Overvåk og optimaliser kjøringen av de planlagte analysereglene

For å sikre at Microsoft Sentinel trusselregistrering gir fullstendig dekning i miljøet ditt, kan du dra nytte av verktøyene for utførelsesbehandling. Disse verktøyene består av innsikt i kjøringen av de planlagte analysereglene, basert på Microsoft Sentinel tilstands- og revisjonsdata, og en innretning for manuell kjøring av tidligere kjøringer av regler på bestemte tidsvinduer, for testing og/eller feilsøkingsformål.

Sammendrag

Det finnes to administrasjonsverktøy for kjøring for planlagte analyseregler: innebygd planlagt regelinnsikt og muligheten til å kjøre planlagte regler ved behov på nytt.

På Analyse-siden vises Innsikter-panelet som en annen fane i detaljruten, sammen med Informasjon-fanen . Innsikt-panelet gir informasjon om en regels aktivitet og resultater. For eksempel: mislykkede kjøringer, vanlige helseproblemer, antall varsler over tid og avsluttende klassifiseringer av hendelser som er opprettet av regelen. Denne innsikten hjelper sikkerhetsanalytikerne dine med å identifisere potensielle problemer eller feilkonfigurasjoner med analyseregler, og lar dem oppdage og løse regelfeil og optimalisere regelkonfigurasjoner for bedre ytelse og nøyaktighet.

Du har også muligheten til å kjøre analyseregler ved behov på nytt på Analyse-siden . Denne funksjonen gir fleksibilitet og kontroll for å validere effektiviteten til reglene. Det kan være nyttig i scenarioer som regelforbedring, testing, validering og andre. Å ha fleksibilitet til å starte manuelle omkjøringer kan støtte effektive sikkerhetsoperasjoner, muliggjøre effektiv hendelsesrespons og forbedre systemets generelle gjenkjennings- og responsfunksjoner.

Brukstilfeller og fordeler med å kjøre regelen på nytt

Her er noen scenarioer som kan dra nytte av å spille av bestemte kjøringer av analyseregler på nytt:

Presisering og justering av regler: Analyseregler kan kreve periodiske justeringer og finjustering basert på trussellandskapet i utvikling og endrede organisatoriske behov. Ved å kjøre regler på nytt manuelt, kan analytikerne vurdere virkningen av regelendringer og validere effektiviteten før de distribueres i et produksjonsmiljø.

Testing og validering: Når du introduserer nye analyseregler, gjør betydelige endringer i eksisterende, eller utvikler nye hendelsesspillebøker, er det viktig å teste ytelsen og nøyaktigheten grundig. Manuell omkjøring lar deg simulere ulike scenarioer, inkludert ende-til-ende automatisert hendelsesflyt, og validere reglene mot et konsekvent sett med datainndata. Denne prosessen sikrer at reglene genererer de forventede varslene uten å produsere overflødige falske positiver.

Hendelsesetterforskning: Hvis det oppstår en sikkerhetshendelse eller mistenkelig aktivitet, kan det hende at analytikerne ønsker å vise flere detaljer i varslene som allerede er generert. De kan gjøre dette ved å oppdatere regelen og kjøre den på nytt med bestemte kjøringsintervaller (opptil sju dager) for å samle inn tilleggsinformasjon og identifisere relaterte hendelser. Manuell omkjøring gjør det mulig for analytikere å utføre grundige undersøkelser og bidra til å sikre omfattende dekning.

Samsvar og revisjon: Noen forskriftsmessige krav eller interne policyer kan nødvendiggjøre rerunning analyseregler med jevne mellomrom eller ved behov for å demonstrere kontinuerlig overvåking og overholdelse. Manuell omkjøring gir mulighet til å oppfylle slike forpliktelser ved å sørge for at reglene brukes konsekvent og generere aktuelle varsler.

Forutsetninger

Hvis du vil bruke administrasjonsverktøyene for kjøring, må du ha Microsoft Sentinel tilstands- og revisjonsfunksjon aktivert, og spesifikt overvåking av analyseregeltilstanden. Finn ut hvordan du aktiverer tilstand og revisjon.

Vis analyseregelinnsikt

Hvis du vil dra nytte av disse verktøyene, kan du begynne med å undersøke innsikten i en gitt regel.

