Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Maak gebruik van de hulpprogramma's voor uitvoeringsbeheer om ervoor te zorgen dat de detectie van bedreigingen van Microsoft Sentinel volledige dekking biedt in uw omgeving. Deze hulpprogramma's bestaan uit inzichten in de uitvoering van uw geplande analyseregels, op basis van de status- en auditgegevens van Microsoft Sentinel, en een mogelijkheid om eerdere uitvoeringen van regels handmatig opnieuw uit te voeren op specifieke tijdvensters, voor test- en/of probleemoplossingsdoeleinden.
Belangrijk
de inzichten in analyseregels van Microsoft Sentinel en het handmatig opnieuw uitvoeren zijn momenteel in PREVIEW. Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure functies die in bètaversie, preview of anderszins nog niet algemeen beschikbaar zijn.
Samenvatting
Er zijn twee hulpprogramma's voor uitvoeringsbeheer voor geplande analyseregels: ingebouwde inzichten in geplande regels en de mogelijkheid om geplande regels op aanvraag opnieuw uit te voeren.
Op de pagina Analyse wordt het deelvenster Inzichten weergegeven als een ander tabblad in het detailvenster, naast het tabblad Info . Het deelvenster Inzichten bevat informatie over de activiteit en resultaten van een regel. Bijvoorbeeld: mislukte uitvoeringen, belangrijkste statusproblemen, aantal waarschuwingen in de loop van de tijd en afsluitende classificaties van incidenten die door de regel zijn gemaakt. Deze inzichten helpen uw beveiligingsanalisten potentiële problemen of onjuiste configuraties met analyseregels te identificeren, zodat ze regelfouten kunnen detecteren en oplossen en regelconfiguraties kunnen optimaliseren voor betere prestaties en nauwkeurigheid.
Op de pagina Analyse hebt u ook de mogelijkheid om analyseregels op aanvraag opnieuw uit te voeren. Deze mogelijkheid biedt flexibiliteit en controle bij het valideren van de effectiviteit van de regels. Het kan handig zijn in scenario's zoals regelverfijning, testen, validatie en andere. Als u de flexibiliteit hebt om handmatige nieuwe uitvoeringen te starten, kunt u efficiënte beveiligingsbewerkingen ondersteunen, een effectieve reactie op incidenten mogelijk maken en de algehele detectie- en reactiemogelijkheden van het systeem verbeteren.
Use cases en voordelen van het opnieuw uitvoeren van regels
Hier volgen enkele scenario's die kunnen profiteren van het opnieuw afspelen van specifieke uitvoeringen van analyseregels:
Verfijning en afstemming van regels: Analyseregels vereisen mogelijk periodieke aanpassingen en afstemming op basis van het veranderende bedreigingslandschap en veranderende organisatorische behoeften. Door regels handmatig opnieuw uit te voeren, kunnen uw analisten de impact van regelwijzigingen beoordelen en de effectiviteit ervan valideren voordat ze in een productieomgeving worden geïmplementeerd.
Testen en valideren: Bij het introduceren van nieuwe analyseregels, het aanbrengen van belangrijke wijzigingen in bestaande regels of het ontwikkelen van nieuwe incident-playbooks, is het essentieel om de prestaties en nauwkeurigheid ervan grondig te testen. Met handmatig opnieuw uitvoeren kunt u verschillende scenario's simuleren, waaronder end-to-end geautomatiseerde incidentstroom, en de regels valideren aan de hand van een consistente set gegevensinvoer. Dit proces zorgt ervoor dat de regels de verwachte waarschuwingen genereren zonder overmatige fout-positieven te produceren.
Incidentonderzoek: In het geval van een beveiligingsincident of verdachte activiteit willen uw analisten mogelijk aanvullende details weergeven in de waarschuwingen die al zijn gegenereerd. Ze kunnen dit doen door de regel bij te werken en opnieuw uit te voeren op specifieke uitvoeringsintervallen (maximaal zeven dagen) om aanvullende informatie te verzamelen en gerelateerde gebeurtenissen te identificeren. Handmatig opnieuw uitvoeren stelt uw analisten in staat om diepgaande onderzoeken uit te voeren en zorgt voor een uitgebreide dekking.
Naleving en controle: Sommige wettelijke vereisten of intern beleid vereisen mogelijk dat analyseregels periodiek of op aanvraag opnieuw worden uitgevoerd om continue bewaking en naleving aan te tonen. Handmatig opnieuw uitvoeren biedt de mogelijkheid om aan dergelijke verplichtingen te voldoen door ervoor te zorgen dat regels consistent worden toegepast en de juiste waarschuwingen genereren.
Vereisten
Als u de hulpprogramma's voor uitvoeringsbeheer wilt gebruiken, moet de status- en controlefunctie van Microsoft Sentinel zijn ingeschakeld, en met name de bewaking van de status van de analyseregel. Meer informatie over het inschakelen van status en controle.
Inzichten in analyseregels weergeven
Als u van deze hulpprogramma's wilt profiteren, onderzoekt u eerst de inzichten over een bepaalde regel.
Selecteer Analyse in het navigatiemenu Microsoft Sentinel.
Zoek en selecteer een regel (gepland of NRT) waarvan u de inzichten wilt zien.
