你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
若要确保Microsoft Sentinel的威胁检测在你的环境中提供完全覆盖,请利用其执行管理工具。 这些工具包括基于Microsoft Sentinel运行状况和审核数据的计划的分析规则执行的见解,以及用于在特定时间窗口手动重新运行以前执行的规则的工具,以便进行测试和/或故障排除。
重要
Microsoft Sentinel的分析规则见解和手动重新运行目前以预览版提供。 请参阅Microsoft Azure预览版的补充使用条款,了解适用于处于 beta 版、预览版或其他尚未正式发布的Azure功能的其他法律条款。
摘要
计划分析规则有两种执行管理工具:内置的计划规则见解和按需重新运行计划规则的功能。
在“ 分析 ”页上, “见解 ”面板在详细信息窗格中显示为另一个选项卡,以及“ 信息 ”选项卡。“ 见解 ”面板提供有关规则的活动和结果的信息。 例如:失败的执行、最常见的运行状况问题、一段时间内的警报计数以及规则创建的事件的关闭分类。 这些见解可帮助安全分析师使用分析规则识别潜在问题或错误配置,并允许他们发现和修复规则故障并优化规则配置,以提高性能和准确性。
此外,在 “分析 ”页上,还可以按需重新运行分析规则。 此功能提供了验证规则有效性的灵活性和控制力。 它可用于规则优化、测试、验证等方案。 灵活地启动手动重新运行可以支持高效的安全操作,实现有效的事件响应,并增强系统的整体检测和响应功能。
重新运行规则的用例和优势
下面是一些可从重播特定分析规则运行中受益的方案:
规则优化和优化: 分析规则可能需要根据不断变化的威胁形势和不断变化的组织需求进行定期调整和微调。 通过手动重新运行规则,分析师可以评估规则修改的影响,并在将规则修改部署到生产环境中之前验证其有效性。
测试和验证: 在引入新的分析规则、对现有规则进行重大更改或开发新的事件 playbook 时,必须全面测试其性能和准确性。 通过手动重新运行,可以模拟不同的方案,包括端到端自动化事件流,并针对一组一致的数据输入验证规则。 此过程可确保规则生成预期的警报,而不会产生过多的误报。
事件调查: 如果发生安全事件或可疑活动,分析师可能需要在已生成的警报中显示其他详细信息。 为此,他们可以更新规则,并在特定的执行间隔内重新运行该规则, (最多 7 天) 收集其他信息并识别相关事件。 通过手动重新运行,分析师可以执行深入调查,并帮助确保全面覆盖。
合规性和审核: 某些法规要求或内部策略可能需要定期或按需重新运行分析规则,以展示持续监视和合规性。 通过手动重新运行,可以通过确保一致地应用规则并生成适当的警报来履行此类义务。
先决条件
若要使用执行管理工具,必须启用Microsoft Sentinel的运行状况和审核功能,特别是分析规则运行状况监视。 了解如何启用运行状况和审核。
查看分析规则见解
若要利用这些工具,请首先检查有关给定规则的见解。
在Microsoft Sentinel导航菜单中,选择“分析”。
查找并选择想要查看其见解 (计划 或 NRT) 的规则。
在详细信息窗格中选择“ 见解 ”选项卡。
选择“ 见解 ”选项卡时,将显示时间范围选择器。 选择一个时间范围,或将其保留为过去 24 小时的默认值。
“ 见解 ”面板当前显示四种类型的见解。 每个见解后跟一个 “查看所有” 链接,该链接将转到 “日志 ”页,并显示生成见解的查询以及完整的原始结果。 下面是见解:
失败的执行 显示此规则在给定时间范围内失败运行的列表。 此见解后跟一个指向 “规则运行” 面板的链接,你可以在其中查看规则运行的所有时间的列表,并且可以 重播规则的特定运行。
热门运行状况问题 显示此规则在给定时间范围内最常见的运行状况问题列表。 此见解后跟一个 “视图运行” 链接,该链接将转到 “日志 ”页,可在其中看到此规则运行的所有时间的查询。
警报图 显示此规则在给定时间范围内生成的警报数的图表。
事件分类 显示此规则在给定时间范围内创建的已关闭事件的分类摘要。
重新运行分析规则
有多种方案可能会导致你重新运行规则。
由于恢复为正常的临时条件或配置错误,规则无法运行。 更正错误配置或修复条件后,需要在同一时间窗口 ((即,在与失败的运行相同的数据) )上重新运行该规则,以缓解覆盖范围中的差距。
规则成功运行,但未在生成的警报中提供足够的信息。 在这种情况下,你可能希望通过更改查询或扩充设置来编辑规则以提供详细信息。 然后,需要在同一时间窗口 ((即,在与需要更多信息的运行相同的数据) )上重新运行规则。
你可能正在尝试编写或编辑规则,并想要了解不同的设置将如何影响规则生成的警报。 为了进行有效的比较,需要在同一时间窗口重新运行规则。
下面介绍如何重新运行规则:
在 “分析 ”页中,从顶部工具栏中选择“ 规则运行 (预览) 。 将打开 “规则运行 ”面板。
还可以通过从“见解”选项卡上的“失败执行”显示中选择“重新运行规则”来访问“规则运行”面板, (请参阅上面的) 。
根据它们最初运行的时间窗口,选择要重播的规则运行,如 “执行时间 ”列所示。 可以选择多个规则运行。
选择“ 重播运行”。 将显示通知,显示请求的进度以及规则已排队等待执行。
选择“ 刷新 ”以查看规则运行的更新状态。 你将看到请求显示在其中,状态为“ 正在进行” (最终会显示为 “成功) ”,并且类型为 “用户触发 ”,而不是 “系统触发”。
你还会注意到,请求的重新运行的执行时间与原始系统触发的运行执行时间相同, 而不是 重新运行的执行时间。 这是为了显示重新运行引用的时间窗口。
只能重播系统触发的规则运行,而不能重播用户触发的规则运行。
选择任意规则运行行末尾的“ 查看完整详细信息 ”,在 “日志” 屏幕中查看其完整原始详细信息。
后续步骤
- 监视运行状况并审核分析规则的完整性。
- 了解 Microsoft Sentinel 中的审核和运行状况监视。
- 在 Microsoft Sentinel 中启用审核和运行状况监视。
- 请参阅有关 SentinelHealth 和 SentinelAudit 表架构的详细信息。