管理 Microsoft Sentinel 中排程分析規則的範本版本
重要
這項功能處於預覽狀態。 如需套用至 Azure 功能 (搶鮮版 (Beta)、預覽版或尚未正式發行的版本) 的其他法律條款,請參閱 Microsoft Azure 預覽版增補使用規定。
簡介
Microsoft Sentinel 隨附分析規則範本,您可以藉由有效地建立其複本來轉換成作用中的規則,也就是從範本建立規則時所發生的事。 不過,此時,作用中的規則不再連線到範本。 如果由 Microsoft 工程師或其他任何人對規則範本進行變更,則事先從該範本建立的任何規則都不會動態更新,以符合新的範本。
不過,從範本建立的規則會記住其來源範本,因此您可以獲得兩項好處:
如果您在從範本建立規則時 (或之後的任何時間點) 對規則進行了變更,則一律可以將規則還原回其原始版本 (以作為範本的複本)。
當範本有所更新,您會收到通知,並可選擇將規則更新為其範本的新版本,或讓其保持原狀。
本文將說明如何管理這些工作,以及要記住的事項。 這些程序討論以下適用於從範本建立的任何已排程分析規則。
探索規則的範本版本號碼
透過範本版本控制實作,您可以查看並追蹤規則範本的版本,以及從中建立的規則。 範本已更新的規則會顯示規則名稱旁的「可用更新」徽章。
在 [分析] 刀鋒視窗中,選取 [作用中規則] 索引標籤。
選取 [已排程] 類型的任何規則。
如果規則顯示 [可用更新] 徽章,其詳細資料窗格將會有 [編輯] 按鈕旁的 [檢閱和更新] 按鈕 (請參閱下列下一步中的影像 1)。
如果從範本建立的規則沒有 [可用更新] 徽章,其詳細資料窗格將會有 [編輯] 按鈕旁的 [使用範本比較] 按鈕 (請參閱下列下一步中的影像 2 和 3)。
如果只有 [編輯] 按鈕,則會從頭開始 (而不是從範本) 建立規則。
向下捲動至詳細資料窗格底部,您會看到兩個版本號碼:建立規則所用的範本版本,以及範本的最新可用版本。
此數字的格式為「1.0.0」 – 主要版本、次要版本和組建。
主要版本號碼的差異表示範本中的重要項目已變更,可能會影響規則偵測威脅的方式,甚至是其完全運作的能力。 這是您想要在規則中包含的變更。
次要版本號碼的差異表示範本中的微幅改善 – 外觀變更或類似的變更 – 這將是「不錯的選擇」,但對維護規則的功能、效力或效能並不重要。 這是您可以輕鬆地接受或不採用的變更。
注意
上述影像 2 和 3 顯示從範本建立的兩個規則範例,其中範本尚未更新。
- 影像 2 顯示的規則具有其目前範本的版本號碼。 這表示規則是在 Microsoft Sentinel 於 2021 年 10 月初始實作範本版本控制之後建立的。
- 影像 3 顯示沒有目前範本版本的規則。 這會顯示規則的建立時間是在 2021 年 10 月之前。 如果有可用的最新範本版本,則範本版本可能比用來建立規則的範本版本更新。
比較作用中規則與其範本
根據您想要採取的動作,選擇下列其中一個索引標籤,以查看該動作的指示:
選取規則並判斷您想要考慮更新規則,請選取詳細資料窗格上的 [檢閱並更新] (請參閱以上內容)。 您會看到 [分析規則精靈] 現在有 [與最新版本比較] 索引標籤。
在此索引標籤上,您會看到現有規則的 YAML 標記法與最新版範本之間的並排比較。
注意
更新此規則將會以最新版的範本覆寫您現有的規則。
如果參考的名稱已變更,則應該驗證對現有規則進行參考的任何自動化步驟或邏輯。 此外,您可能會覆寫在建立原始規則時所做的任何自訂 - 對查詢、排程、群組或其他設定的變更。
使用新的範本版本更新規則
下一步
在本文件中,您已瞭解如何追蹤 Microsoft Sentinel 分析規則範本的版本,以及將作用中規則還原為現有的範本版本,或將其更新為新的範本版本。 若要深入瞭解 Microsoft Sentinel,請參閱下列文章: