管理分析规则

  • 4 分钟

管理分析规则

若要调整干扰并筛选检测到的更重要的威胁,应定期管理分析规则。 这有助于确保规则在检测潜在安全威胁时保持有效且高效。

可以对现有活动规则执行以下四项操作:

  • 编辑

  • 禁用

  • 复制

  • 删除

编辑规则

可以通过在详细内容窗格中选择“编辑”来修改现有规则。 若要编辑规则,需要导航创建规则时导航的同一页面。 将保留以前用于创建规则的输入。 可以更改规则的任何属性,以便进一步优化威胁检测结果。

你可能想要实现的典型修改是将自动响应附加到已检测到的威胁。 为此,可以在“自动响应”页上,选择一个现有 playbook,其中定义了检测到威胁时将运行的自动完成的活动。

例如,分析规则可能检测到已解决的事件,你希望在发生类似活动时进一步减少警报。 通过附加包含自动完成的活动的 playbook,可以在检测到类似事件时更改事件状态或添加注释。

Screenshot of the editing existing analytics rule.

禁用规则

当执行可触发规则警报的活动时,可以禁用规则。 禁用规则保留其配置,你可以稍后再次启用。

复制规则

复制规则时,规则包含原始规则提供的所有配置。 可以根据需要进一步修改配置。 请不要忘记更改复制规则的名称,因为默认情况下,复制规则的名称与原始规则的名称相同,并且附加了字符串 Copy。

删除规则

删除规则时,会提示你进行确认,然后 Microsoft Sentinel 分析会将其从活动规则集中删除。 例如,可以删除未使用的服务或资源的规则,从而无需执行规则。 删除规则是永久性的,并且不存在撤消功能。 因此,建议先禁用该规则一段时间,直到你确定不需要该规则。

知识检查

1.

由于正在进行维护活动,你需要暂时停止从分析规则接收警报。 应在规则上启用哪项操作才能实现该配置?

2.

编辑现有分析规则最有效的方法是什么?