分享方式:

監視並優化排程分析規則的執行

  • 文章

為了確保 Microsoft Sentinel 的威脅偵測在您的環境中提供完整的涵蓋範圍,請利用其執行管理工具。 這些工具組含根據 Microsoft Sentinel健康情況和稽核資料的排程分析規則執行深入解析,以及手動在特定時間範圍上重新執行先前執行規則的功能,以進行測試和/或疑難排解。

重要

Microsoft Sentinel 的分析規則深入解析和手動重新執行目前處於 預覽狀態。 如需套用至 Azure 功能 (搶鮮版 (Beta)、預覽版或尚未正式發行的版本) 的其他法律條款,請參閱 Microsoft Azure 預覽版增補使用規定

摘要

排程分析規則有兩個執行管理工具:內建的排程規則深入解析,以及視需要重新執行排程規則的功能。

在 [ 分析 ] 頁面上, [深入 解析] 面板會顯示為詳細資料窗格中的另一個索引標籤,以及 [ 資訊] 索引 標籤。 [深入解析] 面板提供規則活動和結果的相關資訊。 例如:失敗的執行、熱門健康情況問題、一段時間的警示計數,以及規則所建立事件的關閉分類。 這些深入解析可協助您的安全性分析師找出分析規則的潛在問題或設定錯誤,並讓他們探索並修正規則失敗,並將規則設定優化,以提升效能和精確度。

此外,您也可以在 [ 分析 ] 頁面上視需要重新執行分析規則。 這項功能提供彈性和控制,以驗證規則的有效性。 在規則精簡、測試、驗證和其他案例中,它很有用。 彈性地起始手動重新執行可以支援有效率的安全性作業、啟用有效的事件回應,以及增強系統的整體偵測和回應功能。

重新執行規則的使用案例和優點

以下是可受益于重新執行特定分析規則執行的一些案例:

規則精簡和調整: 分析規則可能需要根據不斷演進的威脅狀況和變更的組織需求,定期調整和微調。 藉由手動重新執行規則,您的分析師可以在生產環境中部署規則之前,先評估規則修改的影響並驗證其有效性。

測試和驗證: 引進新的分析規則、對現有規則進行重大變更或開發新的事件劇本時,請務必徹底測試其效能和精確度。 手動重新執行可讓您模擬不同的案例,包括端對端自動化事件流程,以及針對一組一致的資料輸入驗證規則。 此程式可確保規則會產生預期的警示,而不會產生過多誤判。

事件調查: 如果發生安全性事件或可疑活動,您的分析師可能會想要在已產生的警示中呈現其他詳細資料。 他們可以藉由更新規則,並在特定執行間隔上重新執行規則, (最多備份到七天) ,以收集其他資訊並識別相關事件。 手動重新執行可讓您的分析師執行深入調查,並協助確保完整的涵蓋範圍。

合規性和稽核: 某些法規需求或內部原則可能需要定期或隨選重新執行分析規則,以示範持續監視和合規性。 手動重新執行可讓您確保規則一致地套用並產生適當的警示,以符合這類義務。

必要條件

若要使用執行管理工具,您必須啟用 Microsoft Sentinel 的健康情況和稽核功能,特別是分析規則健康情況監視。 瞭解如何啟用健康情況和稽核

檢視分析規則深入解析

若要利用這些工具,請先檢查指定規則的深入解析。

  1. 從 Microsoft Sentinel 導覽功能表,選取 [分析]。

  2. 尋找並選取 (排程NRT 的規則,) 您想要查看其深入解析。

  3. 選取詳細資料窗格中的 [深入解析] 索引 標籤。

    選取分析規則的螢幕擷取畫面。

  4. 當您選取 [深入解析] 索引 標籤時,時間範圍選取器隨即出現。 選取時間範圍,或將它保留為過去 24 小時的預設值。

    分析頁面上時間範圍選取器的螢幕擷取畫面。

[深入解析]面板目前顯示四種深入解析。 每個深入解析後面都會加上 [ 檢視所有 ] 連結,以帶您前往 [ 記錄 ] 頁面,並顯示產生深入解析的查詢以及完整的原始結果。 以下是深入解析:

  • 失敗的執行 會在指定的時間範圍內顯示此規則失敗的執行清單。 此深入解析後面也會接著 [ 規則執行 ] 面板的連結,您可以在此查看規則執行時的所有時間清單,以及重新 執行規則的特定執行

  • 熱門健康情況問題 會顯示指定時間範圍內此規則最常見的健康情況問題清單。 此深入解析後面也會接著 [ 檢視執行 ] 連結,此連結會帶您前往 [ 記錄 ] 頁面,您會看到此規則執行時的所有時間查詢。

  • 警示圖表 顯示指定時間範圍內此規則所產生的警示數目圖表。

  • 事件分類 會顯示此規則在指定時間範圍內所建立之已關閉事件的分類摘要。

重新執行分析規則

在某些情況下,可能會導致您重新執行規則。

  • 因為還原為正常狀態的暫存條件,或因為設定錯誤,所以無法執行規則。 更正錯誤設定或修復條件之後,您會想要在相同的時間範圍 (上重新執行規則,也就是在失敗的執行) 相同的資料上,以減輕涵蓋範圍中的差距。

  • 規則成功執行,但未在產生的警示中提供足夠的資訊。 在此情況下,您可以藉由變更查詢或擴充設定來編輯規則以提供詳細資訊。 然後,您會想要在相同的時間範圍 (上重新執行規則,也就是在與您想要詳細資訊執行相同的資料) 上。

  • 您可能會嘗試撰寫或編輯規則,並想要查看不同設定如何影響規則產生的警示。 若要進行有效的比較,您想要在同一個時間範圍上重新執行規則。

以下是重新執行規則的方式:

  1. 從 [ 分析] 頁面中,從頂端工具列選取 [ 規則執行 (預覽) 。 [ 規則執行] 面板隨即開啟。

    如何存取規則執行面板的螢幕擷取畫面。

    您也可以從 [深入解析] 索引標籤上選取 [失敗執行] 顯示的 [重新執行規則] 來前往 [規則執行] 面板, (請參閱上述) 。

    規則執行面板的螢幕擷取畫面。

  2. 根據原先執行的規則執行時間範圍,選取您想要重新執行的規則,如 [ 執行時間 ] 資料行所示。 您可以選擇多個規則執行。

    選擇要再次執行之規則執行的螢幕擷取畫面。

  3. 選取 [重新執行]。 會顯示通知,顯示要求的進度,以及規則已排入佇列以供執行。

    規則執行通知的螢幕擷取畫面。

  4. 選取 [重新整理 ] 以檢視規則執行的更新狀態。 您會看到要求顯示在其中,狀態為 [ 進行 中] (最終會顯示為 [成功) ],以及一種使用者 觸發 的類型,而不是 [系統觸發]。

    重新執行規則進度的螢幕擷取畫面。

    您也會注意到,所要求重新執行的執行時間與原始系統觸發的執行相同, 而不是 您重新執行的執行時間。 這是為了顯示您重新執行所參考的時間範圍。

    您只能重新執行系統觸發的規則,而不能重新執行使用者觸發的規則。

選取任何規則執行行結尾的 [ 檢視完整詳細 資料],以在 [ 記錄 ] 畫面中檢視其完整原始詳細資料。

下一步