Поделиться через

Создание правил запланированной аналитики из шаблонов

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

По крайней мере наиболее распространенный тип правила аналитики запланированные правила основаны на запросах Kusto, настроенных для выполнения с регулярными интервалами и проверки необработанных данных из определенного периода lookback. Эти запросы могут выполнять сложные статистические операции с целевыми данными, показывая базовые показатели и выбросы в группах событий. Если число результатов, захваченных запросом, передает пороговое значение, настроенное в правиле, правило создает оповещение.

Корпорация Майкрософт предоставляет широкий набор шаблонов правил аналитики, доступных вам через множество решений, предоставляемых в Центре содержимого, и настоятельно рекомендует использовать их для создания правил. Запросы в запланированных шаблонах правил написаны экспертами по безопасности и обработке и анализу данных, либо от корпорации Майкрософт, либо от поставщика решения, предоставляющего шаблон.

В этой статье показано, как создать правило запланированной аналитики с помощью шаблона.

Внимание

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Просмотр существующих правил аналитики

Чтобы просмотреть установленные правила аналитики в Microsoft Sentinel, перейдите на страницу аналитики . На вкладке "Шаблоны правил" отображаются все установленные шаблоны правил. Чтобы найти дополнительные шаблоны правил, перейдите в центр содержимого в Microsoft Sentinel, чтобы установить связанные решения продуктов или автономное содержимое.

  1. В разделе "Конфигурация" меню навигации Microsoft Sentinel выберите "Аналитика".

  2. На экране "Аналитика" выберите вкладку "Шаблоны правил".

  3. Если вы хотите отфильтровать список для запланированных шаблонов:

    1. Выберите " Добавить фильтр " и выберите тип правила из списка фильтров.

    2. В результирующем списке выберите "Запланировано". Затем выберите Применить.

    Снимок экрана: шаблоны правил запланированной аналитики в Microsoft портал Azure.

Создание правила из шаблона

В этой процедуре описывается создание правила аналитики из шаблона.

В разделе "Конфигурация" меню навигации Microsoft Sentinel выберите "Аналитика".

  1. На экране "Аналитика" выберите вкладку "Шаблоны правил".

  2. Выберите имя шаблона и нажмите кнопку "Создать правило " на панели сведений, чтобы создать новое активное правило на основе этого шаблона.

    Каждый шаблон содержит список необходимых источников данных. При открытии шаблона источники данных автоматически проверяются на доступность. Если источник данных не включен, кнопка "Создать правило " может быть отключена или может появиться сообщение для этого эффекта.

    Снимок экрана: панель предварительного просмотра правил аналитики.

  3. Откроется мастер создания правил. Все сведения заполняются автоматически.

  4. Переведите вкладки мастера, настраивая логику и другие параметры правила, где это возможно, чтобы лучше соответствовать вашим потребностям.

    Когда вы получите до конца мастера создания правила, Microsoft Sentinel создает правило. Новое правило отображается на вкладке "Активные правила ".

    Повторите процесс, чтобы создать дополнительные правила. Дополнительные сведения о настройке правил в мастере создания правил см. в статье "Создание настраиваемого правила аналитики с нуля".

Совет

  • Убедитесь, что вы включили все правила, связанные с подключенными источниками данных, чтобы обеспечить полный охват вашей среды средствами безопасности. Правила аналитики проще всего включить прямо на странице соединителя данных, где перечислены все связанные правила. Дополнительные сведения см. в статье о подключении источников данных.

  • Вы также можете отправить правила в Microsoft Sentinel через API или PowerShell, но это требует выполнения дополнительных действий.

    При использовании API или PowerShell необходимо сначала экспортировать правила в формат JSON и лишь затем включать их. API или PowerShell будут удобны, если вам нужно включить правила с одинаковыми параметрами в нескольких экземплярах Microsoft Sentinel.

Следующие шаги

В этом документе вы узнали, как создавать правила запланированной аналитики из шаблонов в Microsoft Sentinel.