分享方式:


管理 Microsoft Sentinel 中排程分析規則的範本版本

重要

這項功能處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。

簡介

Microsoft Sentinel 包含分析規則範本,您可以藉由有效地建立其複本來轉換成作用中的規則,也就是從範本建立規則時所發生的事。 不過,此時,作用中的規則不再連線到範本。 如果由 Microsoft 工程師或其他任何人對規則範本進行變更,則事先從該範本建立的任何規則都不會動態更新,以符合新的範本。

不過,從範本建立的規則記住其來源範本,因此您可以獲得兩項好處:

  • 如果您在從範本建立規則時 (或此後的任何時間點) 對規則進行了變更,則一律可以將規則還原回其原始版本。

  • 範本更新時,您會收到通知。 您可以將規則更新為其範本的新版本,或保留其狀態。

本文說明如何管理這些工作,以及必須注意的事項。 本文討論下列適用於從範本建立的任何已排程分析規則。

探索規則的範本版本號碼

透過範本版本控制實作,您可以查看並追蹤規則範本的版本,以及從中建立的規則。 更新範本的規則會顯示規則名稱旁的「更新」徽章。

  1. 在 [分析] 頁面中,選取 [作用中規則] 索引標籤。

  2. 選取 [已排程] 類型的任何規則。

    • 如果規則顯示 [更新] 徽章,其詳細資料窗格將會有 [編輯] 按鈕旁的 [檢閱和更新] 按鈕 (請參閱下一步中的影像 1)。

    • 如果從範本建立的規則沒有 [更新] 徽章,其詳細資料窗格將會有 [編輯] 按鈕旁的 [使用範本比較] 按鈕 (請參閱下一步中的影像 2 和 3)。

    • 如果只有 [編輯] 按鈕,則會從頭開始 (而不是從範本) 建立規則。

      作用中規則清單的螢幕擷取畫面,內含指示範本更新可用的徽章。

  3. 向下捲動至詳細資料窗格底部,您會看到兩個版本號碼:建立規則所用的範本版本,以及範本的最新可用版本。

    詳細資料窗格的螢幕擷取畫面。向下捲動以查看範本版本號碼。

    此數字的格式為「1.0.0」– 主要版本、次要版本和組建。

    • 主要版本號碼的差異表示範本中的重要項目已變更,可能會影響規則偵測威脅的方式,甚至是其完全運作的能力。 您想要在規則中包含這項變更。

    • 次要版本號碼的差異表示範本中的微幅改善 – 外觀變更或類似的變更 – 這將是「不錯的選擇」,但對維護規則的功能、效力或效能並不重要。 您可以輕鬆地接受或不採用這項變更。

    注意

    影像 2 和 3 顯示從範本建立的兩個規則範例,其中範本尚未更新。

    • 影像 2 顯示的規則具有其目前範本的版本號碼。 這表示規則是在 Microsoft Sentinel 於 2021 年 10 月初始實作範本版本控制之後建立的。
    • 影像 3 顯示沒有目前範本版本的規則。 這會顯示規則的建立時間是在 2021 年 10 月之前。 如果有可用的最新範本版本,則範本版本可能比用來建立規則的範本版本更新。

比較作用中規則與其範本

根據您想要採取的動作,選擇下列其中一個索引標籤,以查看該動作的指示:

選取規則並判斷您想要考慮更新規則,請選取詳細資料窗格上的 [檢閱並更新] (請參閱前文)。 您會看到 [分析規則精靈] 現在有 [與最新版本比較] 索引標籤。

在此索引標籤上,您會看到現有規則的 YAML 標記法與最新版範本之間的並排比較。

Analytics 規則精靈中「與最新版本比較」索引標籤的螢幕擷取畫面。

注意

更新此規則將會以最新版的範本覆寫您現有的規則。

如果參考的名稱已變更,則應該驗證參考現有規則的任何自動化步驟或邏輯。 此外,您可能會覆寫在建立原始規則時所做的任何自訂 - 對查詢、排程、群組或其他設定的變更。

使用新的範本版本更新規則

  • 如果對新版範本所做的變更是可接受的,而且原始規則中沒有任何其他項目受到影響,請選取 [檢閱並更新] 以驗證並套用變更。

  • 如果您想要進一步自訂規則,或重新套用可能遭到覆寫的任何變更,請選取 [下一步:自訂變更]。 循環瀏覽 [分析規則精靈] 的其餘索引標籤來進行這些變更,然後驗證並套用 [檢閱和更新] 索引標籤上的變更。

  • 如果您不想對現有規則進行任何變更,而是保留現有的範本版本,只要選取右上角的 X 來結束精靈即可。

下一步

在本文件中,您已瞭解如何追蹤 Microsoft Sentinel 分析規則範本的版本,以及將作用中規則還原為現有的範本版本,或將其更新為新的範本版本。 若要深入了解 Microsoft Sentinel,請參閱下列文章: