Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Hvis du vil sikre, at Microsoft Sentinel trusselsregistrering giver fuldstændig dækning i dit miljø, skal du drage fordel af værktøjerne til administration af udførelse. Disse værktøjer består af indsigt i udførelsen af dine planlagte analyseregler baseret på Microsoft Sentinel tilstands- og overvågningsdata og en mulighed for manuelt at køre tidligere udførelser af regler på bestemte klokkeslætsvinduer med henblik på test og/eller fejlfinding.
Vigtigt!
Microsoft Sentinel indsigt i analyseregel og manuel genkørsel findes i øjeblikket i PRØVEVERSION. Se de supplerende vilkår for anvendelse for Microsoft Azure-prøveversioner for at få yderligere juridiske vilkår, der gælder for Azure funktioner, der er i beta, prøveversion eller på anden måde endnu ikke er offentligt tilgængelige.
Oversigt
Der er to værktøjer til administration af udførelse for planlagte analyseregler: indbygget indsigt i planlagte regler og muligheden for at køre planlagte regler igen efter behov.
På siden Analytics vises panelet Indsigt som en anden fane i detaljeruden sammen med fanen Info . Panelet Indsigt indeholder oplysninger om en regels aktivitet og resultater. Eksempel: mislykkede udførelser, toptilstandsproblemer, antal beskeder over tid og lukning af klassificeringer af hændelser, der er oprettet af reglen. Disse indsigter hjælper dine sikkerhedsanalytikere med at identificere potentielle problemer eller fejlkonfigurationer med analyseregler og give dem mulighed for at finde og løse regelfejl og optimere regelkonfigurationer for at opnå bedre ydeevne og nøjagtighed.
På siden Analytics har du også mulighed for at køre analyseregler igen efter behov. Denne funktion giver fleksibilitet og kontrol med valideringen af reglernes effektivitet. Det kan være nyttigt i scenarier, f.eks. regelafgrænsning, test, validering og andre. Fleksibiliteten til at starte manuelle gentagelser kan understøtte effektive sikkerhedshandlinger, muliggøre effektiv hændelsessvar og forbedre systemets overordnede registrerings- og svarfunktioner.
Use cases og fordele ved regelreruning
Her er nogle scenarier, der kan drage fordel af at afspille bestemte kørsler af analyseregler:
Regelafgrænsning og justering: Analyseregler kan kræve periodiske justeringer og finjustering baseret på det stadigt stigende trusselslandskab og ændrede organisatoriske behov. Ved manuelt at køre regler kan dine analytikere vurdere virkningen af regelændringer og validere deres effektivitet, før de udrulles i et produktionsmiljø.
Test og validering: Når du introducerer nye analyseregler, foretager betydelige ændringer af eksisterende eller udvikler nye hændelseslegebøger, er det vigtigt at teste deres ydeevne og nøjagtighed grundigt. Manuel genkørsel giver dig mulighed for at simulere forskellige scenarier, herunder automatiseret hændelsesflow fra ende til anden, og validere reglerne i forhold til et ensartet sæt datainput. Denne proces sikrer, at reglerne genererer de forventede beskeder uden at producere for store falske positiver.
Undersøgelse af hændelse: I tilfælde af en sikkerhedshændelse eller mistænkelig aktivitet vil dine analytikere måske vise yderligere oplysninger i de beskeder, der allerede er genereret. De kan gøre dette ved at opdatere reglen og køre den igen med bestemte udførelsesintervaller (går tilbage til syv dage) for at indsamle yderligere oplysninger og identificere relaterede hændelser. Manuel genkørsel giver dine analytikere mulighed for at udføre dybdegående undersøgelser og hjælpe med at sikre omfattende dækning.
Overholdelse og overvågning: Nogle lovmæssige krav eller interne politikker kan nødvendiggøre periodisk gentagelse af analyseregler eller on-demand for at demonstrere løbende overvågning og overholdelse af angivne standarder. Manuel viderekørsel giver mulighed for at opfylde sådanne forpligtelser ved at sikre, at reglerne anvendes konsekvent, og generere relevante beskeder.
Forudsætninger
Hvis du vil bruge værktøjerne til administration af udførelse, skal Microsoft Sentinel tilstands- og overvågningsfunktion være aktiveret, og især overvågning af tilstand for analyseregel. Få mere at vide om, hvordan du aktiverer tilstand og overvågning.
Få vist indsigt i analyseregel
Hvis du vil drage fordel af disse værktøjer, skal du starte med at undersøge indsigterne i en given regel.
