Zamanlanmış analiz kurallarınızı izleme ve yürütmeyi iyileştirme
Microsoft Sentinel'in tehdit algılamasının ortamınızda tam kapsamlı bir kapsam sağladığından emin olmak için yürütme yönetimi araçlarından yararlanın. Bu araçlar, Microsoft Sentinel'in sistem durumu ve denetim verilerine dayalı olarak zamanlanmış analiz kurallarınızın yürütülmesiyle ilgili içgörülerden ve test ve/veya sorun giderme amacıyla belirli zaman pencerelerinde kuralların önceki yürütmelerini el ile yeniden çalıştırma olanağından oluşur.
Önemli
Microsoft Sentinel'in analiz kuralı içgörüleri ve el ile yeniden çalıştırma şu anda ÖNİzLEME aşamasındadır. Beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları .
Özet
Zamanlanmış analiz kuralları için iki yürütme yönetimi aracı vardır: yerleşik zamanlanmış kural içgörüleri ve zamanlanmış kuralları isteğe bağlı olarak yeniden çalıştırma özelliği.
Analiz sayfasında İçgörüler paneli, Ayrıntılar bölmesinde Bilgi sekmesinin yanında başka bir sekme olarak görüntülenir.İçgörüler paneli, kuralın etkinliği ve sonuçları hakkında bilgi sağlar. Örneğin: başarısız yürütmeler, en önemli sistem durumu sorunları, zaman içindeki uyarı sayısı ve kural tarafından oluşturulan olayların sınıflandırmalarını kapatma. Bu içgörüler, güvenlik analistlerinizin analiz kurallarıyla olası sorunları veya yanlış yapılandırmaları belirlemesine yardımcı olur ve kural hatalarını bulup düzeltmelerine ve daha iyi performans ve doğruluk için kural yapılandırmalarını iyileştirmelerine olanak tanır.
Ayrıca Analiz sayfasında, analiz kurallarını isteğe bağlı olarak yeniden çalıştırabilirsiniz. Bu özellik, kuralların etkinliğini doğrulama konusunda esneklik ve denetim sağlar. Kural iyileştirme, test, doğrulama ve diğerleri gibi senaryolarda yararlı olabilir. El ile yeniden çalıştırma başlatma esnekliğine sahip olmak verimli güvenlik işlemlerini destekleyebilir, etkili olay yanıtı sağlayabilir ve sistemin genel algılama ve yanıt özelliklerini geliştirebilir.
Kural yeniden çalıştırmanın kullanım örnekleri ve avantajları
Analiz kurallarının belirli çalıştırmalarını yeniden yürütmenin avantajlarından yararlanabilecek bazı senaryolar şunlardır:
Kural iyileştirme ve ayarlama: Analiz kuralları, değişen tehdit ortamına ve değişen kuruluş gereksinimlerine göre düzenli ayarlamalar ve ince ayarlamalar gerektirebilir. Analistleriniz kuralları el ile yeniden çalıştırarak kural değişikliklerinin etkisini değerlendirebilir ve üretim ortamında dağıtmadan önce bunların verimliliğini doğrulayabilir.
Test ve doğrulama: Yeni analiz kuralları getirirken, mevcut kurallarda önemli değişiklikler yaparken veya yeni olay playbook'ları geliştirirken, performanslarını ve doğruluklarını kapsamlı bir şekilde test etmek önemlidir. El ile yeniden çalıştırma, uçtan uca otomatik olay akışı da dahil olmak üzere farklı senaryoların benzetimini yapmanızı ve kuralları tutarlı bir veri girişi kümesine göre doğrulamanızı sağlar. Bu işlem, kuralların çok fazla hatalı pozitif sonuç üretmeden beklenen uyarıları oluşturmasını sağlar.
Olay araştırması: Bir güvenlik olayı veya şüpheli etkinlik durumunda analistleriniz önceden oluşturulan uyarılarda ek ayrıntıları ortaya çıkarma isteğinde bulunabilir. Ek bilgi toplamak ve ilgili olayları tanımlamak için kuralı güncelleştirerek ve belirli yürütme aralıklarında yeniden çalıştırarak (yedi güne kadar geri dönerek) bunu yapabilir. El ile yeniden çalıştırma, analistlerinizin ayrıntılı araştırmalar gerçekleştirmesine olanak tanır ve kapsamlı bir kapsam sağlamaya yardımcı olur.
Uyumluluk ve denetim: Bazı mevzuat gereksinimleri veya iç ilkeler, sürekli izleme ve uyumluluğu göstermek için analiz kurallarını düzenli aralıklarla veya isteğe bağlı olarak yeniden çalıştırmayı gerektirebilir. El ile yeniden çalıştırma, kuralların tutarlı bir şekilde uygulanmasını ve uygun uyarıların oluşturulmasını sağlayarak bu tür yükümlülüklerin karşılanabilmesini sağlar.
Önkoşullar
Yürütme yönetimi araçlarını kullanmak için Microsoft Sentinel'in sistem durumu ve denetim özelliğinin ve özellikle analiz kuralı sistem durumunu izlemenin etkin olması gerekir. Sistem durumunu ve denetimi etkinleştirmeyi öğrenin.
Analiz kuralı içgörülerini görüntüleme
Bu araçlardan yararlanmak için, belirli bir kuralla ilgili içgörüleri inceleyerek başlayın.
Microsoft Sentinel gezinti menüsünden Analiz'i seçin.
