為了確保 Microsoft Sentinel 的威脅偵測在您的環境中提供完整的涵蓋範圍,請利用其執行管理工具。 這些工具包含對於您的排程分析規則執行的深入見解,依據 Microsoft Sentinel 的狀況和稽核資料,以及一個手動功能,讓您可以在特定時間範圍內重新執行先前的規則,以便進行測試和/或疑難解答。
重要
Microsoft Sentinel 的分析規則見解與手動重新執行目前為預覽版。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
摘要
排程分析規則有兩個執行管理工具:內建排程規則洞察,以及按需求重新執行排程規則的功能。
在 [分析] 頁面上,[深入解析] 面板會顯示為詳細資料窗格中的另一個索引標籤,以及 [資訊] 索引標籤。[深入解析] 面板提供規則活動和結果的相關資訊。 例如:執行失敗、主要健康問題、隨時間變化的警示計數,以及根據規則所創建事件的關閉分類。 這些深入解析可協助您的安全性分析師找出潛在問題或分析規則的錯誤設定,並讓他們探索並修正規則失敗,並將規則設定優化,以提升效能和正確性。
此外,您也可以在 [分析] 頁面上,視需要重新執行分析規則。 這項功能可在驗證規則的有效性方面提供彈性和控制。 這在規則精簡、測試、驗證等情況中很有用。 彈性地起始手動重新執行可以支援有效率的安全性作業、啟用有效的事件回應,以及增強系統的整體偵測和回應功能。
重新執行規則的使用案例和優點
以下是一些可受益於重新執行特定分析規則的案例:
規則精簡和調整:分析規則可能需要根據不斷演變的威脅狀況和不斷變化的組織需求,進行定期調整和微調。 藉由手動重新執行規則,您的分析師可以評估規則修改的影響,並在生產環境中部署規則之前驗證其有效性。
測試和驗證:引進新的分析規則、對現有規則進行重大變更,或發展新的事件劇本時,必須徹底測試其效能和正確性。 手動重新執行可讓您模擬不同的案例,包括端對端自動化事件流程,以及針對一組一致的資料輸入驗證規則。 此流程可確保規則會產生預期的警示,而不會產生過多誤判。
事件調查:發生安全性事件或可疑活動時,分析師可能會想要在已產生的警示中顯示其他詳細資料。 他們可以藉由更新規則,並在特定執行間隔(最長可回溯至七天)重新執行規則,以收集其他資訊並識別相關事件來完成此作業。 手動重新執行可讓分析師執行深入調查,並協助確保全面涵蓋範圍。
合規性和稽核:某些法規需求或內部原則可能需要定期或隨選重新執行分析規則,以示範持續監視和合規性。 手動重新執行可確保規則的一致套用並生成適當的警示,以滿足這類義務。
必要條件
若要使用執行管理工具,您必須啟用 Microsoft Sentinel 的狀況和稽核功能,特別是分析規則狀況監視。 瞭解如何啟用健康和稽核。
查看分析規則洞察
若要利用這些工具,請先檢查特定規則的深入解析。
從 Microsoft Sentinel 導覽功能表,選取 [分析]。
尋找並選取您想要查看其深入解析的規則 (已排程或 NRT)。
在詳細資料窗格中選取[深入解析]索引標籤。
您選取 [深入解析] 索引標籤時,時間範圍選取器隨即出現。 選取時間範圍,或將它保留為過去 24 小時的預設值。
洞察面板目前會顯示四種類型的資訊。 每個深入解析後面有檢視全部連結,該連結會帶您前往 [記錄] 頁面,並顯示產生深入解析的查詢以及完整的原始結果。 以下是深入解析:
失敗的執行在指定的時間範圍內顯示此規則失敗的執行清單。 此深入解析後面有 [規則執行] 面板的連結,您可以在其中看到規則執行的全部時間清單,而且您可以重新執行規則的特定執行。
主要健康問題顯示在指定時間範圍內此規則最常見的健康問題清單。 此深入解析後面有檢視執行連結,此連結會帶您前往記錄頁面,您可以在其中看到此規則執行的所有時間記錄查詢。
警示圖表顯示指定時間範圍內此規則所產生的警示數目圖表。
事件分類顯示在指定時間範圍內依此規則創建且已關閉事件的分類摘要。
重新執行分析規則
有幾個情境可能會促使您重新執行規則。
因為暫時狀態已恢復正常或設定錯誤,規則無法執行。 更正錯誤設定或修復條件之後,您會想要在與失敗的執行相同的時間範圍 (也就是相同資料上) 重新執行規則,以減輕涵蓋範圍中的差距。
規則成功執行,但未在產生的警示中提供足夠的資訊。 在此情況下,您可以藉由變更查詢或擴充設定,編輯規則以提供詳細資訊。 接著,您會想要在相同的時間範圍上重新執行規則 (也就是在相同的資料上),就像您想要更多資訊的執行一樣。
您可能會嘗試撰寫或編輯規則,並想要查看不同設定如何影響規則產生的警示。 為了進行有效的比較,您想要在相同的時間範圍上重新執行規則。
以下是如何重新執行規則的步驟:
從 [分析] 頁面中,於頂端工具欄選取 [規則執行(預覽)]。
規則運行 面板將會開啟。 ![如何存取 [規則執行] 面板的螢幕擷取畫面。](media/monitor-optimize-analytics-rule-execution/rerun-rules.png)
您也可以從 [深入解析] 索引標籤上的 [失敗執行顯示] 中選取 [重新執行規則],以進入 [規則執行面板]。
根據原先執行的規則時間範圍,選取您要重新執行的規則,如 [執行時間] 資料行所示。 您可以選擇多個規則執行。
選擇重播執行。 系統將顯示通知,指出請求的進度以及規則已被排入佇列準備執行。
選取重新整理以檢視規則執行更新的狀態。 您會看到您的要求顯示在其中,狀態為進行中 (最終會顯示為成功),以及使用者觸發的類型,而不是系統觸發的類型。
您也會注意到,您所要求的重新執行的執行時間與原始系統觸發的執行時間相同,而不是您重新執行的執行時間。 這會顯示您重新執行所參考的時間範圍。
您只能重新執行系統觸發的規則,而不是使用者觸發的規則。
選擇任何規則執行行末的 檢視完整詳細資料,以在 記錄頁面查看其完整的原始細節。
下一步
- 監視狀況,並稽核分析規則的完整性。
- 瞭解 Microsoft Sentinel 中的稽核和狀況監控。
- 在 Microsoft Sentinel 中開啟稽核和狀況監控。
- 請參閱 SentinelHealth 和 SentinelAudit 資料表結構描述的詳細資訊。