Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tärkeää
Mukautetut tunnistuksia ovat nyt paras tapa luoda uusia sääntöjä siem Microsoft Sentinel Microsoft Defender XDR. Mukautettujen tunnistusten avulla voit pienentää käsittelykustannuksia, saada rajoittamattoman reaaliaikaisen tunnistamisen ja hyötyä saumattomasta integroinnista Defender XDR tietojen, funktioiden ja korjaustoimintojen kanssa automaattisella entiteettikartoituksella. Lisätietoja on tässä blogissa.
Tässä artikkelissa kerrotaan, miten voit käsitellä tiettyjä ongelmia, jotka voivat ilmetä ajoitettujen analytiikkasääntöjen suorittamisen yhteydessä Microsoft Sentinel.
Ongelma: Kyselytuloksissa ei näy tapahtumia
Kun tapahtumien ryhmittely on määritetty käynnistämään ilmoitus kullekin tapahtumalle, myöhemmin tarkasteltuja kyselytuloksia voi näyttää puuttuvan tai ne saattavat poiketa odotetusta. Saatat esimerkiksi tarkastella kyselyn tuloksia myöhemmin tutkiessasi asiaan liittyvää tapausta, ja osana tutkimusta päätät palata tämän kyselyn aiempiin tuloksiin.
Tulokset tallennetaan automaattisesti ilmoitusten kanssa. Jos tulokset ovat liian suuria, tuloksia ei tallenneta eikä tietoja näy, kun kyselytuloksia tarkastellaan uudelleen.
Jos käsittelyviive on olemassa tai kysely ei koosteiden vuoksi ole deterministinen, hälytyksen tulos voi olla eri kuin tulos, joka näytetään suorittamalla kysely manuaalisesti.
Ratkaistakseen tämän ongelman, kun säännöllä on tämä tapahtuman ryhmittelyasetus, Microsoft Sentinel lisää OriginalQuery-kentän kyselyn tuloksiin. Tässä on vertailu olemassa olevasta Kysely-kentästä ja uudesta kentästä:
| Kentän nimi | Sisältää | Suoritetaan kyselyä tässä kentässä tuloksena on... |
|---|---|---|
| Kyselyn | Hälytyksen tämän esiintymän luoneen tapahtuman pakattu tietue. | Tapahtuma, joka loi tämän ilmoituksen esiintymän. enintään 10 kilotavua. |
| Alkuperäinen valinta | Alkuperäinen kysely analytiikkasääntöön kirjoitettuna. | Kyselyn suorittamisajan uusin tapahtuma, joka vastaa kyselyn määrittämiä parametreja. |
Toisin sanoen OriginalQuery-kenttä toimii samalla tavalla kuin Kysely-kenttä oletusarvon mukaisessa tapahtumien ryhmittelyasetuksessa.
Ongelma: Ajoitetun säännön suorittaminen epäonnistui, tai se tulee näkyviin, kun nimeen on lisätty AUTOMAATTINEN KÄYTÖSTÄ
Ajoitetun kyselysäännön suorittaminen voi olla harvinaista, mutta näin voi käydä. Microsoft Sentinel luokittelee etukäteen virheet joko tilapäisiksi tai pysyviksi sen perusteella, minkä tyyppinen vika on ja siihen johtaneet olosuhteet.
Tilapäinen virhe
Tilapäinen virhe ilmenee tilapäinen tilanne, joka palautuu pian normaaliksi, jolloin säännön suorittaminen onnistuu. Seuraavassa on esimerkkejä virheistä, jotka Microsoft Sentinel luokitella tilapäisiksi:
- Sääntökyselyn suorittaminen kestää liian kauan ja aikakatkaistaan.
- Yhteysongelmia tietolähteiden ja Log Analyticsin välillä tai Log Analyticsin ja Microsoft Sentinel välillä.
- Muita uusia ja tuntemattomia virheitä pidetään tilapäisinä.
Tilapäisen virheen sattuessa Microsoft Sentinel jatkaa säännön suorittamista uudelleen ennalta määritettyjen ja yhä kasvavien aikavälien jälkeen tiettyyn pisteeseen asti. Sen jälkeen sääntö suoritetaan uudelleen vain sen jälkeen, kun se on ajoitettu seuraavan kerran. Sääntöä ei voi koskaan avata automaattisesti tilapäisen virheen vuoksi.
Pysyvä virhe – säännön automaattinen haku
Pysyvä virhe johtuu säännön suorittamisen sallivien ehtojen muutoksesta, joka ilman ihmisen toimia ei voi palata aiempaan tilaansa. Seuraavassa on joitakin esimerkkejä virheistä, jotka luokitellaan pysyviksi:
- Kohdetyötila (jossa sääntökyselyä käytettiin) poistettiin.
- Kohdetaulukko (jossa sääntökyselyä käytettiin) poistettiin.
- Microsoft Sentinel poistettiin kohdetyötilasta.