Vælg Analytics i navigationsmenuen Microsoft Sentinel.
Find og vælg en regel (Planlagt eller NRT), hvis indsigt du gerne vil se.
Vælg fanen Indsigter i detaljeruden.
Når du vælger fanen Indsigter , vises tidsrammevælgeren. Vælg en tidsramme, eller lad den være standard for de seneste 24 timer.
Panelet Indsigter viser i øjeblikket fire typer indsigter. Hver indsigt efterfølges af et Vis alle-link , der fører dig til siden Logge og viser den forespørgsel, der gav indsigten, sammen med de komplette rå resultater. Her er indsigterne:
Mislykkede udførelser viser en liste over mislykkede kørsler af denne regel inden for den angivne tidsramme. Denne indsigt efterfølges også af et link til panelet Regelkørsler , hvor du kan se en liste over alle de gange, reglen har kørt, og du kan afspille bestemte kørsler af reglen igen.
De mest almindelige tilstandsproblemer viser en liste over de mest almindelige tilstandsproblemer for denne regel inden for den angivne tidsramme. Denne indsigt efterfølges også af et link til visning af kørsler , der fører dig til siden Logge , hvor du kan se en forespørgsel om alle de gange, reglen har kørt.
Grafen over beskeder viser et diagram over antallet af beskeder, der genereres af denne regel inden for den angivne tidsramme.
Hændelsesklassificering viser en oversigt over klassificeringen af lukkede hændelser, der er oprettet af denne regel inden for den angivne tidsramme.
Kør analyseregler igen
Der er flere scenarier, der kan føre dig til at køre en regel igen.
En regel kunne ikke køres på grund af en midlertidig betingelse, der blev gendannet til normal, eller på grund af en forkert konfiguration. Når du har rettet fejlkonfiguration eller reparation af betingelsen, skal du køre reglen igen på samme tidspunkt (dvs. på de samme data) som den kørsel, der mislykkedes, for at afhjælpe hullerne i dækningen.
En regel lykkedes at køre, men der blev ikke angivet tilstrækkelige oplysninger i de beskeder, den genererede. I dette tilfælde kan det være en god idé at redigere reglen for at angive flere oplysninger, uanset om det er ved at ændre forespørgslen eller indstillingerne for berigelse. Du skal derefter køre reglen igen i samme tidsrum (dvs. på de samme data) som den kørsel, du vil have flere oplysninger om.
Du eksperimenterer måske med at skrive eller redigere en regel og vil gerne se, hvordan forskellige indstillinger påvirker de beskeder, reglen genererer. Hvis du vil have en gyldig sammenligning, skal du køre reglen igen i samme tidsvindue.
Sådan kører du en regel igen:
På siden Analytics skal du vælge Regelkørsler (prøveversion) på værktøjslinjen øverst. Panelet Regelkørsler åbnes.
Du kan også få vist panelet Regelkørsler ved at vælge Kør regler igen i visningen Mislykkede udførelser under fanen Indsigt ( se ovenfor).
Vælg den regel, du vil afspille, i henhold til det tidsvindue, de oprindeligt kørte i, som vist i kolonnen Udførelsestid . Du kan vælge mere end én kørsel af en regel.
Vælg Afspil kørsel igen. Der vises meddelelser, der viser statussen for anmodningerne, og at reglerne er sat i kø til udførelse.
Vælg Opdater for at få vist den opdaterede status for reglens kørsler. Du kan se, at dine anmodninger vises blandt dem med statussen I gang (den vises til sidst som Udført) og en type brugerudløst i modsætning til Systemudløst.
Du vil også bemærke, at udførelsestidspunktet for de ønskede gentagelser er det samme som den oprindelige systemudløste kørsels udførelse og ikke udførelsestidspunktet for din genkørsel. Dette er for at vise dig, hvilket tidsvindue din kørsel refererer til.
Du kan kun afspille systemudløste regelkørsler og ikke brugerudløste.
Vælg Få vist alle detaljer i slutningen af linjen for en hvilken som helst kørsel af en regel for at få vist de komplette rå detaljer på skærmbilledet Logge .
Næste trin
- Overvåg tilstanden, og overvåg integriteten af dine analyseregler.
- Få mere at vide om overvågning og overvågning af tilstand i Microsoft Sentinel.
- Slå overvågning og tilstandsovervågning til i Microsoft Sentinel.
- Se flere oplysninger om tabelskemaerne SentinelHealth og SentinelAudit .