Hantera mallversioner för dina schemalagda analysregler i Microsoft Sentinel

Viktigt

Den här funktionen är i förhandsversion. Se kompletterande användningsvillkor för Microsoft Azure-förhandsversioner för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som på annat sätt ännu inte har släppts i allmän tillgänglighet.

Introduktion

Microsoft Sentinel levereras med analysregelmallar som du omvandlar till aktiva regler genom att effektivt skapa en kopia av dem – det är vad som händer när du skapar en regel från en mall. Vid den tidpunkten är dock den aktiva regeln inte längre ansluten till mallen. Om ändringar görs i en regelmall, av Microsoft-tekniker eller någon annan, uppdateras inte regler som skapats från mallen i förväg dynamiskt för att matcha den nya mallen.

Men regler som skapas från mallar kommer ihåg vilka mallar de kom från, vilket ger dig två fördelar:

• Om du har gjort ändringar i en regel när du skapar den från en mall (eller när som helst efter det) kan du alltid återställa regeln till dess ursprungliga version (som en kopia av mallen).

• Du kan få ett meddelande när en mall uppdateras och du kan välja att uppdatera reglerna till den nya versionen av mallarna eller lämna dem som de är.

Den här artikeln visar hur du hanterar dessa uppgifter och vad du bör tänka på. De procedurer som beskrivs nedan gäller för alla schemalagda analysregler som skapats från mallar.

Identifiera regelns mallversionsnummer

Med implementeringen av versionskontroll för mallar kan du se och spåra versionerna av dina regelmallar och de regler som skapats från dem. Regler vars mallar har uppdaterats visar märket "Uppdatera tillgänglig" bredvid regelnamnet.

1. På bladet Analys väljer du fliken Aktiva regler .

2. Välj valfri regel av typen Schemalagd.

   • Om regeln visar märket "Uppdatera tillgänglig" har dess informationsfönster knappen Granska och uppdatera bredvid knappen Redigera (se bild 1 i nästa steg nedan).

   • Om regeln skapades från en mall men inte har märket "Uppdatera tillgänglig" har informationsfönstret knappen Jämför med mall bredvid knappen Redigera (se bilder 2 och 3 i nästa steg nedan).

   • Om det bara finns en redigeringsknapp skapades regeln från grunden, inte från en mall.

     

3. Rulla ned till slutet av informationsfönstret, där du ser två versionsnummer: versionen av mallen som regeln skapades från och den senaste tillgängliga versionen av mallen.

   

   Talet har formatet "1.0.0" – högre version, delversion och version.

   • En skillnad i huvudversionsnumret indikerar att något som är viktigt i mallen har ändrats, som kan påverka hur regeln identifierar hot eller till och med dess förmåga att fungera helt och hållet. Det här är en ändring som du vill inkludera i dina regler.

   • En skillnad i delversionsnumret indikerar en mindre förbättring i mallen – en kosmetisk ändring eller något liknande – som skulle vara "trevligt att ha" men är inte avgörande för att upprätthålla regelns funktionalitet, effektivitet eller prestanda. Det här är en ändring som du lika enkelt kan ta eller lämna.

   Anteckning

   Avbildningarna 2 och 3 ovan visar två exempel på regler som skapats från mallar, där mallen inte har uppdaterats.

   • Bild 2 visar en regel som har ett versionsnummer för den aktuella mallen. Detta signalerar att regeln skapades efter Microsoft Sentinels första implementering av mallversionskontroll i oktober 2021.
   • Bild 3 visar en regel som inte har en aktuell mallversion. Detta visar att regeln hade skapats före oktober 2021. Om det finns en senaste tillgänglig mallversion är det troligtvis en nyare version av mallen än den som används för att skapa regeln.

Jämför din aktiva regel med dess mall

Välj någon av följande flikar enligt den åtgärd som du vill vidta för att se anvisningarna för den åtgärden:

Uppdatera mall

När du har valt en regel och fastställt att du vill överväga att uppdatera den väljer du Granska och uppdatera i informationsfönstret (se ovan). Nu ser du att guiden Analytics-regel har fliken Jämför med den senaste versionen .

På den här fliken visas en jämförelse sida vid sida mellan YAML-representationerna av den befintliga regeln och den senaste versionen av mallen.

Anteckning

Om du uppdaterar den här regeln skrivs den befintliga regeln över med den senaste versionen av mallen.

Alla automatiseringssteg eller logik som hänvisar till den befintliga regeln bör verifieras, om de refererade namnen har ändrats. Dessutom kan eventuella anpassningar som du har gjort när du skapade den ursprungliga regeln – ändringar i frågan, schemaläggning, gruppering eller andra inställningar – skrivas över.

Uppdatera regeln med den nya mallversionen

• Om ändringarna i den nya versionen av mallen är godtagbara för dig och inget annat i den ursprungliga regeln har påverkats väljer du Granska och uppdatera för att verifiera och tillämpa ändringarna.

• Om du vill anpassa regeln ytterligare eller tillämpa ändringar som annars kan skrivas över väljer du Nästa: Anpassade ändringar. Om du väljer detta går du igenom de återstående flikarna i guiden Analytics-regel för att göra dessa ändringar, varefter du verifierar och tillämpar ändringarna på fliken Granska och uppdatera .

• Om du inte vill göra några ändringar i din befintliga regel, utan i stället behålla den befintliga mallversionen, avslutar du guiden genom att välja X i det övre högra hörnet.

Återgå till mall

När du har valt en regel och fastställt att du vill återgå till den ursprungliga versionen väljer du Jämför med mall i informationsfönstret (se ovan). Nu ser du att guiden Analytics-regel har fliken Jämför med den senaste versionen .

På den här fliken visas en jämförelse sida vid sida mellan YAML-representationerna av den befintliga regeln och den senaste versionen av mallen. Dessa två versionsnummer kan vara samma, men på vänster sida visas den aktiva regeln, inklusive eventuella ändringar som har gjorts i den under eller efter att den har skapats från mallen, medan den oförändrade mallen visas på höger sida.

Anteckning

Om du uppdaterar den här regeln skrivs den befintliga regeln över med den senaste versionen av mallen. Alla automatiseringssteg eller logik som hänvisar till den befintliga regeln bör verifieras, om de refererade namnen har ändrats. Dessutom kan eventuella anpassningar som du har gjort när du skapade den ursprungliga regeln – ändringar i frågan, schemaläggning, gruppering eller andra inställningar – skrivas över.

Återställ regeln till den ursprungliga mallversionen

• Om du vill återgå helt till den ursprungliga versionen av den här regeln – en ren kopia av mallen – väljer du Granska och uppdatera för att verifiera och tillämpa ändringarna.

• Om du vill anpassa regeln på ett annat sätt eller tillämpa ändringar som annars kan skrivas över väljer du Nästa: Anpassade ändringar. Om du väljer detta går du igenom de återstående flikarna i guiden Analytics-regel för att göra dessa ändringar, varefter du verifierar och tillämpar ändringarna på fliken Granska och uppdatera .

• Om du inte vill göra några ändringar i den befintliga regeln avslutar du guiden genom att välja X i det övre högra hörnet.

Nästa steg

I det här dokumentet har du lärt dig hur du spårar versionerna av dina Microsoft Sentinel-analysregelmallar och antingen återställer aktiva regler till befintliga mallversioner eller uppdaterar dem till nya. Mer information om Microsoft Sentinel finns i följande artiklar:

• Läs mer om analysregler.
• Se mer information om guiden för analysregler.