Microsoft Sentinel'de zamanlanmış analiz kurallarınız için şablon sürümlerini yönetme

Önemli

Bu özellik ÖNİzLEME aşamasındadır. Beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları .

Giriş

Microsoft Sentinel, etkili bir şekilde bir kopyasını oluşturarak etkin kurallara dönüştürdüğünüz analiz kuralı şablonlarıyla birlikte gelir. Şablondan kural oluşturduğunuzda böyle olur. Ancak bu noktada etkin kural artık şablona bağlı değildir. Kural şablonunda Microsoft mühendisleri veya başka biri tarafından değişiklik yapılırsa, önceden bu şablondan oluşturulan kurallar yeni şablonla eşleşecek şekilde dinamik olarak güncelleştirilmez .

Ancak , şablonlardan oluşturulan kurallar hangi şablonlardan geldiklerini anımsar ve bu da size iki avantaj sağlar:

• Bir şablondan oluştururken (veya bundan sonra herhangi bir zamanda) bir kuralda değişiklik yaptıysanız, kuralı istediğiniz zaman özgün sürümüne (şablonun bir kopyası olarak) geri döndürebilirsiniz.

• Bir şablon güncelleştirildiğinde bildirim alabilirsiniz ve kurallarınızı şablonlarının yeni sürümüne güncelleştirme veya olduğu gibi bırakma seçeneğiniz olur.

Bu makalede, bu görevlerin nasıl yönetileceği ve aklınızda bulundurmanız gerekenler gösterilir. Aşağıda açıklanan yordamlar, şablonlardan oluşturulan zamanlanmış analiz kuralları için geçerlidir.

Kuralınızın şablon sürüm numarasını bulma

Şablon sürümü denetiminin uygulanmasıyla, kural şablonlarınızın sürümlerini ve bunlardan oluşturulan kuralları görebilir ve izleyebilirsiniz. Şablonları güncelleştirilen kurallar, kural adının yanında bir "Kullanılabilir güncelleştir" rozeti görüntüler.

1. Analiz dikey penceresinde Etkin kurallar sekmesini seçin.

2. Zamanlanmış türünde herhangi bir kural seçin.

   • Kuralda "Kullanılabilir güncelleştirme" rozeti görüntülenirse, ayrıntılar bölmesinde Düzenle düğmesinin yanında gözden geçir ve güncelleştir düğmesi bulunur (aşağıdaki sonraki adımda 1. resme bakın).

   • Kural bir şablondan oluşturulduysa ancak "Kullanılabilir güncelleştir" rozeti yoksa, ayrıntılar bölmesinde Düzenle düğmesinin yanında şablonla karşılaştır düğmesi bulunur (aşağıdaki sonraki adımda 2. ve 3. resimlere bakın).

   • Yalnızca Düzenle düğmesi varsa, kural şablondan değil sıfırdan oluşturulmuştur.

     

3. Ayrıntılar bölmesinin en altına kadar aşağı kaydırın; burada iki sürüm numarası görürsünüz: kuralın oluşturulduğu şablonun sürümü ve şablonun kullanılabilir en son sürümü.

   

   Sayı "1.0.0" biçimindedir: ana sürüm, ikincil sürüm ve derleme.

   • Ana sürüm numarasındaki bir fark, şablonda kuralın tehditleri algılama şeklini ve hatta tamamen çalışma becerisini etkileyebilecek önemli bir şeyin değiştirildiğini gösterir. Bu, kurallarınıza eklemek isteyeceğiniz bir değişikliktir.

   • İkincil sürüm numarasındaki fark, şablondaki küçük bir gelişmeyi (kozmetik bir değişiklik veya benzer bir şey) gösterir. Bu ,"hoş" olabilir, ancak kuralın işlevselliğini, etkinliğini veya performansını korumak için kritik değildir. Bu, kolayca alıp ayrılabileceğiniz bir değişikliktir.

   Not

   Yukarıdaki 2. ve 3. görüntülerde şablonlardan oluşturulan ve şablonun güncelleştirilmediği iki kural örneği gösterilmektedir.

   • Görüntü 2'de geçerli şablonu için sürüm numarası olan bir kural gösterilmektedir. Bu, kuralın Microsoft Sentinel'in Ekim 2021'de şablon sürümü denetimini ilk uygulaması sonrasında oluşturulduğunu gösterir.
   • Görüntü 3'de geçerli şablon sürümü olmayan bir kural gösterilmektedir. Bu, kuralın Ekim 2021'e kadar oluşturulduğunu gösterir. En son şablon sürümü varsa, büyük olasılıkla kuralı oluşturmak için kullanılandan daha yeni bir şablon sürümüdür.

