Zarządzanie wersjami szablonów dla zaplanowanych reguł analizy w usłudze Microsoft Sentinel

Ważne

Ta funkcja jest dostępna w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Wprowadzenie

Usługa Microsoft Sentinel zawiera szablony reguł analitycznych , które przekształcają się w aktywne reguły, skutecznie tworząc kopię — dzieje się tak, gdy tworzysz regułę na podstawie szablonu. W tym momencie jednak aktywna reguła nie jest już połączona z szablonem. Jeśli zmiany w szablonie reguły zostaną wprowadzone przez inżynierów firmy Microsoft lub innych osób, wszystkie reguły utworzone wcześniej na podstawie tego szablonu nie są dynamicznie aktualizowane w celu dopasowania do nowego szablonu.

Jednak reguły utworzone na podstawie szablonów pamiętają, z których szablonów pochodzą, co daje dwie zalety:

• W przypadku wprowadzenia zmian w regule podczas tworzenia jej z szablonu lub w dowolnym momencie później zawsze można przywrócić regułę z powrotem do oryginalnej wersji.

• Otrzymasz powiadomienie o zaktualizowaniu szablonu. Możesz zaktualizować reguły do nowej wersji szablonów lub pozostawić je tak, jak są.

W tym artykule pokazano, jak zarządzać tymi zadaniami i o czym należy pamiętać. Procedury omówione w artykule dotyczą wszystkich reguł analizy zaplanowanej utworzonych na podstawie szablonów.

Odnajdywanie numeru wersji szablonu reguły

Implementacja kontrolki wersji szablonu umożliwia wyświetlanie i śledzenie wersji szablonów reguł oraz utworzonych na ich podstawie reguł. Reguły ze zaktualizowanymi szablonami wyświetlają wskaźnik "Aktualizuj" obok nazwy reguły.

1. Na stronie Analiza wybierz kartę Aktywne reguły.

2. Wybierz dowolną regułę typu Zaplanowane.

   • Jeśli reguła wyświetla wskaźnik "Aktualizuj", jego okienko szczegółów będzie mieć przycisk Przejrzyj i zaktualizuj obok przycisku Edytuj (zobacz obraz 1 w następnym kroku).

   • Jeśli reguła została utworzona na podstawie szablonu, ale nie ma wskaźnika "Aktualizuj", jego okienko szczegółów będzie miało przycisk Porównaj z szablonem obok przycisku Edytuj (zobacz obrazy 2 i 3 w następnym kroku).

   • Jeśli istnieje tylko przycisk Edytuj , reguła została utworzona od podstaw, a nie z szablonu.

     

3. Przewiń w dół do dołu okienka szczegółów, gdzie zobaczysz dwa numery wersji: wersję szablonu, z którego utworzono regułę, oraz najnowszą dostępną wersję szablonu.

   

   Liczba jest w formacie "1.0.0" — wersja główna, wersja pomocnicza i kompilacja.

   • Różnica w numerze wersji głównej wskazuje, że coś istotnego w szablonie zostało zmienione, co może mieć wpływ na sposób, w jaki reguła wykrywa zagrożenia, a nawet jego zdolność do całkowitego działania. Chcesz uwzględnić tę zmianę w regułach.

   • Różnica w numerze wersji pomocniczej wskazuje na niewielką poprawę szablonu — zmianę kosmetyczną lub podobną — która byłaby "miła do posiadania", ale nie ma krytycznego znaczenia dla utrzymania funkcjonalności, skuteczności lub wydajności reguły. Możesz tak samo łatwo wziąć tę zmianę lub pozostawić ją.

   Uwaga

   Obrazy 2 i 3 przedstawiają dwa przykłady reguł utworzonych na podstawie szablonów, w których szablon nie został zaktualizowany.

   • Obraz 2 przedstawia regułę zawierającą numer wersji bieżącego szablonu. Oznacza to, że reguła została utworzona po początkowej implementacji kontroli wersji szablonu w usłudze Microsoft Sentinel w październiku 2021 r.
   • Obraz 3 przedstawia regułę, która nie ma bieżącej wersji szablonu. Pokazuje to, że reguła została utworzona przed październikiem 2021 r. Jeśli jest dostępna najnowsza wersja szablonu, prawdopodobnie jest to nowsza wersja szablonu niż używana do utworzenia reguły.

