Condividi tramite

Creare regole di analisi pianificate dai modelli

  • Si applica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Per gran parte il tipo più comune di regola di analisi, le regole pianificate sono basate su query Kusto configurate per l'esecuzione a intervalli regolari ed esaminare i dati non elaborati da un periodo di "lookback" definito. Queste query possono eseguire operazioni statistiche complesse sui dati di destinazione, rivelando baseline e outlier in gruppi di eventi. Se il numero di risultati acquisiti dalla query supera la soglia configurata nella regola, la regola genera un avviso.

Microsoft rende disponibile una vasta gamma di modelli di regole di analisi tramite le numerose soluzioni fornite nell'hub contenuto e incoraggia vivamente l'utente a usarli per creare le regole. Le query nei modelli di regola pianificate vengono scritte da esperti di sicurezza e data science, microsoft o dal fornitore della soluzione che fornisce il modello.

Questo articolo illustra come creare una regola di analisi pianificata usando un modello.

Importante

Microsoft Sentinel è disponibile a livello generale nel portale di Microsoft Defender, incluso per i clienti senza Microsoft Defender XDR o una licenza E5.

A partire da luglio 2026, tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender. A partire da luglio 2025, molti nuovi clienti vengono eseguiti automaticamente l'onboarding e reindirizzati al portale di Defender.

Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza unificata delle operazioni di sicurezza offerte da Microsoft Defender. Per altre informazioni, vedere It's Time to Move: ritiro del portale di Azure di Microsoft Sentinel per una maggiore sicurezza.

Visualizzare le regole di analisi esistenti

Per visualizzare le regole di analisi installate in Microsoft Sentinel, passare alla pagina Analisi . Nella scheda Modelli di regola vengono visualizzati tutti i modelli di regola installati. Per trovare altri modelli di regole, passare all'hub contenuto in Microsoft Sentinel per installare le soluzioni di prodotto correlate o il contenuto autonomo.

  1. Dal menu di spostamento di Microsoft Defender espandere Microsoft Sentinel, quindi Configurazione. Selezionare Analisi.

  2. Nella schermata Analisi selezionare la scheda Modelli di regola.

  3. Per filtrare l'elenco per i modelli pianificati :

    1. Selezionare Aggiungi filtro e scegliere il Tipo di regola dall'elenco dei filtri.

    2. Nell'elenco risultante selezionare Pianificato. Quindi seleziona Applica.

    Screenshot dei modelli di regole di analisi pianificati nel portale di Microsoft Defender.

Creare una regola da un modello

Questa procedura descrive come creare una regola di analisi da un modello.

Dal menu di spostamento di Microsoft Defender espandere Microsoft Sentinel, quindi Configurazione. Selezionare Analisi.

  1. Nella schermata Analisi selezionare la scheda Modelli di regola.

  2. Selezionare un nome di modello e quindi selezionare il pulsante Crea regola nel riquadro dei dettagli per creare una nuova regola attiva basata su tale modello.

    Ogni modello include un elenco delle origini dati necessarie. Quando si apre il modello, le origini dati vengono controllate automaticamente per la disponibilità. Se un'origine dati non è abilitata, il pulsante Crea regola potrebbe essere disabilitato oppure potrebbe essere visualizzato un messaggio a tale effetto.

    Screenshot del pannello di anteprima delle regole di analisi.

  3. Verrà visualizzata la creazione guidata della regola. Tutti i dettagli vengono compilati automaticamente.

  4. Scorrere le schede della procedura guidata, personalizzando la logica e altre impostazioni delle regole, se possibile, in base alle esigenze specifiche. Per altre informazioni, vedi:

    Quando si arriva alla fine della creazione guidata delle regole, Microsoft Sentinel crea la regola. La nuova regola viene visualizzata nella scheda Regole attive.

    Ripetere il processo per creare altre regole. Per altre informazioni su come personalizzare le regole nella creazione guidata delle regole, vedere Creare una regola di analisi personalizzata da zero.

Suggerimento

  • Assicurarsi di abilitare tutte le regole associate alle origini dati connesse per garantire la copertura completa della sicurezza per l'ambiente. Il modo più efficiente per abilitare le regole di analisi è direttamente dalla pagina del connettore dati, che elenca le regole correlate. Per altre informazioni, vedere Connettere le origini dati.

  • È anche possibile eseguire il push delle regole in Microsoft Sentinel tramite API e PowerShell, anche se questa operazione richiede ulteriore sforzo.

    Quando si usa l'API o PowerShell, è prima necessario esportare le regole in JSON prima di abilitare le regole. L'API o PowerShell può essere utile quando si abilitano regole in più istanze di Microsoft Sentinel con impostazioni identiche in ogni istanza.

Passaggi successivi

In questo documento si è appreso come creare regole di analisi pianificate dai modelli in Microsoft Sentinel.