Jaa

Ajoitetun analysoinnin sääntöjen suorittamisen valvonta ja optimointi

Jos haluat varmistaa, että Microsoft Sentinel uhkien tunnistus tarjoaa kattavan kattavuuden ympäristössäsi, hyödynnä sen suorittamisen hallintatyökaluja. Nämä työkalut koostuvat merkityksellisistä tiedoista ajoitettujen analytiikkasääntöjen suorittamisesta Microsoft Sentinel kunto- ja valvontatietojen perusteella sekä toiminnoista, joiden avulla voit suorittaa manuaalisesti uudelleen aiempia sääntöjen suorituksia tietyissä aikaikkunoissa testaus- ja/tai vianmääritystarkoituksiin.

Tärkeää

Microsoft Sentinel analytiikkasäännön merkitykselliset tiedot ja manuaalinen uudelleenajo ovat tällä hetkellä ESIKATSELUssa. Microsoft Azure Preview -esiversioiden lisäkäyttöehdot-kohdassa on muita oikeudellisia ehtoja, jotka koskevat Azure ominaisuuksia, jotka ovat beetaversiossa, esikatselussa tai muussa tapauksessa julkaisematta.

Yhteenveto

Ajoitetuille analytiikkasäännöille on kaksi suoritusten hallintatyökalua: sisäiset ajoitetut merkitykselliset säännöt ja mahdollisuus ajoitettujen sääntöjen suorittamiseen uudelleen pyydettäessä.

Analytiikka-sivullaMerkitykselliset tiedot -paneeli näkyy tietoruudun toisena välilehtenä Tiedot-välilehden rinnalla. Merkitykselliset tiedot -paneeli tarjoaa tietoja säännön toiminnasta ja tuloksista. Esimerkki: epäonnistuneet toiminnot, tärkeimmät kunto-ongelmat, ilmoitusten määrä ajan kuluessa ja säännön luomien tapausten luokitusten sulkeminen. Nämä merkitykselliset tiedot auttavat suojausanalyytikoita tunnistamaan mahdollisia ongelmia tai virheellisiä määrityksiä analytiikkasääntöjen avulla. Niiden avulla he voivat löytää ja korjata sääntövirheitä sekä optimoida sääntömäärityksiä suorituskyvyn ja tarkkuuden parantamiseksi.

Analytiikka-sivulla voit myös palauttaa analytiikkasäännöt pyydettäessä. Tämä ominaisuus tarjoaa joustavuutta ja hallintaa sääntöjen tehokkuuden vahvistamisessa. Siitä voi olla hyötyä esimerkiksi säännön tarkennuksen, testauksen ja vahvistuksen tilanteissa. Manuaalisten uusintavaiheiden joustava käyttöönotto voi tukea tehokkaita suojaustoimintoja, mahdollistaa tehokkaan tapausten käsittelyn ja parantaa järjestelmän yleisiä tunnistus- ja reagointiominaisuuksia.

Käytä säännön uudelleenajon tapauksia ja etuja

Seuraavassa on joitakin skenaarioita, jotka voivat hyötyä tiettyjen analytiikkasääntöjen suoritinten toistamisesta:

Säännön hienosäätö ja säätö: Analytiikkasäännöt saattavat vaatia säännöllisiä säätöjä ja hienosäätöä kehittyvän uhkamaiseman ja organisaation tarpeiden muuttamisen perusteella. Suorittamalla säännöt manuaalisesti uudelleen analyytikot voivat arvioida sääntömuutosten vaikutusta ja vahvistaa niiden tehokkuuden ennen niiden käyttöönottoa tuotantoympäristössä.

Testaus ja vahvistus: Kun otat käyttöön uusia analytiikkasääntöjä, teet merkittäviä muutoksia olemassa oleviin sääntöihin tai kehität uusia tapausten toistokirjoja, niiden suorituskykyä ja tarkkuutta on testattava perusteellisesti. Manuaalisen uudelleenohjauksen avulla voit simuloida erilaisia skenaarioita, kuten päästä päähän -automatisoidun tapahtumatyönkulun, ja vahvistaa säännöt yhdenmukaisen tietosyötejoukon avulla. Tämä prosessi varmistaa, että säännöt luovat odotetut hälytykset tuottamatta liiallisia false-positiivisia arvoja.

Tapaustutkimus: Jos kyseessä on tietoturvatapaus tai epäilyttävä toiminta, analyytikot saattavat haluta tuoda esiin lisätietoja jo luoduissa hälytyksissä. He voivat tehdä tämän päivittämällä säännön ja suorittamalla sen uudelleen tietyillä suoritusväleillä (enintään seitsemän päivää), jotta he voivat kerätä lisätietoja ja tunnistaa liittyvät tapahtumat. Manuaalisen uudelleenajon avulla analyytikot voivat suorittaa perusteellisia tutkimuksia ja varmistaa kattavan kattavuuden.

Vaatimustenmukaisuus ja valvonta: Jotkin sääntelyvaatimukset tai sisäiset käytännöt saattavat edellyttää analytiikkasääntöjen säännöllistä tai pyydettäessä toistamista jatkuvan seurannan ja vaatimustenmukaisuuden osoittamiseksi. Manuaalinen uudelleenajo mahdollistaa tällaisten velvoitteiden täyttämisen varmistamalla, että sääntöjä sovelletaan johdonmukaisesti, ja luomalla asianmukaiset hälytykset.

Ennakkovaatimukset

Jotta voit käyttää suoritusten hallintatyökaluja, sinulla on oltava käytössä Microsoft Sentinel kunto- ja valvontaominaisuus ja erityisesti analysointisäännön kunnon valvonta. Opi ottamaan kunto ja valvonta käyttöön.

