監視並優化排程分析規則的執行
為了確保 Microsoft Sentinel 的威脅偵測在您的環境中提供完整的涵蓋範圍,請利用其執行管理工具。 這些工具包含排程分析規則執行的深入解析,其依據 Microsoft Sentinel 的狀況和稽核資料,以及手動重新執行特定時間時段上先前執行規則的工具,進行測試和/或疑難解答。
重要
Microsoft Sentinel 的分析規則深入解析和手動重新執行目前為預覽版。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
摘要
排程分析規則有兩個執行管理工具:內建排程規則深入解析,以及重新依需求重新執行排程規則的功能。
在 [分析] 頁面上,[深入解析] 面板會顯示為詳細資料窗格中的另一個索引標籤,以及 [資訊] 索引標籤。[深入解析] 面板提供規則活動和結果的相關資訊。 例如:失敗的執行、重大狀況問題、一段時間的警示計數,以及關閉規則所建立的事件所用的分類。 這些深入解析可協助您的安全性分析師找出潛在問題或分析規則的錯誤設定,並讓他們探索並修正規則失敗,並將規則設定優化,以提升效能和正確性。
此外,您也可以在 [分析] 頁面上,視需要重新執行分析規則。 這項功能可在驗證規則的有效性方面提供彈性和控制。 這在規則精簡、測試、驗證等情況中很有用。 彈性地起始手動重新執行可以支援有效率的安全性作業、啟用有效的事件回應,以及增強系統的整體偵測和回應功能。
重新執行規則的使用案例和優點
以下是一些可受益於重新執行特定分析規則的案例:
規則精簡和調整:分析規則可能需要根據不斷演變的威脅狀況和不斷變化的組織需求,進行定期調整和微調。 藉由手動重新執行規則,您的分析師可以評估規則修改的影響,並在生產環境中部署規則之前驗證其有效性。
測試和驗證:引進新的分析規則、對現有規則進行重大變更,或發展新的事件劇本時,必須徹底測試其效能和正確性。 手動重新執行可讓您模擬不同的案例,包括端對端自動化事件流程,以及針對一組一致的資料輸入驗證規則。 此流程可確保規則會產生預期的警示,而不會產生過多誤判。
事件調查:發生安全性事件或可疑活動時,分析師可能會想要在已產生的警示中顯示其他詳細資料。 他們可以藉由更新規則,並在特定執行間隔重新執行規則,以收集其他資訊並識別相關事件,以執行此作業。 手動重新執行可讓分析師執行深入調查,並協助確保全面涵蓋範圍。
合規性和稽核:某些法規需求或內部原則可能需要定期或隨選重新執行分析規則,以示範持續監視和合規性。 手動重新執行可藉由確保規則一致套用並產生適當的警示,藉以符合這類義務。
必要條件
若要使用執行管理工具,您必須啟用 Microsoft Sentinel 的狀況和稽核功能,特別是分析規則狀況監視。 瞭解如何啟用狀況和稽核。
檢視分析規則深入解析
若要利用這些工具,請先檢查特定規則的深入解析。
從 Microsoft Sentinel 導覽功能表,選取 [分析]。
尋找並選取您想要查看其深入解析的規則 (已排程或 NRT)。
在詳細資料窗格中選取 [深入解析] 索引標籤。
您選取 [深入解析] 索引標籤時,時間範圍選取器隨即出現。 選取時間範圍,或將它保留為過去 24 小時的預設值。
[深入解析] 面板目前會顯示四種深入解析。 每個深入解析後面有檢視全部連結,該連結會帶您前往 [記錄] 頁面,並顯示產生深入解析的查詢以及完整的原始結果。 以下是深入解析:
失敗的執行在指定的時間範圍內顯示此規則失敗的執行清單。 此深入解析後面有 [規則執行] 面板的連結,您可以在其中看到規則執行的全部時間清單,而且您可以重新執行規則的特定執行。
重大狀況問題顯示指定時間範圍內此規則最常見的狀況問題清單。 此深入解析後面有檢視執行連結,此連結會帶您前往 [記錄] 頁面,您可以在其中看到此規則執行時的全部時間查詢。
警示圖表顯示指定時間範圍內此規則所產生的警示數目圖表。
事件分類顯示此規則在指定時間範圍內建立的已關閉事件所出現的分類摘要。
重新執行分析規則
有幾個案例可能會導致您重新執行規則。
因為還原為正常狀態或設定錯誤,所以規則無法執行。 更正錯誤設定或修復條件之後,您會想要在與失敗的執行相同的時間範圍 (也就是相同資料上) 重新執行規則,以減輕涵蓋範圍中的差距。
規則成功執行,但未在產生的警示中提供足夠的資訊。 在此情況下,您可以藉由變更查詢或擴充設定,編輯規則以提供詳細資訊。 接著,您會想要在相同的時間範圍上重新執行規則 (也就是在相同的資料上),就像您想要更多資訊的執行一樣。
您可能會嘗試撰寫或編輯規則,並想要查看不同設定如何影響規則產生的警示。 為了進行有效的比較,您想要在相同的時間範圍上重新執行規則。
以下是重新執行規則的方式:
從 [分析] 頁面中,從頂端工具欄選取 [規則執行 [預覽]。 [規則執行] 面板會開啟。
您也可以從 [失敗的執行] 索引標籤上選取 [重新執行規則] 顯示在 [深入解析] 索引標籤上,以取得 [規則執行] 面板。
根據原先執行的規則時間範圍,選取您要重新執行的規則,如 [執行時間] 資料行所示。 您可以選擇多個規則執行。
選擇 [重新執行]。 會顯示通知,以顯示要求的進度,以及規則已排入佇列以供執行。
選取 [重新整理] 以檢視規則執行更新的狀態。 您會看到您的要求顯示在其中,狀態為進行中 (最終會顯示為成功),以及使用者觸發的類型,而不是系統觸發的類型。
您也會注意到,所要求重新執行的執行時間與原始系統觸發的執行相同,不會您重新執行的執行時間。 這會顯示您重新執行所參考的時間範圍。
您只能重新執行系統觸發的規則,而不是使用者觸發的規則。
選取任何規則執行的行末出現的 [檢視完整詳細資料],以檢視其完整原始詳細資料 [記錄] 畫面。
下一步
- 監視狀況,並稽核分析規則的完整性。
- 瞭解 Microsoft Sentinel 中的稽核和狀況監控。
- 在 Microsoft Sentinel 中開啟稽核和狀況監控。
- 請參閱 SentinelHealth 和 SentinelAudit 資料表結構描述的詳細資訊。