Microsoft Sentinel'de zamanlanmış analiz kurallarınız için şablon sürümlerini yönetme

Önemli

Bu özellik ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Giriş

Microsoft Sentinel, etkili bir şekilde bir kopyasını oluşturarak etkin kurallara dönüştürdüğünüz analiz kuralı şablonları içerir. Şablondan bir kural oluşturduğunuzda böyle olur. Ancak bu noktada etkin kural artık şablona bağlı değildir. Bir kural şablonunda Microsoft mühendisleri veya başka biri tarafından değişiklikler yapılırsa, önceden bu şablondan oluşturulan kurallar yeni şablonla eşleşecek şekilde dinamik olarak güncelleştirilmez .

Ancak, şablonlardan oluşturulan kurallar hangi şablonlardan geldiklerini anımsar ve bu da size iki avantaj sağlar:

• Bir şablondan oluştururken veya daha sonra herhangi bir zamanda kuralda değişiklik yaptıysanız, kuralı istediğiniz zaman özgün sürümüne geri döndürebilirsiniz.

• Şablon güncelleştirildiğinde bildirim alırsınız. Kurallarınızı şablonlarının yeni sürümüne güncelleştirebilir veya olduğu gibi bırakabilirsiniz.

Bu makalede, bu görevlerin nasıl yönetileceğini ve neleri aklınızda tutabileceğiniz gösterilir. Makalede açıklanan yordamlar, şablonlardan oluşturulan zamanlanmış analiz kuralları için geçerlidir.

Kuralınızın şablon sürüm numarasını bulma

Şablon sürümü denetiminin uygulanmasıyla, kural şablonlarınızın sürümlerini ve onlardan oluşturulan kuralları görebilir ve izleyebilirsiniz. Güncelleştirilmiş şablonlara sahip kurallar, kural adının yanında bir "Güncelleştir" rozeti görüntüler.

1. Analiz sayfasında Etkin kurallar sekmesini seçin.

2. Zamanlanmış türünde herhangi bir kuralı seçin.

   • Kuralda "Güncelleştir" rozeti görüntülenirse, ayrıntılar bölmesinde Düzenle düğmesinin yanında gözden geçir ve güncelleştir düğmesi bulunur (sonraki adımda 1. resme bakın).

   • Kural bir şablondan oluşturulduysa ancak "Güncelleştir" rozeti yoksa, ayrıntılar bölmesinde Düzenle düğmesinin yanında şablonla karşılaştır düğmesi bulunur (sonraki adımda 2. ve 3. resimlere bakın).

   • Yalnızca düzenle düğmesi varsa, kural şablondan değil sıfırdan oluşturulmuştur.

     

3. Ayrıntılar bölmesinin en altına doğru aşağı kaydırın; burada iki sürüm numarası görürsünüz: kuralın oluşturulduğu şablonun sürümü ve şablonun kullanılabilir en son sürümü.

   

   Sayı "1.0.0" biçimindedir: ana sürüm, ikincil sürüm ve derleme.

   • Ana sürüm numarasındaki bir fark, şablonun önemli bir bölümünün değiştirildiğini ve kuralın tehditleri nasıl algıladığını ve hatta tamamen çalışma becerisini etkileyebileceğini gösterir. Bu değişikliği kurallarınıza eklemek istiyorsunuz.

   • İkincil sürüm numarasındaki fark, şablondaki küçük bir gelişmeyi (kozmetik bir değişiklik veya benzer bir şey) gösterir. Bu , "hoş" olabilir, ancak kuralın işlevselliğini, etkinliğini veya performansını korumak için kritik değildir. Bu değişikliği kolayca alabilir veya bırakabilirsiniz.

   Not

   2. ve 3. görüntülerde şablonlardan oluşturulan ve şablonun güncelleştirilmediği iki kural örneği gösterilmektedir.

   • Görüntü 2'de geçerli şablonu için sürüm numarası olan bir kural gösterilmektedir. Bu, kuralın Microsoft Sentinel'in Ekim 2021'de şablon sürümü denetimini ilk uygulaması sonrasında oluşturulduğunu gösterir.
   • Görüntü 3'de geçerli şablon sürümü olmayan bir kural gösterilmektedir. Bu, kuralın Ekim 2021'e kadar oluşturulduğunu gösterir. Kullanılabilir en son şablon sürümü varsa, büyük olasılıkla kuralı oluşturmak için kullanılandan daha yeni bir şablon sürümüdür.