Tarkastele analytiikkasäännön merkityksellisiä tietoja

Jotta voit hyödyntää näitä työkaluja, aloita tarkastelemalla tietyn säännön merkityksellisiä tietoja.

  1. Valitse Microsoft Sentinel siirtymisvalikosta Analysointi.

  2. Etsi ja valitse sääntö (Ajoitettu tai NRT), jonka merkitykselliset tiedot haluat nähdä.

  3. Valitse Tiedot-ruudun Merkitykselliset tiedot -välilehti.

    Näyttökuva analytiikkasäännön valitsemisesta.

  4. Kun valitset Merkitykselliset tiedot -välilehden, aikakehyksen valitsin tulee näkyviin. Valitse aikaväli tai jätä se oletukseksi viimeisten 24 tunnin ajalta.

    Näyttökuva aikakehyksen valitsimesta Analytiikka-sivulla.

Merkitykselliset tiedot -paneeli näyttää tällä hetkellä neljäntyyppisiä merkityksellisiä tietoja. Kutakin merkityksellistä tietoa seuraa Näytä kaikki -linkki, joka vie sinut Lokit-sivulle ja näyttää kyselyn, joka tuotti merkitykselliset tiedot, sekä täydet raakatulokset. Tässä ovat merkitykselliset tiedot:

  • Epäonnistuneet suoritukset näyttävät tämän säännön epäonnistuneiden suoritusten luettelon annetussa ajassa. Tätä merkityksellistä tietoa seuraa myös linkki Säännön suorittaminen -paneeliin, jossa näet luettelon kaikista säännön suorituskertojen ajoista ja voit toistaa säännön tietyt suoritukset.

  • Tärkeimmät kunto-ongelmat näyttävät luettelon tämän säännön yleisimmistä kunto-ongelmista tiettynä ajanjaksona. Tätä merkityksellistä tietoa seuraa myös Näytä suoritus -linkki, joka vie sinut Lokit-sivulle , jossa näet kyselyn aina, kun tämä sääntö on suoritettu.

  • Ilmoituskaavio näyttää kaavion tämän säännön luomien ilmoitusten määrästä annetussa ajassa.

  • Tapausten luokitus näyttää yhteenvedon tämän säännön luomien suljettujen tapausten luokittelusta tietyn ajanjakson aikana.

Suorita analytiikkasäännöt uudelleen

On useita skenaarioita, jotka saattavat johtaa säännön uudelleenajoon.

  • Säännön suorittaminen epäonnistui, koska tilapäinen ehto palautui normaaliksi tai koska määritykset olivat virheelliset. Kun olet korjannut virheellisen määrityksen tai korjannut ehdon, haluat sitten suorittaa säännön uudelleen samassa aikaikkunassa (samoissa tiedoissa) kuin epäonnistuneen suorituksen, jotta kattavuutena olevia aukkoja voidaan lieventää.

  • Säännön suorittaminen onnistui, mutta se ei antanut tarpeeksi tietoja luomiinsa hälytyksiin. Tässä tapauksessa haluat ehkä muokata sääntöä ja antaa lisätietoja joko muuttamalla kyselyä tai lisäysasetuksia. Tämän jälkeen haluat suorittaa säännön uudelleen samassa aikaikkunassa (samoissa tiedoissa) kuin suoritus, josta haluat lisätietoja.

  • Saatat kokeilla säännön kirjoittamista tai muokkaamista ja haluat nähdä, miten eri asetukset vaikuttaisivat säännön luomien ilmoitusten määrään. Kelvollista vertailua varten haluat suorittaa säännön uudelleen samassa aikaikkunassa.

Näin suoritat säännön uudelleen:

  1. Valitse Analytiikka-sivullaSäännön suoritukset (esikatselu) yläreunan työkaluriviltä. Säännön suorittaminen -paneeli avautuu.

    Näyttökuva säännön suorittaminen -paneelin käyttämisestä.

    Pääset myös Säännön suorittaminen -paneeliin valitsemalla Suorita säännöt uudelleenEpäonnistuneet suoritukset -näytössä Merkitykselliset tiedot -välilehdessä (katso yllä).

    Näyttökuva säännön suorittaminen -paneelista.

  2. Valitse säännön suoritukset, jotka haluat toistaa sen aikaikkunan mukaan, jossa ne alun perin suoritettiin, kuten Suoritusaika-sarakkeessa näkyy. Voit valita useamman kuin yhden säännön suorittamisen.

    Näyttökuva säännön suorittamisen valitsemisesta uudelleen suoritettavaksi.

  3. Valitse Toista suorita uudelleen. Näkyviin tulee ilmoituksia, jotka näyttävät pyyntöjen edistymisen ja sen, että säännöt asetettiin jonoon suorittamista varten.

    Näyttökuva säännön suoritusten ilmoituksista.

  4. Valitse Päivitä , jos haluat tarkastella säännön suoritinten päivitettyä tilaa. Näet, että pyyntösi näkyvät niiden joukossa, ja tilana on Käynnissä (se näkyy lopulta onnistumisena) ja eräänlaisena käyttäjän käynnistämänä järjestelmän käynnistämänä.

    Näyttökuva säännön uudelleenajoiden edistymisestä.

    Huomaat myös, että pyydettyjen suoritusten suoritusaika on sama kuin alkuperäisen järjestelmän käynnistämän suorituksen suoritusaika, ei uudelleensuorituksen suoritusaika. Tämä näyttää, mihin aikaikkunaan suoritin viittaa.

    Voit toistaa vain järjestelmän käynnistämät sääntösuoritukset, et käyttäjän käynnistämät.

Valitse Näytä kaikki tiedot minkä tahansa säännön rivin lopussa, jotta näet sen täydet raakatiedot Lokit-näytössä .

Seuraavat vaiheet

  • Last updated on