針對 Microsoft Sentinel 中的分析規則進行疑難排解
本文說明如何處理在 Microsoft Sentinel 中執行排程分析規則時可能發生的特定問題。
問題:查詢結果中不會顯示任何事件
當 [事件分組] 設定為 [觸發每個事件的警示] 時,稍後檢視的查詢結果可能會遺失,或與預期不同。 例如,您可能會在稍後調查相關事件時檢視查詢的結果,並在調查過程中決定回頭檢視此查詢的先前結果。
結果會自動與警示一併儲存。 然而,如果結果過大則不會儲存任何結果,而再次檢視查詢結果時也不會顯示任何資料。
如果發生擷取延遲,或查詢因為彙總而無法判斷結果,則警示的結果可能會與手動執行查詢所顯示的結果不同。
為了解決此問題,當規則具有此事件群組設定時,Microsoft Sentinel 會將 OriginalQuery 欄位新增至查詢結果。 以下是現有 Query 欄位和新欄位的比較結果:
欄位名稱 | 包含 | 在此欄位中執行查詢 產生結果... |
---|---|---|
查詢 | 產生此警示執行個體之事件的壓縮記錄。 | 產生此警示執行個體的事件; 限制為 10 KB。 |
OriginalQuery | 以分析規則撰寫的原始查詢。 | 查詢執行的時間範圍中符合查詢所定義參數的最近事件。 |
換句話說,OriginalQuery 欄位的行為就如 Query 欄位在預設事件群組設定下的行為。
問題:已排定的規則無法執行,或以名稱加上自動停用的方式顯示
排程的查詢規則在罕見的情況下會無法執行,但可能會發生這種情況。 Microsoft Sentinel 會根據特定類型的失敗和導致失敗的情況,將失敗預先分類為暫時性或永久性失敗。
暫時性失敗
暫時性失敗是由於暫時性情況所造成,很快就會恢復正常,屆時規則將成功執行。 Microsoft Sentinel 分類為暫時性失敗的部分範例如下:
- 規則查詢需要過長的時間才能執行並逾時。
- 資料來源與 Log Analytics 之間的連線問題,或 Log Analytics 與 Microsoft Sentinel 之間的連線問題。
- 任何其他新和未知的失敗均視為暫時性失敗。
發生暫時性失敗時,Microsoft Sentinel 會在預先決定和持續增加的間隔之後,在一定程度上繼續嘗試再次執行該規則。 之後,規則只會在下次已排程的時間再次執行。 規則永遠不會因暫時性失敗而自動停用。
永久性失敗 (規則已自動停用)
永久性失敗是由於允許規則執行的條件變更所造成,若無人為介入,則無法回到先前的狀態。 以下是分類為永久失敗的一些範例:
- 已刪除 (規則查詢運作的) 目標工作區。
- 已刪除 (規則查詢運作的) 目標資料表。
- Microsoft Sentinel 已從目標工作區中移除。
- 規則查詢所使用的函式已不再有效;此項目已遭修改或移除。
- 已變更規則查詢其中一個資料來源的權限 (請參閱範例)。
- 已刪除規則查詢的其中一個資料來源。
在預先決定的連續永久失敗數目的情況下,且為相同類型並位於相同規則上,Microsoft Sentinel 會停止嘗試執行規則,並採取下列步驟:
- 停用規則。
- 將「AUTO DISABLED」字樣新增至規則名稱的開頭。
- 將失敗 (與停用) 的原因新增至規則的描述。
您可以依名稱排序規則清單,輕鬆地判斷是否存在任何自動停用的規則。 自動停用的規則會位於清單頂端或附近。
SOC 管理員務必要定期檢查規則清單,以了解是否存在自動停用的規則。
由於資源流失所造成的永久性失敗
另一種永久性失敗是由於不當建置的查詢所造成,這類查詢會導致規則使用過多的運算資源,而有系統上效能流失的風險。 當 Microsoft Sentinel 識別這類規則時,它會針對其他類型的永久性失敗採取以上提及的三個相同步驟:停用規則、在規則名稱前面加上 "AUTO DISABLED",並將失敗的原因新增至描述。
若要重新啟用規則,您必須解決導致查詢使用太多資源的問題。 如需最佳化 Kusto 查詢的最佳做法,請參閱下列文章:
另請參閱在 Microsoft Sentinel 中使用 Kusto 查詢語言的實用資源,以取得進一步的協助。
由於無法跨訂用帳戶/租用戶存取所造成的永久性失敗
由於資料來源權限變更所造成永久性失敗的一個特定範例 (請參閱清單) 涉及 Microsoft 安全性解決方案提供者 (MSSP) 的情況,或是分析規則查詢跨訂用帳戶或租用戶的任何其他案例。
當您建立分析規則時,存取權限權杖會套用至規則,並連同它一起儲存。 此權杖確保規則可以存取包含規則查詢所參考資料表的工作區,而且即使規則的建立者無法存取該工作區,此存取仍會維持。
不過,有一個例外:建立規則以存取其他訂用帳戶或租用戶中的工作區時 (例如 MSSP 的情況),Microsoft Sentinel 會採取額外的安全性措施,以防止未經授權的客戶資料存取。 這些類型的規則具有建立套用規則的使用者認證,而不是獨立的存取權杖。 當使用者無法再存取其他租用戶時,規則就會停止運作。
如果您在跨訂用帳戶或跨租用戶案例中操作 Microsoft Sentinel,而且如果您的其中一位分析師或工程師無法存取特定工作區,則該使用者所建立的任何規則都會停止運作。 您將會收到有關「資源的存取權限不足」的狀況監控訊息,並會根據先前所述的程序自動停用規則。
下一步
如需詳細資訊,請參閱