İçgörülerini görmek istediğiniz bir kural (Zamanlanmış veya NRT) bulun ve seçin.
Ayrıntılar bölmesinde İçgörüler sekmesini seçin.
İçgörüler sekmesini seçtiğinizde zaman çerçevesi seçicisi görüntülenir. Bir zaman dilimi seçin veya son 24 saatin varsayılanı olarak bırakın.
İçgörüler panelinde şu anda dört tür içgörü gösterilmektedir. Her içgörü, sizi Günlükler sayfasına götüren ve içgörü oluşturan sorguyu ve tüm ham sonuçları görüntüleyen Tümünü görüntüle bağlantısını izler. İçgörüler şunlardır:
Başarısız yürütmeler , belirtilen zaman çerçevesinde bu kuralın başarısız çalıştırmalarının listesini görüntüler. Bu içgörüden sonra Kural çalıştırmaları panelinin bağlantısı bulunur. Burada kuralın çalıştığı tüm zamanların listesini görebilir ve kuralın belirli çalıştırmalarını yeniden yürütebilirsiniz.
En sık karşılaşılan sistem durumu sorunları , belirli bir zaman diliminde bu kural için en yaygın sistem durumu sorunlarının listesini görüntüler. Bu içgörüden sonra sizi günlükler sayfasına götüren ve bu kuralın çalıştırıldığı tüm zamanların sorgusunu görebileceğiniz Görünüm çalıştırmaları bağlantısı da bulunur.
Uyarı grafiği , verilen zaman çerçevesinde bu kural tarafından oluşturulan uyarı sayısının grafiğini gösterir.
Olay sınıflandırması , belirli bir zaman diliminde bu kural tarafından oluşturulan kapalı olayların sınıflandırmasının özetini gösterir.
Analiz kurallarını yeniden çalıştırma
Bir kuralı yeniden çalıştırmanıza yol açabilecek çeşitli senaryolar vardır.
Kural, normale geri dönülen geçici bir koşul veya yanlış yapılandırma nedeniyle çalıştırılamadı. Yanlış yapılandırmayı düzelttikten veya koşulu onardıktan sonra, kapsam boşluklarını azaltmak için kuralı başarısız olan çalıştırmayla aynı zaman penceresinde (aynı verilerde) yeniden çalıştırmanız gerekir.
Bir kural başarıyla çalıştırıldı, ancak oluşturduğu uyarılarda yeterli bilgi sağlamadı. Bu durumda, sorguyu veya zenginleştirme ayarlarını değiştirerek daha fazla bilgi sağlamak için kuralı düzenlemek isteyebilirsiniz. Daha sonra kuralı, daha fazla bilgi edinmek istediğiniz çalıştırmayla aynı zaman penceresinde (aynı verilerde) yeniden çalıştırmanız gerekir.
Kural yazmayı veya düzenlemeyi denemeniz gerekebilir ve farklı ayarların kuralın oluşturduğu uyarıları nasıl etkileyeceğini görmek isteyebilirsiniz. Geçerli bir karşılaştırma için kuralı aynı zaman penceresinde yeniden çalıştırmak istiyorsunuz.
Kuralı şu şekilde yeniden çalıştıracağız:
Analiz sayfasında, üstteki araç çubuğundan Kural çalıştırmaları (Önizleme) öğesini seçin. Kural çalıştırmaları paneli açılır.
İçgörüler sekmesindeki Başarısız yürütmeler ekranında Kuralları yeniden çalıştır'ı seçerek de Kural çalıştırmaları paneline ulaşabilirsiniz (yukarıya bakın).
Yürütme zamanı sütununda gösterildiği gibi, başlangıçta çalıştırıldıkları zaman penceresine göre yeniden oynatmak istediğiniz kural çalıştırmalarını seçin. Birden fazla kural çalıştırması seçebilirsiniz.
Çalıştırmayı yeniden oynat'ı seçin. İsteklerin ilerleme durumunu ve kuralların yürütme için kuyruğa alındığını gösteren bildirimler görüntülenir.
Kuralın çalıştırmalarının güncelleştirilmiş durumunu görüntülemek için Yenile'yi seçin. İsteklerinizin, devam ediyor (sonunda Başarılı olarak görünecektir) durumu ve Sistem tarafındantetiklenenlerin aksine Kullanıcı tarafından tetiklenen bir tür ile birlikte bunların arasında görüntülendiğini göreceksiniz.
Ayrıca, istenen yeniden çalıştırmalarınızın yürütme süresinin, yeniden çalıştırmanızın yürütme süresiyle değil , sistem tarafından tetiklenen özgün çalıştırmanın yürütmesi ile aynı olduğunu da fark edeceksiniz. Bu, yeniden çalıştırmanızın başvurdığı zaman penceresini gösterir.
Kullanıcı tarafından tetiklenenleri değil, yalnızca sistem tarafından tetiklenen kural çalıştırmalarını yeniden yürütebilirsiniz.
Günlükler ekranında tüm ham ayrıntılarını görüntülemek için herhangi bir kural çalıştırmasının satırının sonundaKi tüm ayrıntıları görüntüle'yi seçin.
Sonraki adımlar
- Sistem durumunu izleyin ve analiz kurallarınızın bütünlüğünü kontrol edin.
- Microsoft Sentinel'de denetim ve sistem durumu izleme hakkında bilgi edinin.
- Microsoft Sentinel'de denetim ve sistem durumu izlemeyi açın.
- SentinelHealth ve SentinelAudit tablo şemaları hakkında daha fazla bilgi edinin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin