Tworzenie zaplanowanych reguł analizy na podstawie szablonów

• Dotyczy:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Zdecydowanie najbardziej typowym typem reguły analizy zaplanowane reguły są oparte na zapytaniach Kusto, które są skonfigurowane do uruchamiania w regularnych odstępach czasu i badają nieprzetworzone dane z zdefiniowanego okresu "lookback". Te zapytania mogą wykonywać złożone operacje statystyczne na danych docelowych, ujawniając punkty odniesienia i wartości odstające w grupach zdarzeń. Jeśli liczba wyników przechwyconych przez zapytanie przekroczy próg skonfigurowany w regule, reguła generuje alert.

Firma Microsoft udostępnia szeroką gamę szablonów reguł analitycznych za pośrednictwem wielu rozwiązań dostępnych w centrum zawartości i zdecydowanie zachęca cię do tworzenia reguł przy użyciu tych szablonów. Zapytania w zaplanowanych szablonach reguł są pisane przez ekspertów ds. zabezpieczeń i nauki o danych od firmy Microsoft lub od dostawcy rozwiązania dostarczającego szablon.

W tym artykule pokazano, jak utworzyć zaplanowaną regułę analizy przy użyciu szablonu.

Ważne

Usługa Microsoft Sentinel jest dostępna jako część ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Usługa Microsoft Sentinel w portalu usługi Defender jest teraz obsługiwana do użytku produkcyjnego. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wyświetlanie istniejących reguł analizy

Aby wyświetlić zainstalowane reguły analizy w usłudze Microsoft Sentinel, przejdź do strony Analiza . Na karcie Szablony reguł są wyświetlane wszystkie zainstalowane szablony reguł. Aby znaleźć więcej szablonów reguł, przejdź do centrum zawartości w usłudze Microsoft Sentinel, aby zainstalować powiązane rozwiązania produktów lub zawartość autonomiczną.

Witryna Azure Portal

1. W sekcji Konfiguracja menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.

2. Na ekranie Analiza wybierz kartę Szablony reguł.

3. Jeśli chcesz filtrować listę szablonów zaplanowanych :

   1. Wybierz pozycję Dodaj filtr i wybierz pozycję Typ reguły z listy filtrów.

   2. Z wyświetlonej listy wybierz pozycję Zaplanowane. Następnie wybierz pozycję Zastosuj.

   

Portal usługi Defender

1. Z menu nawigacji usługi Microsoft Defender rozwiń węzeł Microsoft Sentinel, a następnie pozycję Konfiguracja. Wybierz pozycję Analizy.

2. Na ekranie Analiza wybierz kartę Szablony reguł.

3. Jeśli chcesz filtrować listę szablonów zaplanowanych :

   1. Wybierz pozycję Dodaj filtr i wybierz pozycję Typ reguły z listy filtrów.

   2. Z wyświetlonej listy wybierz pozycję Zaplanowane. Następnie wybierz pozycję Zastosuj.

   

Tworzenie reguły na podstawie szablonu

W tej procedurze opisano sposób tworzenia reguły analizy na podstawie szablonu.

Witryna Azure Portal

W sekcji Konfiguracja menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.

Portal usługi Defender

Z menu nawigacji usługi Microsoft Defender rozwiń węzeł Microsoft Sentinel, a następnie pozycję Konfiguracja. Wybierz pozycję Analizy.

1. Na ekranie Analiza wybierz kartę Szablony reguł.

2. Wybierz nazwę szablonu, a następnie wybierz przycisk Utwórz regułę w okienku szczegółów, aby utworzyć nową aktywną regułę na podstawie tego szablonu.

   Każdy szablon zawiera listę wymaganych źródeł danych. Po otwarciu szablonu źródła danych są automatycznie sprawdzane pod kątem dostępności. Jeśli źródło danych nie jest włączone, przycisk Utwórz regułę może być wyłączony lub może zostać wyświetlony komunikat z tym skutkiem.

   

3. Zostanie otwarty kreator tworzenia reguły. Wszystkie szczegóły są wypełniane automatycznie.

4. Przejrzyj karty kreatora, dostosowując logikę i inne ustawienia reguły, jeśli jest to możliwe, aby lepiej dopasować je do konkretnych potrzeb.

   Po końcu kreatora tworzenia reguły usługa Microsoft Sentinel tworzy regułę. Nowa reguła zostanie wyświetlona na karcie Aktywne reguły .

   Powtórz proces, aby utworzyć więcej reguł. Aby uzyskać więcej informacji na temat dostosowywania reguł w kreatorze tworzenia reguł, zobacz Tworzenie niestandardowej reguły analizy od podstaw.

Napiwek

• Upewnij się, że wszystkie reguły skojarzone z połączonymi źródłami danych są włączone, aby zapewnić pełne pokrycie zabezpieczeń dla danego środowiska. Najbardziej efektywnym sposobem włączenia reguł analizy jest bezpośrednio ze strony łącznika danych, która zawiera listę powiązanych reguł. Aby uzyskać więcej informacji, zobacz Połączenie źródła danych.

• Reguły wypychania do usługi Microsoft Sentinel można również wypychać za pośrednictwem interfejsu API i programu PowerShell, chociaż wymaga to dodatkowego nakładu pracy.

  W przypadku korzystania z interfejsu API lub programu PowerShell należy najpierw wyeksportować reguły do formatu JSON przed włączeniem reguł. Interfejs API lub program PowerShell może być przydatny podczas włączania reguł w wielu wystąpieniach usługi Microsoft Sentinel z identycznymi ustawieniami w każdym wystąpieniu.

Następne kroki

W tym dokumencie przedstawiono sposób tworzenia zaplanowanych reguł analizy na podstawie szablonów w usłudze Microsoft Sentinel.

• Dowiedz się więcej o regułach analizy.
• Dowiedz się, jak utworzyć regułę analizy od podstaw.