Zarządzanie wersjami szablonów dla zaplanowanych reguł analizy w usłudze Microsoft Sentinel

Ważne

Ta funkcja jest dostępna w wersji zapoznawczej. Zapoznaj się z dodatkowymi warunkami użytkowania dla wersji zapoznawczych platformy Microsoft Azure , aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Wprowadzenie

Usługa Microsoft Sentinel jest dostarczana z szablonami reguł analitycznych , które przekształcają się w aktywne reguły, skutecznie tworząc kopię — dzieje się tak po utworzeniu reguły na podstawie szablonu. W tym momencie jednak aktywna reguła nie jest już połączona z szablonem. Jeśli zmiany w szablonie reguły zostaną wprowadzone przez inżynierów firmy Microsoft lub innych użytkowników, wszystkie reguły utworzone wcześniej na podstawie tego szablonu nie są dynamicznie aktualizowane w celu dopasowania do nowego szablonu.

Jednak reguły utworzone na podstawie szablonów pamiętają, z których szablonów pochodzą, co daje dwie korzyści:

• Jeśli wprowadzono zmiany w regule podczas tworzenia jej na podstawie szablonu (lub w dowolnym momencie po tym), zawsze możesz przywrócić regułę z powrotem do oryginalnej wersji (jako kopii szablonu).

• Możesz otrzymywać powiadomienia o aktualizacji szablonu i będziesz mieć możliwość zaktualizowania reguł do nowej wersji szablonów lub pozostawienia ich w takiej postaci.

W tym artykule pokazano, jak zarządzać tymi zadaniami i o czym należy pamiętać. Opisane poniżej procedury dotyczą wszystkich reguł analizy zaplanowanej utworzonych na podstawie szablonów.

Odnajdywanie numeru wersji szablonu reguły

Implementacja kontroli wersji szablonu umożliwia wyświetlanie i śledzenie wersji szablonów reguł oraz utworzonych na ich podstawie reguł. Reguły, których szablony zostały zaktualizowane, wyświetlają wskaźnik "Aktualizuj dostępne" obok nazwy reguły.

1. W bloku Analiza wybierz kartę Aktywne reguły .

2. Wybierz dowolną regułę typu Zaplanowane.

   • Jeśli reguła wyświetla wskaźnik "Aktualizuj dostępne", jego okienko szczegółów będzie mieć przycisk Przejrzyj i zaktualizuj obok przycisku Edytuj (zobacz obraz 1 w następnym kroku poniżej).

   • Jeśli reguła została utworzona na podstawie szablonu, ale nie ma wskaźnika "Aktualizuj dostępne", jego okienko szczegółów będzie miało przycisk Porównaj z szablonem obok przycisku Edytuj (zobacz obrazy 2 i 3 w następnym kroku poniżej).

   • Jeśli istnieje tylko przycisk Edytuj , reguła została utworzona od podstaw, a nie z szablonu.

     

3. Przewiń w dół do dołu okienka szczegółów, gdzie zobaczysz dwa numery wersji: wersję szablonu, z którego utworzono regułę, oraz najnowszą dostępną wersję szablonu.

   

   Liczba ma format "1.0.0" — wersja główna, wersja pomocnicza i kompilacja.

   • Różnica w numerze wersji głównej wskazuje, że coś istotnego w szablonie zostało zmienione, co może mieć wpływ na sposób, w jaki reguła wykrywa zagrożenia, a nawet jej zdolność do całkowitego działania. Jest to zmiana, którą chcesz uwzględnić w regułach.

   • Różnica w numerze wersji pomocniczej wskazuje na niewielkie ulepszenie szablonu — zmianę kosmetyczną lub coś podobnego — byłoby to "miło mieć", ale nie ma krytycznego znaczenia dla utrzymania funkcjonalności, skuteczności lub wydajności reguły. Jest to zmiana, którą można równie łatwo wziąć lub odejść.

   Uwaga

   Obrazy 2 i 3 powyżej pokazują dwa przykłady reguł utworzonych na podstawie szablonów, w których szablon nie został zaktualizowany.

   • Obraz 2 przedstawia regułę z numerem wersji bieżącego szablonu. Oznacza to, że reguła została utworzona po początkowej implementacji kontroli wersji szablonu przez usługę Microsoft Sentinel w październiku 2021 r.
   • Obraz 3 przedstawia regułę, która nie ma bieżącej wersji szablonu. Pokazuje to, że reguła została utworzona przed październikiem 2021 r. Jeśli jest dostępna najnowsza wersja szablonu, prawdopodobnie jest to nowsza wersja szablonu niż używana do utworzenia reguły.