- Sääntökyselyn käyttämä funktio ei ole enää kelvollinen. sitä on joko muokattu tai poistettu.
- Yhden sääntökyselyn tietolähteen käyttöoikeuksia muutettiin (katso esimerkki).
- Yksi sääntökyselyn tietolähteistä poistettiin.
Jos tapahtuu ennalta määritetty määrä peräkkäisiä pysyviä virheitä, samaa tyyppiä ja samaa sääntöä, Microsoft Sentinel lopettaa säännön suorittamisen ja suorittaa myös seuraavat vaiheet:
- Poistaa säännön käytöstä.
- Lisää säännön nimen alkuun sanan "AUTO DISABLED ".
- Lisää virheen syyn (ja poistamisen käytöstä) säännön kuvaukseen.
Voit helposti määrittää automaattisesti muokattavien sääntöjen olemassaolon lajittelemalla sääntöluettelon nimen mukaan. Automaattisesti käytettävissä olevat säännöt ovat luettelon yläreunassa tai sen lähellä.
SOC-esimiesten on tarkistettava sääntöluettelo säännöllisesti, jotta automaattisen haun säännöt ovat käytettävissä.
Pysyvä vika resurssien tyhjennyksen vuoksi
Toinen pysyvä virhe ilmenee virheellisesti luodun kyselyn vuoksi, joka aiheuttaa säännön kuluttamaan liiallisia käsittelyresursseja ja uhkaa heikentää järjestelmiesi suorituskykyä. Kun Microsoft Sentinel tunnistaa tällaisen säännön, se suorittaa samat kolme vaihetta, jotka on mainittu muuntyyppisissä pysyvissä virheissä – poistaa säännön käytöstä, liittää säännön nimeen "AUTO DISABLED" ja lisää epäonnistumisen syyn kuvaukseen.
Jos haluat ottaa säännön uudelleen käyttöön, sinun on käsiteltävä kyselyn ongelmia, jotka aiheuttavat sen, että se käyttää liikaa resursseja. Lisätietoja on seuraavissa artikkeleissa:
- Kyselyjen parhaat käytännöt – Kusto-dokumentaatio
- Lokikyselyjen optimointi Azure näytössä
- Kusto-kyselyn kielenoppimisresurssit
Pysyvä virhe, joka johtuu käyttöoikeuden menettämiseen kaikissa tilauksessa tai vuokraajissa
Yksi esimerkki pysyvästä epäonnistumisesta tietolähteen käyttöoikeuksien muutoksen vuoksi (katso luettelo) koskee Microsoftin tietoturvaratkaisujen tarjoajan (MSSP) tapausta tai mitä tahansa muuta skenaariota, jossa analytiikkasäännöt kyselevät tilauksista tai vuokraajista.
Kun luot analytiikkasäännön, säännössä käytetään käyttöoikeustietuetta, joka tallennetaan sen mukana. Tämä tunnus varmistaa, että sääntö voi käyttää työtilaa, joka sisältää säännön kyselyn viittaamat taulukot, ja että tämä käyttöoikeus säilyy, vaikka säännön tekijä menettäisi käyttöoikeuden kyseiseen työtilaan.
On kuitenkin yksi poikkeus: kun luodaan sääntö, joka käyttää muiden tilausten tai vuokralaisten työtiloja, kuten mitä tapahtuu MSSP:n tapauksessa, Microsoft Sentinel suorittaa ylimääräisiä suojaustoimenpiteitä estääkseen asiakastietojen luvattoman käytön. Tällaisilla säännöillä on sääntöä luoneen käyttäjän tunnistetiedot käytössä riippumattoman käyttöoikeustietueen sijaan. Kun käyttäjällä ei ole enää käyttöoikeutta toiseen vuokraajaan, sääntö lakkaa toimimasta.
Jos käytät Microsoft Sentinel tilausten välillä tai vuokraajien laajuisissa skenaarioissa ja jos joku analyytikoistasi tai insinööreistäsi menettää käyttöoikeuden tiettyyn työtilaan, kaikki kyseisen käyttäjän luomat säännöt lakkaavat toimimasta. Näyttöön tulee kunnonvalvontaviesti koskien resurssin riittämätöntä käyttöä, ja sääntö voidaan avata automaattisesti edellä kuvattujen ohjeiden mukaisesti.
Seuraavat vaiheet
Lisätietoja on seuraavissa artikkeleissa:
- Opetusohjelma: Tapahtumien tutkiminen Microsoft Sentinel
- Tapausten selaaminen ja tutkiminen Microsoft Sentinel – esikatselu
- Tietojen luokitteleminen ja analysoiminen entiteettien avulla Microsoft Sentinel
- Opetusohjelma: Microsoft Sentinel-automaatiosääntöjen käyttö playbookeissa
Opi myös mukautetun analytiikan sääntöjen käyttämisestä tarkistettaessa Zoomaustamukautetulla liittimellä.