Управление версиями шаблонов для правил аналитики по расписанию в Microsoft Sentinel

Важно!

Эта функция предоставляется в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Введение

Microsoft Sentinel поставляется с шаблонами правил аналитики, с помощью которых можно создать активные правила путем их копирования — именно это и происходит при создании правила на основе шаблона. Но после этого активное правило больше не связано с шаблоном. Если инженеры Майкрософт или другие пользователи внесут в шаблон правила изменения, все правила, созданные на основе этого шаблона, не будут динамически обновляться в соответствии с новым шаблоном.

Однако правила, созданные на основе шаблонов, запоминают, какие шаблоны лежат в их основе, что дает два преимущества.

• Если вы внесли изменения в правило при его создании на основе шаблона (или в любое время после этого), вы всегда можете восстановить исходную версию правила (в виде копии шаблона).

• При обновлении шаблона вы получите уведомление и сможете обновить свои правила до новой версии соответствующих шаблонов или оставить их без изменения.

В этой статье рассказывается, как управлять этими задачами и о чем следует помнить. Описанные ниже процедуры применимы к любым запланированным правилам аналитики, созданным на основе шаблонов.

Определение номера версии шаблона правила

С помощью реализации системы управления версиями шаблонов можно отслеживать версии шаблонов правил и созданные на их основе правила. Правила, шаблоны которых были обновлены, имеют значок Доступно обновление рядом с именем правила.

1. В колонке Аналитика перейдите на вкладку Активные правила.

2. Выберите любое правило типа Запланировано.

   • Если для правила отображается значок Доступно обновление, в области сведений появится кнопка Проверить и обновить рядом с кнопкой Изменить (см. изображение 1 на следующем шаге ниже).

   • Если правило было создано из шаблона, но не имеет значка Доступно обновление, в области сведений будет отображаться кнопка Сравнить с шаблоном рядом с кнопкой Изменить (см. изображения 2 и 3 на следующем шаге ниже).

   • Если доступна только кнопка Изменить, правило было создано с нуля, а не из шаблона.

     

3. Прокрутите страницу до нижней части области сведений, где вы увидите два номера версии: версия шаблона, на основе которой было создано правило, и последняя доступная версия шаблона.

   

   Это число в формате "1.0.0" — основной номер версии, дополнительный номер версии и сборка.

   • Разница в номере основной версии означает, что в шаблон были внесены важные изменения, которые могут повлиять на то, как правило обнаруживает угрозы, или даже его возможность работать. Это изменение необходимо включить в правила.

   • Разница в дополнительном номере версии означает незначительное улучшение шаблона — косметическое изменение или что-то подобное. Это изменение для "удобства", которое не критично для функциональности, эффективности или производительности правила. Это изменение, которое можно и пропустить.

   Примечание

   На изображениях 2 и 3 выше показаны два примера правил, созданных на основе шаблонов, в которых шаблон не был обновлен.

   • На изображении 2 показано правило с номером версии для текущего шаблона. Это означает, что правило было создано после первоначальной реализации системы управления версиями шаблонов в Microsoft Sentinel в октябре 2021 г.
   • На изображении 3 показано правило, которое не имеет текущей версии шаблона. Это говорит о том, что правило было создано до октября 2021 г. Если доступна последняя версия шаблона, скорее всего, это более новая версия шаблона, чем та, которая использовалась для создания правила.

Сравнение активного правила с его шаблоном

Выберите одну из следующих вкладок в зависимости от нужного действия, чтобы просмотреть инструкции для него:

Обновление шаблона

Выбрав правило и решив обновлять его, выберите Проверить и обновить в области сведений (см. выше). Вы увидите, что мастер правил аналитики теперь имеет вкладку Сравнить с последней версией.

На этой вкладке вы увидите параллельное сравнение представлений YAML существующего правила и последней версии шаблона.

Примечание

Обновление этого правила приведет к перезаписи существующего правила последней версией шаблона.

Все шаги или логику автоматизации со ссылкой на существующее правило необходимо проверить на тот случай, если имя, на которое имеется ссылка, было изменено. Кроме того, все изменения при создании исходного правила — в запросе, расписании, группах или других параметров — могут быть перезаписаны.

Обновление правила с помощью новой версии шаблона

• Если изменения, внесенные в новую версию шаблона, допустимы и в остальном исходное правило не затронуто, выберите Проверить и обновить, чтобы проверить и применить изменения.

• Если вы хотите дополнительно изменить настройки правила или повторно применить изменения, которые могли быть перезаписаны, выберите Далее: Пользовательские изменения. Если вы выберете этот вариант, вы перейдете к оставшимся вкладкам мастера правил аналитики, чтобы внести эти изменения, после чего вы проверите и примените изменения на вкладке Проверка и обновление.

• Если вы хотите сохранить существующую версию шаблона, а не вносить какие-либо изменения в существующее правило, просто закройте мастер, выбрав значок "X" в правом верхнем углу.

Восстановление до шаблона

Выбрав правило и решив восстановить его до исходной версии, выберите Сравнить с шаблоном в области сведений (см. выше). Вы увидите, что мастер правил аналитики теперь имеет вкладку Сравнить с последней версией.

На этой вкладке вы увидите параллельное сравнение представлений YAML существующего правила и последней версии шаблона. Эти номера версий могут быть одинаковыми, но в левой части отображается активное правило, включающее все изменения, внесенные в него во время или после его создания из шаблона, а в правой части — шаблон без изменений.

Примечание

Обновление этого правила приведет к перезаписи существующего правила последней версией шаблона. Все шаги или логику автоматизации со ссылкой на существующее правило необходимо проверить на тот случай, если имя, на которое имеется ссылка, было изменено. Кроме того, все изменения при создании исходного правила — в запросе, расписании, группах или других параметров — могут быть перезаписаны.

Сброс правила до исходной версии шаблона

• Если вы хотите полностью восстановить исходную версию этого правила — чистую копию шаблона, — выберите Проверить и обновить, чтобы проверить и применить изменения.

• Если вы хотите изменить настройки правила или повторно применить изменения, которые могли быть перезаписаны, выберите Далее: Пользовательские изменения. Если вы выберете этот вариант, вы перейдете к оставшимся вкладкам мастера правил аналитики, чтобы внести эти изменения, после чего вы проверите и примените изменения на вкладке Проверка и обновление.

• Если вы не хотите вносить изменения в существующее правило, просто завершите работу мастера, выбрав значок "X" в правом верхнем углу.

Дальнейшие действия

Из этого документа вы узнали, как отслеживать версии шаблонов правил Microsoft Sentinel Analytics, а также как восстанавливать активные правила до существующих версий шаблонов или обновлять их до новых версий. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:

• См. правила аналитики.
• См. дополнительные сведения о мастере правил аналитики.