1. Velg Analyse fra navigasjonsmenyen Microsoft Sentinel.

2. Finn og velg en regel (planlagt eller NRT) med innsikt du ønsker å se.

3. Velg Innsikter-fanen i detaljruten.

   

4. Når du velger Innsikter-fanen , vises tidsrammevelgeren. Velg en tidsramme, eller la den stå som standard de siste 24 timene.

   

Innsikt-panelet viser for øyeblikket fire typer innsikter. Hver innsikt etterfølges av en Vis alle-kobling som tar deg til Logger-siden og viser spørringen som produserte innsikten sammen med de fullstendige rå resultatene. Her er innsikten:

• Mislykkede kjøringer viser en liste over mislykkede kjøringer av denne regelen i den angitte tidsrammen. Denne innsikten etterfølges også av en kobling til panelet regelkjøringer , der du kan se en liste over alle tidspunkt regelen har kjørt, og du kan gjenta bestemte kjøringer av regelen.

• Vanlige helseproblemer viser en liste over de vanligste helseproblemene for denne regelen i løpet av den angitte tidsrammen. Denne innsikten etterfølges også av en visningskjøringskobling som tar deg til Logger-siden der du ser en spørring over alle gangene denne regelen har kjørt.

• Varseldiagram viser et diagram over antall varsler som genereres av denne regelen i den angitte tidsrammen.

• Hendelsesklassifisering viser et sammendrag av klassifiseringen av lukkede hendelser opprettet av denne regelen i løpet av den angitte tidsrammen.

Kjør analyseregler på nytt

Det finnes flere scenarioer som kan føre til at du kjører en regel på nytt.

• En regel kan ikke kjøres på grunn av en midlertidig betingelse som gikk tilbake til normal, eller på grunn av feil konfigurasjon. Når du retter feilkonfigurasjonen eller reparerer betingelsen, må du kjøre regelen på nytt i samme tidsvindu (det vil si på samme data) som kjøringen som mislyktes, for å redusere dekningshullene.

• En regel ble kjørt, men ga ikke nok informasjon i varslene den genererte. I dette tilfellet vil du kanskje redigere regelen for å gi mer informasjon, enten ved å endre spørringen eller berikelsesinnstillingene. Deretter må du kjøre regelen på nytt i samme tidsvindu (det vil si på de samme dataene) som kjøringen du vil ha mer informasjon om.

• Det kan hende du eksperimenterer med å skrive eller redigere en regel og vil se hvordan forskjellige innstillinger vil påvirke varslene regelen genererer. For en gyldig sammenligning vil du kjøre regelen på nytt i samme tidsvindu.

Slik kjører du en regel på nytt:

1. Velg Regelkjøringer (forhåndsvisning) fra verktøylinjen øverst på Analyse-siden. Panelet for regelkjøring åpnes.

   

   Du kan også gå til panelet regelkjøringer ved å velge Kjør regler på nytt fra Visningen mislykkede kjøringer på Innsikter-fanen (se ovenfor).

   

2. Velg regelkjøringene du vil spille av på nytt, i henhold til tidsvinduet de opprinnelig kjørte i, som vist i kolonnen Kjøringstid . Du kan velge mer enn én regelkjøring.

   

3. Velg Avspilling av kjøring på nytt. Varsler vises som viser fremdriften til forespørslene og at reglene ble lagt i kø for kjøring.

   

4. Velg Oppdater for å vise den oppdaterte statusen for regelens kjøringer. Du vil se at forespørslene dine vises blant dem, med statusen Pågår (den vil etter hvert vises som vellykket) og en type brukerutløser i motsetning til systemutløst.

   

   Du vil også legge merke til at utførelsestiden for de forespurte omkjøringene er den samme som kjøringen av den opprinnelige systemutløste kjøringen, og ikke utførelsestiden for den nye kjøringen. Dette er for å vise deg hvilket tidsvindu som kjøres på nytt refererer til.

   Du kan bare gjenta systemutløsede regelkjøringer, ikke brukerutløsede.

Velg Vis fullstendige detaljer på slutten av linjen i en hvilken som helst regel for å vise fullstendige, rå detaljer i Logger-skjermen .

Neste trinn

• Overvåk tilstanden og overvåk integriteten til analysereglene.
• Finn ut mer om overvåking og tilstandsovervåking i Microsoft Sentinel.
• Slå på overvåking og tilstandsovervåking i Microsoft Sentinel.
• Se mer informasjon om SentinelHealth - og SentinelAudit-tabellskjemaene .