Selecteer het tabblad Inzichten in het detailvenster.
Wanneer u het tabblad Inzichten selecteert, wordt de tijdskaderkiezer weergegeven. Selecteer een tijdsbestek of laat dit als standaardwaarde van de afgelopen 24 uur staan.
In het deelvenster Inzichten worden momenteel vier soorten inzichten weergegeven. Elk inzicht wordt gevolgd door een koppeling Alles weergeven die u naar de pagina Logboeken leidt en de query weergeeft die het inzicht heeft geproduceerd, samen met de volledige onbewerkte resultaten. Dit zijn de inzichten:
Mislukte uitvoeringen geeft een lijst weer met mislukte uitvoeringen van deze regel in het opgegeven tijdsbestek. Dit inzicht wordt ook gevolgd door een koppeling naar het deelvenster Regeluitvoeringen , waar u een lijst ziet van alle keren dat de regel is uitgevoerd en u specifieke uitvoeringen van de regel opnieuw kunt afspelen.
Belangrijkste statusproblemen geeft een lijst weer met de meest voorkomende statusproblemen voor deze regel tijdens het opgegeven tijdsbestek. Dit inzicht wordt ook gevolgd door een koppeling Weergave-uitvoeringen die u naar de pagina Logboeken brengt, waar u een query ziet van alle keren dat deze regel is uitgevoerd.
Waarschuwingsgrafiek toont een grafiek van het aantal waarschuwingen dat door deze regel is gegenereerd in het opgegeven tijdsbestek.
Incidentclassificatie toont een samenvatting van de classificatie van gesloten incidenten die door deze regel zijn gemaakt tijdens het opgegeven tijdsbestek.
Analyseregels opnieuw uitvoeren
Er zijn verschillende scenario's die ertoe kunnen leiden dat u een regel opnieuw uitvoert.
Een regel kan niet worden uitgevoerd vanwege een tijdelijke voorwaarde die weer normaal is geworden of vanwege een onjuiste configuratie. Nadat u de onjuiste configuratie of het herstellen van de voorwaarde hebt gecorrigeerd, moet u de regel vervolgens opnieuw uitvoeren in hetzelfde tijdvenster (op dezelfde gegevens) als de uitvoering die is mislukt, om de hiaten in de dekking te verhelpen.
Een regel is uitgevoerd, maar er is onvoldoende informatie opgegeven in de gegenereerde waarschuwingen. In dit geval kunt u de regel bewerken om meer informatie te geven, door de query of de verrijkingsinstellingen te wijzigen. U wilt de regel vervolgens opnieuw uitvoeren in hetzelfde tijdvenster (dat wil gezegd, op dezelfde gegevens) als de uitvoering waarvoor u meer informatie wilt.
Mogelijk experimenteert u met het schrijven of bewerken van een regel en wilt u zien hoe verschillende instellingen van invloed zijn op de waarschuwingen die de regel genereert. Voor een geldige vergelijking wilt u de regel opnieuw uitvoeren in hetzelfde tijdvenster.
U kunt een regel als volgt opnieuw uitvoeren:
Selecteer op de pagina Analysede optie Regeluitvoeringen (preview) op de werkbalk bovenaan. Het deelvenster Regeluitvoeringen wordt geopend.
U kunt ook naar het deelvenster Regeluitvoeringen gaan door Regels opnieuw uitvoeren te selecteren in de weergave Mislukte uitvoeringen op het tabblad Inzichten (zie hierboven).
Selecteer de regeluitvoeringen die u opnieuw wilt afspelen, op basis van het tijdvenster waarin ze oorspronkelijk zijn uitgevoerd, zoals weergegeven in de kolom Uitvoeringstijd . U kunt meer dan één regeluitvoering kiezen.
Selecteer Uitvoeren opnieuw afspelen. Er worden meldingen weergegeven die de voortgang van de aanvragen weergeven en dat de regels in de wachtrij zijn geplaatst voor uitvoering.
Selecteer Vernieuwen om de bijgewerkte status van de uitvoeringen van de regel weer te geven. U ziet dat uw aanvragen ertussen worden weergegeven, met de status In uitvoering (deze wordt uiteindelijk weergegeven als Geslaagd) en een type door de gebruiker geactiveerd in plaats van door het systeem geactiveerd.
U zult ook merken dat de uitvoeringstijd van de aangevraagde nieuwe uitvoeringen hetzelfde is als de uitvoering van de oorspronkelijke door het systeem geactiveerde uitvoering, en niet de uitvoeringstijd van de nieuwe uitvoering. Dit is om u te laten zien in welk tijdvenster uw nieuwe uitvoering verwijst.
U kunt alleen door het systeem geactiveerde regeluitvoeringen opnieuw afspelen, niet door de gebruiker geactiveerde uitvoeringen.
Selecteer Volledige details weergeven aan het einde van de regel van een regeluitvoering om de volledige, onbewerkte details ervan weer te geven in het scherm Logboeken .
Volgende stappen
- Controleer de status en controleer de integriteit van uw analyseregels.
- Meer informatie over controle en statusbewaking in Microsoft Sentinel.
- Schakel controle en statusbewaking in Microsoft Sentinel in.
- Zie meer informatie over de tabelschema's SentinelHealth en SentinelAudit .