Porównaj aktywną regułę z szablonem

Wybierz jedną z następujących kart zgodnie z akcją, którą chcesz wykonać, aby wyświetlić instrukcje dotyczące tej akcji:

Aktualizowanie szablonu

Po wybraniu reguły i ustaleniu, że chcesz ją zaktualizować, wybierz pozycję Przejrzyj i zaktualizuj w okienku szczegółów (zobacz powyżej). Zobaczysz, że kreator reguł analizy ma teraz kartę Porównaj z najnowszą wersją .

Na tej karcie zobaczysz porównanie równoległe między reprezentacjami YAML istniejącej reguły a najnowszą wersją szablonu.

Uwaga

Zaktualizowanie tej reguły spowoduje zastąpienie istniejącej reguły najnowszą wersją szablonu.

Każdy krok automatyzacji lub logika, która odwołuje się do istniejącej reguły, należy zweryfikować na wypadek zmiany nazw, do których się odwołujesz. Ponadto wszelkie dostosowania wprowadzone podczas tworzenia oryginalnej reguły — zmiany w zapytaniu, harmonogramie, grupowaniu lub innych ustawieniach — mogą zostać zastąpione.

Aktualizowanie reguły przy użyciu nowej wersji szablonu

• Jeśli zmiany wprowadzone w nowej wersji szablonu są akceptowane i nic innego w oryginalnej regule nie ma wpływu, wybierz pozycję Przejrzyj i zaktualizuj , aby zweryfikować i zastosować zmiany.

• Jeśli chcesz jeszcze bardziej dostosować regułę lub ponownie zastosować wszelkie zmiany, które w przeciwnym razie mogą zostać zastąpione, wybierz pozycję Dalej: zmiany niestandardowe. Jeśli wybierzesz tę opcję, przejdziesz przez pozostałe karty kreatora reguł analizy , aby wprowadzić te zmiany, po czym zweryfikujesz i zastosujesz zmiany na karcie Przegląd i aktualizacja .

• Jeśli nie chcesz wprowadzać żadnych zmian w istniejącej regule, ale raczej zachować istniejącą wersję szablonu, po prostu zamknij kreatora, wybierając znak X w prawym górnym rogu.

Przywracanie do szablonu

Po wybraniu reguły i ustaleniu, że chcesz przywrócić oryginalną wersję, wybierz pozycję Porównaj z szablonem w okienku szczegółów (zobacz powyżej). Zobaczysz, że kreator reguł analizy ma teraz kartę Porównaj z najnowszą wersją .

Na tej karcie zobaczysz porównanie równoległe między reprezentacjami YAML istniejącej reguły a najnowszą wersją szablonu. Te dwa numery wersji mogą być takie same, ale po lewej stronie jest wyświetlana aktywna reguła, w tym wszelkie zmiany wprowadzone w szablonie lub po jego utworzeniu, a po prawej stronie jest wyświetlany niezmieniony szablon.

Uwaga

Zaktualizowanie tej reguły spowoduje zastąpienie istniejącej reguły najnowszą wersją szablonu. Każdy krok automatyzacji lub logika, która odwołuje się do istniejącej reguły, należy zweryfikować na wypadek zmiany nazw, do których się odwołujesz. Ponadto wszelkie dostosowania wprowadzone podczas tworzenia oryginalnej reguły — zmiany w zapytaniu, harmonogramie, grupowaniu lub innych ustawieniach — mogą zostać zastąpione.

Przywracanie reguły do oryginalnej wersji szablonu

• Jeśli chcesz całkowicie przywrócić oryginalną wersję tej reguły — czystą kopię szablonu — wybierz pozycję Przejrzyj i zaktualizuj , aby zweryfikować i zastosować zmiany.

• Jeśli chcesz dostosować regułę inaczej lub ponownie zastosować wszelkie zmiany, które w przeciwnym razie mogą zostać zastąpione, wybierz pozycję Dalej: zmiany niestandardowe. Jeśli wybierzesz tę opcję, przejdziesz przez pozostałe karty kreatora reguł analizy , aby wprowadzić te zmiany, po czym zweryfikujesz i zastosujesz zmiany na karcie Przegląd i aktualizacja .

• Jeśli nie chcesz wprowadzać żadnych zmian w istniejącej regule, po prostu zamknij kreatora, wybierając znak X w prawym górnym rogu.

Następne kroki

W tym dokumencie przedstawiono sposób śledzenia wersji szablonów reguł analizy usługi Microsoft Sentinel oraz przywracania aktywnych reguł do istniejących wersji szablonów lub aktualizowania ich do nowych. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:

• Dowiedz się więcej o regułach analizy.
• Zobacz więcej szczegółów na temat kreatora reguł analizy.