazana" wybierz pozycję Utwórz , aby zainicjować regułę alertu.

    Review all settings and create the rule

Wyświetlanie reguły i jej danych wyjściowych

  • Nowo utworzoną regułę niestandardową (typu "Zaplanowane") można znaleźć w tabeli na karcie Aktywne reguły na głównym ekranie Analiza . Z tej listy można włączyć, wyłączyć lub usunąć każdą regułę.

  • Aby wyświetlić wyniki utworzonych reguł alertów, przejdź do strony Incydenty , na której można sklasyfikować, zbadać zdarzenia i skorygować zagrożenia.

  • Możesz zaktualizować zapytanie reguły, aby wykluczyć wyniki fałszywie dodatnie. Aby uzyskać więcej informacji, zobacz Obsługa wyników fałszywie dodatnich w usłudze Microsoft Sentinel.

Uwaga

Alerty generowane w usłudze Microsoft Sentinel są dostępne za pośrednictwem usługi Microsoft Graph Security. Aby uzyskać więcej informacji, zobacz dokumentację alertów zabezpieczeń usługi Microsoft Graph.

Eksportowanie reguły do szablonu usługi ARM

Jeśli chcesz spakować regułę do zarządzania i wdrażania jako kodu, możesz łatwo wyeksportować regułę do szablonu usługi Azure Resource Manager (ARM). Reguły można również importować z plików szablonów, aby wyświetlać i edytować je w interfejsie użytkownika.

Rozwiązywanie problemów

Problem: Brak zdarzeń wyświetlanych w wynikach zapytania

Gdy ustawienie grupowania zdarzeńpowoduje wyzwolenie alertu dla każdego zdarzenia, wyniki zapytania wyświetlane w późniejszym czasie mogą wydawać się brakujące lub inne niż oczekiwano. Na przykład możesz wyświetlić wyniki zapytania w późniejszym czasie, gdy wrócisz do wyników z powiązanego zdarzenia.

  • Wyniki są automatycznie zapisywane przy użyciu alertów. Jeśli jednak wyniki są zbyt duże, żadne wyniki nie zostaną zapisane, a następnie żadne dane nie będą wyświetlane podczas ponownego wyświetlania wyników zapytania.
  • W przypadkach, gdy występuje opóźnienie pozyskiwania lub zapytanie nie jest deterministyczne z powodu agregacji, wynik alertu może być inny niż wynik wyświetlany przez ręczne uruchomienie zapytania.

Uwaga

Ten problem został rozwiązany przez dodanie nowego pola OriginalQuery do wyników po wybraniu tej opcji grupowania zdarzeń. Zobacz powyższy opis .

Problem: Nie można uruchomić reguły planowania lub jest wyświetlana z dodanym elementem AUTO DISABLED do nazwy

Rzadko zdarza się, że nie można uruchomić zaplanowanej reguły zapytania, ale może się zdarzyć. Usługa Microsoft Sentinel klasyfikuje błędy z góry jako przejściowe lub trwałe na podstawie określonego typu awarii i okoliczności, które do niego doprowadziły.

Błąd przejściowy

Błąd przejściowy występuje z powodu okoliczności, które są tymczasowe i wkrótce powróci do normalnego, w którym momencie wykonanie reguły zakończy się pomyślnie. Niektóre przykłady błędów klasyfikujących usługę Microsoft Sentinel jako przejściowe są następujące:

  • Wykonywanie zapytania reguły trwa zbyt długo i upłynął limit czasu.
  • Problemy z łącznością między źródłami danych i usługą Log Analytics lub między usługą Log Analytics i usługą Microsoft Sentinel.
  • Wszelkie inne nowe i nieznane błędy są uznawane za przejściowe.

W przypadku awarii przejściowej usługa Microsoft Sentinel nadal próbuje wykonać regułę ponownie po wstępnie określonym i stale rosnącym przedziale czasu do punktu. Następnie reguła zostanie uruchomiona ponownie tylko w następnym zaplanowanym czasie. Reguła nigdy nie zostanie wyłączona automatycznie z powodu błędu przejściowego.

Błąd trwały — automatyczne wyłączenie reguły

Trwałe niepowodzenie występuje z powodu zmiany warunków, które umożliwiają uruchomienie reguły, która bez interwencji człowieka nie powróci do ich byłego stanu. Poniżej przedstawiono kilka przykładów błędów sklasyfikowanych jako trwałe:

  • Docelowy obszar roboczy (na którym działa zapytanie reguły) został usunięty.
  • Tabela docelowa (na której działa zapytanie reguły) została usunięta.
  • Usługa Microsoft Sentinel została usunięta z docelowego obszaru roboczego.
  • Funkcja używana przez zapytanie reguły nie jest już prawidłowa; został zmodyfikowany lub usunięty.
  • Zmieniono uprawnienia do jednego ze źródeł danych zapytania reguły.
  • Jedno ze źródeł danych zapytania reguły zostało usunięte lub rozłączone.

W przypadku wstępnie określonej liczby kolejnych trwałych awarii tego samego typu i w tej samej regule, Usługa Microsoft Sentinel przestaje próbować wykonać regułę, a także wykonuje następujące czynności:

  • Wyłącza regułę.
  • Dodaje wyrazy "AUTO DISABLED" na początku nazwy reguły.
  • Dodaje przyczynę niepowodzenia (i wyłączenia) do opisu reguły.

Można łatwo określić obecność dowolnych reguł automatycznego wyłączania, sortując listę reguł według nazwy. Reguły automatycznego wyłączania będą znajdować się w górnej części listy lub w górnej części listy.

Menedżerowie SOC powinni regularnie sprawdzać listę reguł pod kątem obecności reguł wyłączonych automatycznie.

Następne kroki

W przypadku używania reguł analizy do wykrywania zagrożeń z usługi Microsoft Sentinel należy włączyć wszystkie reguły skojarzone z połączonymi źródłami danych, aby zapewnić pełne pokrycie zabezpieczeń środowiska. Najbardziej wydajnym sposobem włączenia reguł analizy jest bezpośrednio ze strony łącznika danych, która zawiera listę powiązanych reguł. Aby uzyskać więcej informacji, zobacz Połączenie źródła danych.

Reguły wypychania do usługi Microsoft Sentinel można również wypychać za pośrednictwem interfejsu API i programu PowerShell, mimo że wymaga to dodatkowego nakładu pracy. W przypadku korzystania z interfejsu API lub programu PowerShell należy najpierw wyeksportować reguły do formatu JSON przed włączeniem reguł. Interfejs API lub program PowerShell może być przydatny podczas włączania reguł w wielu wystąpieniach usługi Microsoft Sentinel z identycznymi ustawieniami w każdym wystąpieniu.

Aby uzyskać więcej informacji, zobacz:

Aby uzyskać więcej informacji, zobacz:

Ponadto zapoznaj się z przykładem używania niestandardowych reguł analizy podczas monitorowania funkcji Zoom z łącznikiem niestandardowym.