共用方式為


針對 Microsoft Sentinel 中的分析規則進行疑難排解

本文說明如何處理在 Microsoft Sentinel 中執行排程分析規則時可能發生的特定問題。

問題:查詢結果中不會顯示任何事件

當 [事件分組] 設定為 [觸發每個事件的警示] 時,稍後檢視的查詢結果可能會遺失,或與預期不同。 例如,您可能會在稍後調查相關事件時檢視查詢的結果,並在調查過程中決定回頭檢視此查詢的先前結果。

結果會自動與警示一併儲存。 然而,如果結果過大則不會儲存任何結果,而再次檢視查詢結果時也不會顯示任何資料。

如果發生擷取延遲,或查詢因為彙總而無法判斷結果,則警示的結果可能會與手動執行查詢所顯示的結果不同。

為了解決此問題,當規則具有此事件群組設定時,Microsoft Sentinel 會將 OriginalQuery 欄位新增至查詢結果。 以下是現有 Query 欄位和新欄位的比較結果:

欄位名稱 包含 在此欄位中執行查詢
產生結果...
查詢 產生此警示執行個體之事件的壓縮記錄。 產生此警示執行個體的事件;
限制為 10 KB。
OriginalQuery 以分析規則撰寫的原始查詢。 查詢執行的時間範圍中符合查詢所定義參數的最近事件。

換句話說,OriginalQuery 欄位的行為就如 Query 欄位在預設事件群組設定下的行為。

問題:已排定的規則無法執行,或以名稱加上自動停用的方式顯示

排程的查詢規則在罕見的情況下會無法執行,但可能會發生這種情況。 Microsoft Sentinel 會根據特定類型的失敗和導致失敗的情況,將失敗預先分類為暫時性或永久性失敗。

暫時性失敗

暫時性失敗是由於暫時性情況所造成,很快就會恢復正常,屆時規則將成功執行。 Microsoft Sentinel 分類為暫時性失敗的部分範例如下:

  • 規則查詢需要過長的時間才能執行並逾時。
  • 資料來源與 Log Analytics 之間的連線問題,或 Log Analytics 與 Microsoft Sentinel 之間的連線問題。
  • 任何其他新和未知的失敗均視為暫時性失敗。

發生暫時性失敗時,Microsoft Sentinel 會在預先決定和持續增加的間隔之後,在一定程度上繼續嘗試再次執行該規則。 之後,規則只會在下次已排程的時間再次執行。 規則永遠不會因暫時性失敗而自動停用。

永久性失敗 (規則已自動停用)

永久性失敗是由於允許規則執行的條件變更所造成,若無人為介入,則無法回到先前的狀態。 以下是分類為永久失敗的一些範例:

  • 已刪除 (規則查詢運作的) 目標工作區。
  • 已刪除 (規則查詢運作的) 目標資料表。
  • Microsoft Sentinel 已從目標工作區中移除。
  • 規則查詢所使用的函式已不再有效;此項目已遭修改或移除。
  • 已變更規則查詢其中一個資料來源的權限 (請參閱範例)。
  • 已刪除規則查詢的其中一個資料來源。

在預先決定的連續永久失敗數目的情況下,且為相同類型並位於相同規則上,Microsoft Sentinel 會停止嘗試執行規則,並採取下列步驟:

  1. 停用規則。
  2. 「AUTO DISABLED」字樣新增至規則名稱的開頭。
  3. 將失敗 (與停用) 的原因新增至規則的描述。

您可以依名稱排序規則清單,輕鬆地判斷是否存在任何自動停用的規則。 自動停用的規則會位於清單頂端或附近。

SOC 管理員務必要定期檢查規則清單,以了解是否存在自動停用的規則。

由於資源流失所造成的永久性失敗

另一種永久性失敗是由於不當建置的查詢所造成,這類查詢會導致規則使用過多的運算資源,而有系統上效能流失的風險。 當 Microsoft Sentinel 識別這類規則時,它會針對其他類型的永久性失敗採取以上提及的三個相同步驟:停用規則、在規則名稱前面加上 "AUTO DISABLED",並將失敗的原因新增至描述。

若要重新啟用規則,您必須解決導致查詢使用太多資源的問題。 如需最佳化 Kusto 查詢的最佳做法,請參閱下列文章:

另請參閱在 Microsoft Sentinel 中使用 Kusto 查詢語言的實用資源,以取得進一步的協助。

由於無法跨訂用帳戶/租用戶存取所造成的永久性失敗

由於資料來源權限變更所造成永久性失敗的一個特定範例 (請參閱清單) 涉及 Microsoft 安全性解決方案提供者 (MSSP) 的情況,或是分析規則查詢跨訂用帳戶或租用戶的任何其他案例。

當您建立分析規則時,存取權限權杖會套用至規則,並連同它一起儲存。 此權杖確保規則可以存取包含規則查詢所參考資料表的工作區,而且即使規則的建立者無法存取該工作區,此存取仍會維持。

不過,有一個例外:建立規則以存取其他訂用帳戶或租用戶中的工作區時 (例如 MSSP 的情況),Microsoft Sentinel 會採取額外的安全性措施,以防止未經授權的客戶資料存取。 這些類型的規則具有建立套用規則的使用者認證,而不是獨立的存取權杖。 當使用者無法再存取其他租用戶時,規則就會停止運作。

如果您在跨訂用帳戶或跨租用戶案例中操作 Microsoft Sentinel,而且如果您的其中一位分析師或工程師無法存取特定工作區,則該使用者所建立的任何規則都會停止運作。 您將會收到有關「資源的存取權限不足」的狀況監控訊息,並會根據先前所述的程序自動停用規則。

下一步

如需詳細資訊,請參閱

此外,使用自訂連接器監視 Zoom時,請透過使用自訂分析規則的範例進行學習。