你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

从模板创建计划分析规则

适用于: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

到目前为止，最常见的分析规则类型是计划规则基于 Kusto 查询，这些查询配置为定期运行，并检查定义的“回溯”期间的原始数据。这些查询可以对其目标数据执行复杂的统计操作，从而在事件组中显示基线和离群值。如果查询捕获的结果数超过规则中配置的阈值，则规则将生成警报。

Microsoft通过内容中心提供的许多解决方案提供大量分析规则模板，并强烈建议你使用它们来创建规则。计划规则模板中的查询由安全和数据科学专家编写，这些专家来自Microsoft或来自提供模板的解决方案的供应商。

本文介绍如何使用模板创建计划分析规则。

重要

2027 年 3 月 31 日之后，Azure 门户将不再支持Microsoft Sentinel，并且仅在Microsoft Defender门户中可用。在Azure 门户中使用Microsoft Sentinel的所有客户都将重定向到 Defender 门户，并且仅在 Defender 门户中使用Microsoft Sentinel。

如果仍在Azure 门户中使用Microsoft Sentinel，建议开始规划到 Defender 门户的转换，以确保平稳过渡，并充分利用 Microsoft Defender 提供的统一安全操作体验。

查看现有分析规则

若要查看Microsoft Sentinel中已安装的分析规则，请转到“分析”页。 “ 规则模板 ”选项卡显示所有已安装的规则模板。若要查找更多规则模板，请转到 Microsoft Sentinel 中的内容中心以安装相关的产品解决方案或独立内容。

在Microsoft Defender导航菜单中，依次展开“Microsoft Sentinel”和“配置”。选择“ 分析”。
在 “分析 ”屏幕上，选择“ 规则模板 ”选项卡。
如果要筛选计划模板的列表：
1. 选择“ 添加筛选器 ”，然后从筛选器列表中选择“ 规则类型 ”。
2. 从生成的列表中，选择“计划”。 然后选择“ 应用”。

此过程介绍如何从模板创建分析规则。

在Microsoft Defender导航菜单中，依次展开“Microsoft Sentinel”和“配置”。选择“ 分析”。

在 “分析 ”屏幕上，选择“ 规则模板 ”选项卡。
选择模板名称，然后选择详细信息窗格中的“ 创建规则 ”按钮，以基于该模板创建新的活动规则。

每个模板都有一个所需数据源的列表。打开模板时，会自动检查数据源的可用性。如果未启用数据源，可能会禁用 “创建规则 ”按钮，或者你可能会看到一条具有此效果的消息。
此时会打开规则创建向导。所有详细信息都会自动填充。
循环浏览向导的选项卡，尽可能自定义逻辑和其他规则设置，以更好地满足你的特定需求。有关更多信息，请参阅：
到达规则创建向导的末尾时，Microsoft Sentinel创建规则。新规则将显示在“ 活动规则 ”选项卡中。

重复此过程以创建更多规则。有关如何在规则创建向导中自定义规则的更多详细信息，请参阅从头开始创建自定义分析规则。

提示

请确保 启用与连接的数据源关联的所有规则 ，以确保环境完全安全覆盖。启用分析规则的最有效方法是直接从数据连接器页中获取，其中列出了任何相关规则。有关详细信息，请参阅连接数据源。
还可以通过 API 和 PowerShell 将规则推送到Microsoft Sentinel，但这样做需要额外的工作。

使用 API 或 PowerShell 时，必须先将规则导出为 JSON，然后才能启用规则。在多个Microsoft Sentinel实例中启用每个实例中具有相同设置的规则时，API 或 PowerShell 可能很有用。

本文档介绍了如何从 Microsoft Sentinel 中的模板创建计划分析规则。

此页面是否有帮助？