Etkin kuralınızı şablonuyla karşılaştırın

Bu eylemin yönergelerini görmek için, yapmak istediğiniz eyleme göre aşağıdaki sekmelerden birini seçin:

Şablonu güncelleştirme

Bir kural seçtikten ve güncelleştirmeyi göz önünde bulundurmak istediğinizi belirledikten sonra ayrıntılar bölmesinde Gözden geçir ve güncelleştir'i seçin (daha önce bakın). Analiz kuralı sihirbazının artık en son sürümle karşılaştır sekmesi olduğunu görürsünüz.

Bu sekmede, mevcut kuralın YAML gösterimleri ile şablonun en son sürümü arasında yan yana bir karşılaştırma görürsünüz.

Not

Bu kuralın güncelleştirilmesi, mevcut kuralınızın üzerine şablonun en son sürümüyle yazılır.

Başvuruda bulunılan adların değişmesi durumunda, mevcut kurala başvuran tüm otomasyon adımları veya mantığı doğrulanmalıdır. Ayrıca, özgün kuralı oluştururken yaptığınız tüm özelleştirmelerin (sorgu, zamanlama, gruplandırma veya diğer ayarlardaki değişiklikler) üzerine yazılabilir.

Kuralınızı yeni şablon sürümüyle güncelleştirme

• Şablonun yeni sürümünde yapılan değişiklikler sizin için kabul edilebilirse ve özgün kuralınızdaki başka hiçbir şey etkilenmediyse, değişiklikleri doğrulamak ve uygulamak için Gözden geçir ve güncelleştir'i seçin.

• Kuralı daha fazla özelleştirmek veya başka şekilde üzerine yazılabilecek değişiklikleri yeniden uygulamak istiyorsanız İleri : Özel değişiklikler'i seçin. Bu değişiklikleri yapmak için Analiz kuralı sihirbazının kalan sekmelerinde geçiş yapın, ardından Gözden geçir ve güncelleştir sekmesinde değişiklikleri doğrulayın ve uygulayın.

• Mevcut kuralınızda herhangi bir değişiklik yapmak istemiyorsanız, var olan şablon sürümünü korumak yerine sağ üst köşedeki X işaretini seçerek sihirbazdan çıkmanız yeterlidir.

Şablona geri dön

Bir kural seçtikten ve özgün sürümüne geri dönmek istediğinizi belirledikten sonra ayrıntılar bölmesinde Şablonla karşılaştır'ı seçin (daha öncekine bakın). Analiz kuralı sihirbazının artık en son sürümle karşılaştır sekmesi olduğunu görürsünüz.

Bu sekmede, mevcut kuralın YAML gösterimleri ile şablonun en son sürümü arasında yan yana bir karşılaştırma görürsünüz. Bu iki sürüm numarası aynı olabilir, ancak sağ tarafta özgün, değişmemiş şablon gösterilir ve sol tarafta özgün şablondaki değişiklikler de dahil olmak üzere etkin kural gösterilir.

Not

Bu kuralın güncelleştirilmesi, mevcut kuralınızın üzerine şablonun en son sürümüyle yazılır.

Başvuruda bulunılan adların değişmesi durumunda, mevcut kurala başvuran tüm otomasyon adımları veya mantığı doğrulanmalıdır. Ayrıca, özgün kuralı oluştururken yaptığınız tüm özelleştirmelerin (sorgu, zamanlama, gruplandırma veya diğer ayarlardaki değişiklikler) üzerine yazılabilir.

Kuralınızı özgün şablon sürümüne geri döndürme

• Bu kuralın özgün sürümüne (şablonun temiz bir kopyası) tamamen geri dönmek istiyorsanız, değişiklikleri doğrulamak ve uygulamak için Gözden geçir ve güncelleştir'i seçin.

• Kuralı farklı özelleştirmek veya başka türlü üzerine yazılabilecek değişiklikleri yeniden uygulamak istiyorsanız İleri : Özel değişiklikler'i seçin. Bu değişiklikleri yapmak için Analiz kuralı sihirbazının kalan sekmelerinde geçiş yapın, ardından Gözden geçir ve güncelleştir sekmesinde değişiklikleri doğrulayın ve uygulayın.

• Mevcut kuralınızda herhangi bir değişiklik yapmak istemiyorsanız, sağ üst köşedeki X işaretini seçerek sihirbazdan çıkmanız yeterlidir.

Sonraki adımlar

Bu belgede, Microsoft Sentinel analiz kuralı şablonlarınızın sürümlerini izlemeyi ve etkin kuralları mevcut şablon sürümlerine geri döndürmeyi veya bunları yenileriyle güncelleştirmeyi öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Analiz kuralları hakkında daha fazla bilgi edinin.
• Analiz kuralı sihirbazı hakkında daha fazla ayrıntıya bakın.