Etkin kuralınızı şablonuyla karşılaştırma

Bu eylemin yönergelerini görmek için, yapmak istediğiniz eyleme göre aşağıdaki sekmelerden birini seçin:

Şablonu güncelleştirme

Bir kural seçtikten ve güncelleştirmeyi göz önünde bulundurmak istediğinizi belirledikten sonra ayrıntılar bölmesinde Gözden geçir ve güncelleştir'i seçin (yukarıya bakın). Analiz kuralı sihirbazının artık en son sürümle karşılaştır sekmesine sahip olduğunu göreceksiniz.

Bu sekmede, mevcut kuralın YAML gösterimleri ile şablonun en son sürümü arasında yan yana bir karşılaştırma görürsünüz.

Not

Bu kuralın güncelleştirilmesi, mevcut kuralınızın üzerine şablonun en son sürümüyle yazılır.

Başvuruda bulunılan adların değişmesi durumunda, mevcut kurala başvuruda bulunan tüm otomasyon adımları veya mantık doğrulanmalıdır. Ayrıca, özgün kuralı oluştururken yaptığınız tüm özelleştirmelerin (sorgu, zamanlama, gruplandırma veya diğer ayarlardaki değişiklikler) üzerine yazılabilir.

Kuralınızı yeni şablon sürümüyle güncelleştirme

• Şablonun yeni sürümünde yapılan değişiklikler sizin için kabul edilebilirse ve özgün kuralınızdaki başka hiçbir şey etkilenmediyse, değişiklikleri doğrulamak ve uygulamak için Gözden geçir ve güncelleştir'i seçin.

• Kuralı daha fazla özelleştirmek veya başka türlü üzerine yazılabilecek değişiklikleri yeniden uygulamak istiyorsanız İleri : Özel değişiklikler'i seçin. Bunu seçerseniz, söz konusu değişiklikleri yapmak için Analiz kuralı sihirbazının kalan sekmelerinde geçiş yaparsınız ve bundan sonra Değişiklikleri Gözden Geçir ve güncelleştir sekmesinde doğrular ve uygularsınız.

• Mevcut kuralınızda herhangi bir değişiklik yapmak istemiyorsanız, var olan şablon sürümünü korumak yerine sağ üst köşedeki X işaretini seçerek sihirbazdan çıkmanız yeterlidir.

Şablona geri dön

Bir kural seçtikten ve özgün sürümüne geri dönmek istediğinizi belirledikten sonra ayrıntılar bölmesinde şablonla karşılaştır'ı seçin (yukarıya bakın). Analiz kuralı sihirbazının artık en son sürümle karşılaştır sekmesine sahip olduğunu göreceksiniz.

Bu sekmede, mevcut kuralın YAML gösterimleri ile şablonun en son sürümü arasında yan yana bir karşılaştırma görürsünüz. Bu iki sürüm numarası aynı olabilir, ancak sol tarafta etkin kural, şablondan oluşturulması sırasında veya sonrasında yapılan değişiklikler dahil, sağ tarafta ise değişmeyen şablon gösterilir.

Not

Bu kuralın güncelleştirilmesi, mevcut kuralınızın üzerine şablonun en son sürümüyle yazılır. Başvuruda bulunılan adların değişmesi durumunda, mevcut kurala başvuruda bulunan tüm otomasyon adımları veya mantık doğrulanmalıdır. Ayrıca, özgün kuralı oluştururken yaptığınız tüm özelleştirmelerin (sorgu, zamanlama, gruplandırma veya diğer ayarlardaki değişiklikler) üzerine yazılabilir.

Kuralınızı özgün şablon sürümüne geri döndürme

• Bu kuralın özgün sürümüne (şablonun temiz bir kopyası) tamamen geri dönmek istiyorsanız, değişiklikleri doğrulamak ve uygulamak için Gözden geçir ve güncelleştir'i seçin.

• Kuralı farklı özelleştirmek veya başka türlü üzerine yazılabilecek değişiklikleri yeniden uygulamak istiyorsanız İleri : Özel değişiklikler'i seçin. Bunu seçerseniz, söz konusu değişiklikleri yapmak için Analiz kuralı sihirbazının kalan sekmelerinde geçiş yaparsınız ve bundan sonra Değişiklikleri Gözden Geçir ve güncelleştir sekmesinde doğrular ve uygularsınız.

• Mevcut kuralınızda herhangi bir değişiklik yapmak istemiyorsanız, sağ üst köşedeki X işaretini seçerek sihirbazdan çıkmanız yeterlidir.

Sonraki adımlar

Bu belgede, Microsoft Sentinel analiz kuralı şablonlarınızın sürümlerini izlemeyi ve etkin kuralları mevcut şablon sürümlerine geri döndürmeyi veya bunları yenileriyle güncelleştirmeyi öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Analiz kuralları hakkında daha fazla bilgi edinin.
• Analiz kuralı sihirbazı hakkında daha fazla ayrıntıya bakın.