Administrer skabelonversioner for dine planlagte analyseregler i Microsoft Sentinel

Vigtigt!

Brugerdefinerede registreringer er nu den bedste måde at oprette nye regler på tværs af Microsoft Sentinel SIEM-Microsoft Defender XDR. Med brugerdefinerede registreringer kan du reducere omkostningerne til indtagelse, få ubegrænsede registreringer i realtid og drage fordel af problemfri integration med Defender XDR data, funktioner og afhjælpningshandlinger med automatisk enhedstilknytning. Du kan få flere oplysninger ved at læse denne blog.

Vigtigt!

Denne funktion findes i PRØVEVERSION. Se de supplerende vilkår for anvendelse for Microsoft Azure-prøveversioner for at få yderligere juridiske vilkår, der gælder for Azure funktioner, der er i beta, prøveversion eller på anden måde endnu ikke er offentligt tilgængelige.

Introduktion

Microsoft Sentinel indeholder skabeloner til analyseregler, som du omdanner til aktive regler ved effektivt at oprette en kopi af dem – det er det, der sker, når du opretter en regel ud fra en skabelon. På det tidspunkt er den aktive regel dog ikke længere forbundet til skabelonen. Hvis der foretages ændringer af en regelskabelon af Microsofts teknikere eller andre, opdateres de regler, der er oprettet ud fra skabelonen, ikke dynamisk, så de stemmer overens med den nye skabelon.

Men de regler, der oprettes ud fra skabeloner, husker dog, hvilke skabeloner de kom fra, hvilket giver dig to fordele:

  • Hvis du har foretaget ændringer af en regel, når du opretter den ud fra en skabelon, eller når som helst senere, kan du altid gendanne reglen til den oprindelige version.

  • Du får besked, når en skabelon opdateres. Du kan enten opdatere dine regler til den nye version af deres skabeloner eller lade dem være, som de er.

I denne artikel kan du se, hvordan du administrerer disse opgaver, og hvad du skal huske på. De procedurer, der beskrives i artiklen, gælder for alle planlagte analyseregler, der oprettes ud fra skabeloner.

Find versionsnummeret for din regels skabelon

Med implementeringen af kontrolelementet til skabelonversioner kan du se og spore versionerne af dine regelskabeloner og de regler, der er oprettet ud fra dem. Regler med opdaterede skabeloner viser et "Opdater"-badge ud for regelnavnet.

  1. På siden Analytics skal du vælge fanen Aktive regler .

  2. Vælg en hvilken som helst regel af typen Planlagt.

    • Hvis badgen "Opdater" vises i reglen, vises knappen Gennemse og opdater i detaljeruden ud for knappen Rediger (se billede 1 i næste trin).

    • Hvis reglen blev oprettet ud fra en skabelon, men ikke har badgen "Opdater", vil detaljeruden have knappen Sammenlign med skabelon ud for knappen Rediger (se billeder 2 og 3 i næste trin).

    • Hvis der kun er knappen Rediger , blev reglen oprettet fra bunden og ikke fra en skabelon.

      Skærmbillede af listen over aktive regler med badge, der angiver, at en skabelonopdatering er tilgængelig.

  3. Rul ned til bunden af detaljeruden, hvor du kan se to versionsnumre: versionen af skabelonen, som reglen blev oprettet ud fra, og den seneste tilgængelige version af skabelonen.

    Skærmbillede af detaljeruden. Rul ned for at se skabelonversionsnumre.

    Tallet er i formatet "1.0.0" – overordnet version, underordnet version og build.

    • En forskel i det overordnede versionsnummer angiver, at noget vigtigt i skabelonen blev ændret, som kan påvirke, hvordan reglen registrerer trusler eller endda dens evne til at fungere helt. Du vil medtage denne ændring i dine regler.

    • En forskel i det underordnede versionsnummer indikerer en mindre forbedring af skabelonen – en kosmetisk ændring eller noget lignende – som ville være "rart at have", men som ikke er afgørende for at opretholde reglens funktionalitet, effektivitet eller ydeevne. Du kan lige så nemt tage denne ændring eller lade den være.

    Bemærk!

    Billeder 2 og 3 viser to eksempler på regler, der er oprettet ud fra skabeloner, hvor skabelonen ikke er blevet opdateret.

    • Billede 2 viser en regel, der har et versionsnummer for den aktuelle skabelon. Dette signalerer, at reglen blev oprettet efter Microsoft Sentinel første implementering af kontrolelementet af typen skabelonversion i oktober 2021.
    • Billede 3 viser en regel, der ikke har en aktuel skabelonversion. Dette viser, at reglen var blevet oprettet før oktober 2021. Hvis der findes en nyeste skabelonversion, er det sandsynligvis en nyere version af skabelonen end den, der blev brugt til at oprette reglen.

Sammenlign din aktive regel med dens skabelon

Vælg en af følgende faner i henhold til den handling, du vil udføre, for at se vejledningen til den pågældende handling:

Når du har valgt en regel og besluttet, at du vil overveje at opdatere den, skal du vælge Gennemse og opdatere i detaljeruden (se tidligere). Du kan se, at guiden Analytics-regel nu har fanen Sammenlign med seneste version .

Under denne fane kan du se en side om side-sammenligning mellem YAML-repræsentationerne af den eksisterende regel og den nyeste version af skabelonen.

Skærmbillede af fanen 'Sammenlign med seneste version' i guiden Analytics-regel.

Bemærk!

Hvis du opdaterer denne regel, overskrives den eksisterende regel med den nyeste version af skabelonen.

Alle automatiseringstrin eller -logik, der refererer til den eksisterende regel, skal bekræftes, hvis de navne, der refereres til, ændres. Desuden kan alle tilpasninger, du har foretaget under oprettelsen af den oprindelige regel – ændringer i forespørgslen, planlægning, gruppering eller andre indstillinger – blive overskrevet.

Opdater reglen med den nye skabelonversion

  • Hvis du kan acceptere ændringerne af den nye version af skabelonen, og intet andet i den oprindelige regel påvirkes, skal du vælge Gennemse og opdater for at validere og anvende ændringerne.

  • Hvis du vil tilpasse reglen yderligere eller anvende eventuelle ændringer, der ellers ville blive overskrevet, skal du vælge Næste: Brugerdefinerede ændringer. Gennemse de resterende faner i guiden Analytics-regel for at foretage disse ændringer, valider og anvend derefter ændringerne under fanen Gennemse og opdater .

  • Hvis du ikke vil foretage ændringer af den eksisterende regel, men i stedet beholde den eksisterende skabelonversion, skal du blot afslutte guiden ved at vælge X i øverste højre hjørne.

Næste trin

I dette dokument har du lært, hvordan du sporer versioner af dine Microsoft Sentinel skabeloner til analyseregler og enten gendanner aktive regler til eksisterende skabelonversioner eller opdaterer dem til nye. Du kan få mere at vide om Microsoft Sentinel i følgende artikler:

  • Last updated on