Porównaj aktywną regułę z szablonem

Wybierz jedną z następujących kart zgodnie z akcją, którą chcesz wykonać, aby wyświetlić instrukcje dotyczące tej akcji:

Aktualizowanie szablonu

Po wybraniu reguły i ustaleniu, że chcesz ją zaktualizować, wybierz pozycję Przejrzyj i zaktualizuj w okienku szczegółów (zobacz wcześniej). Zobaczysz, że kreator reguł analizy ma teraz kartę Porównaj z najnowszą wersją.

Na tej karcie zobaczysz porównanie równoległe między reprezentacjami YAML istniejącej reguły a najnowszą wersją szablonu.

Uwaga

Zaktualizowanie tej reguły spowoduje zastąpienie istniejącej reguły najnowszą wersją szablonu.

Każdy krok automatyzacji lub logika, która odwołuje się do istniejącej reguły, należy zweryfikować w przypadku zmiany przywołynych nazw. Ponadto wszelkie dostosowania wprowadzone w tworzeniu oryginalnej reguły — zmiany w zapytaniu, planowaniu, grupowaniu lub innych ustawieniach — mogą zostać zastąpione.

Aktualizowanie reguły przy użyciu nowej wersji szablonu

• Jeśli zmiany wprowadzone w nowej wersji szablonu są akceptowalne i nic innego nie ma wpływu na oryginalną regułę, wybierz pozycję Przejrzyj i zaktualizuj , aby zweryfikować i zastosować zmiany.

• Jeśli chcesz jeszcze bardziej dostosować regułę lub ponownie zastosować wszelkie zmiany, które w przeciwnym razie mogą zostać zastąpione, wybierz pozycję Dalej: Zmiany niestandardowe. Przejrzyj pozostałe karty kreatora reguł analizy, aby wprowadzić te zmiany, a następnie zweryfikuj i zastosuj zmiany na karcie Przegląd i aktualizacja .

• Jeśli nie chcesz wprowadzać żadnych zmian w istniejącej regule, ale raczej zachować istniejącą wersję szablonu, po prostu zamknij kreatora, wybierając znak X w prawym górnym rogu.

Przywracanie do szablonu

Po wybraniu reguły i ustaleniu, że chcesz przywrócić oryginalną wersję, wybierz pozycję Porównaj z szablonem w okienku szczegółów (zobacz wcześniej). Zobaczysz, że kreator reguł analizy ma teraz kartę Porównaj z najnowszą wersją.

Na tej karcie zobaczysz porównanie równoległe między reprezentacjami YAML istniejącej reguły a najnowszą wersją szablonu. Te dwa numery wersji mogą być takie same, ale po prawej stronie jest wyświetlany oryginalny, niezmieniony szablon, a po lewej stronie jest wyświetlana aktywna reguła, w tym wszelkie zmiany z oryginalnego szablonu.

Uwaga

Zaktualizowanie tej reguły spowoduje zastąpienie istniejącej reguły najnowszą wersją szablonu.

Każdy krok automatyzacji lub logika, która odwołuje się do istniejącej reguły, należy zweryfikować w przypadku zmiany przywołynych nazw. Ponadto wszelkie dostosowania wprowadzone w tworzeniu oryginalnej reguły — zmiany w zapytaniu, planowaniu, grupowaniu lub innych ustawieniach — mogą zostać zastąpione.

Przywracanie reguły do oryginalnej wersji szablonu

• Jeśli chcesz całkowicie przywrócić oryginalną wersję tej reguły — czystą kopię szablonu — wybierz pozycję Przejrzyj i zaktualizuj , aby zweryfikować i zastosować zmiany.

• Jeśli chcesz dostosować regułę inaczej lub ponownie zastosować wszelkie zmiany, które w przeciwnym razie mogą zostać zastąpione, wybierz pozycję Dalej: zmiany niestandardowe. Przejrzyj pozostałe karty kreatora reguł analizy, aby wprowadzić te zmiany, a następnie zweryfikuj i zastosuj zmiany na karcie Przegląd i aktualizacja .

• Jeśli nie chcesz wprowadzać żadnych zmian w istniejącej regule, po prostu zamknij kreatora, wybierając znak X w prawym górnym rogu.

Następne kroki

W tym dokumencie przedstawiono sposób śledzenia wersji szablonów reguł analitycznych usługi Microsoft Sentinel oraz przywracania aktywnych reguł do istniejących wersji szablonów lub aktualizowania ich do nowych. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:

• Dowiedz się więcej o regułach analizy.
• Zobacz więcej szczegółów na temat kreatora reguł analizy.