Gerenciar regras de análise
- 4 minutos
Gerenciar regras de análise
Para ajustar o ruído e filtrar as ameaças mais importantes detectadas, gerencie as regras de análise de forma contínua. Isso ajuda a garantir que as regras permaneçam úteis e eficientes na detecção de possíveis ameaças à segurança.
Você pode executar estas quatro ações em regras ativas existentes:
Editar
Desabilitar
Duplicar
Excluir
Editar regras
Você pode modificar as regras existentes selecionando Editar no painel de detalhes. Para editar uma regra, navegue pelas mesmas páginas que acessou na criação da regra. As entradas anteriores que você usou para criar a regra são preservadas. Você pode alterar as propriedades da regra para ajustar ainda mais o resultado da detecção de ameaças.
Uma modificação típica que talvez você queira implementar é anexar uma resposta automatizada a uma ameaça já detectada. Para fazer isso, na página Resposta Automatizada , você pode selecionar um dos guias estratégicos existentes que define a atividade automatizada que será executada se a ameaça for detectada.
Por exemplo, é possível que sua regra de análise detecte um incidente que já foi resolvido e você queira reduzir alertas adicionais caso uma atividade semelhante ocorra. Ao anexar um guia estratégico contendo a atividade automatizada, você pode alterar o status do incidente ou adicionar comentários quando um incidente semelhante for detectado.
Desabilitar regras
Você pode desabilitar uma regra ao executar uma atividade que possa disparar o alerta da regra. As regras desabilitadas mantêm a configuração, e você pode habilitá-las novamente mais tarde.
Duplicar regras
Quando você duplica uma regra, ela contém toda a configuração da regra original. Você pode fazer outras modificações na configuração com base em seus requisitos. Não se esqueça de alterar o nome da regra duplicada porque, por padrão, a regra duplicada tem o mesmo nome da regra original com a cadeia de caracteres Copiar acrescentada a ela.
Excluir regras
A exclusão da regra exibe uma solicitação de confirmação para que a Análise do Microsoft Sentinel a remova do conjunto de regras ativas. Por exemplo, você pode excluir uma regra sobre um serviço ou um recurso que não está em uso, o que elimina a necessidade da regra. A exclusão de uma regra é permanente, e não há um recurso para desfazer a ação. Portanto, recomendamos que você primeiro desabilite a regra por um período até ter certeza de que não precisa dela.