Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zdecydowanie najbardziej typowym typem reguły analizy zaplanowane reguły są oparte na zapytaniach Kusto, które są skonfigurowane do uruchamiania w regularnych odstępach czasu i badają nieprzetworzone dane z zdefiniowanego okresu "lookback". Te zapytania mogą wykonywać złożone operacje statystyczne na danych docelowych, ujawniając punkty odniesienia i wartości odstające w grupach zdarzeń. Jeśli liczba wyników przechwyconych przez zapytanie przekroczy próg skonfigurowany w regule, reguła generuje alert.
Firma Microsoft udostępnia szeroką gamę szablonów reguł analitycznych za pośrednictwem wielu rozwiązań dostępnych w centrum zawartości i zdecydowanie zachęca cię do tworzenia reguł przy użyciu tych szablonów. Zapytania w zaplanowanych szablonach reguł są pisane przez ekspertów ds. zabezpieczeń i nauki o danych od firmy Microsoft lub od dostawcy rozwiązania dostarczającego szablon.
W tym artykule pokazano, jak utworzyć zaplanowaną regułę analizy przy użyciu szablonu.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.
Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.
Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).
Wyświetlanie istniejących reguł analizy
Aby wyświetlić zainstalowane reguły analizy w usłudze Microsoft Sentinel, przejdź do strony Analiza . Na karcie Szablony reguł są wyświetlane wszystkie zainstalowane szablony reguł. Aby znaleźć więcej szablonów reguł, przejdź do centrum zawartości w usłudze Microsoft Sentinel, aby zainstalować powiązane rozwiązania produktów lub zawartość autonomiczną.
Z menu nawigacji usługi Microsoft Defender rozwiń węzeł Microsoft Sentinel, a następnie pozycję Konfiguracja. Wybierz pozycję Analizy.
Na ekranie Analiza wybierz kartę Szablony reguł.
Jeśli chcesz filtrować listę szablonów zaplanowanych :
Wybierz pozycję Dodaj filtr i wybierz pozycję Typ reguły z listy filtrów.
Z wyświetlonej listy wybierz pozycję Zaplanowane. Następnie wybierz pozycję Zastosuj.
Tworzenie reguły na podstawie szablonu
W tej procedurze opisano sposób tworzenia reguły analizy na podstawie szablonu.
Z menu nawigacji usługi Microsoft Defender rozwiń węzeł Microsoft Sentinel, a następnie pozycję Konfiguracja. Wybierz pozycję Analizy.
Na ekranie Analiza wybierz kartę Szablony reguł.
Wybierz nazwę szablonu, a następnie wybierz przycisk Utwórz regułę w okienku szczegółów, aby utworzyć nową aktywną regułę na podstawie tego szablonu.
Każdy szablon zawiera listę wymaganych źródeł danych. Po otwarciu szablonu źródła danych są automatycznie sprawdzane pod kątem dostępności. Jeśli źródło danych nie jest włączone, przycisk Utwórz regułę może być wyłączony lub może zostać wyświetlony komunikat z tym skutkiem.
Zostanie otwarty kreator tworzenia reguły. Wszystkie szczegóły są wypełniane automatycznie.
Przejrzyj karty kreatora, dostosowując logikę i inne ustawienia reguły, jeśli jest to możliwe, aby lepiej dopasować je do konkretnych potrzeb. Aby uzyskać więcej informacji, zobacz:
- język zapytań Kusto w usłudze Microsoft Sentinel
- Przewodnik szybkich dokumentacji języka KQL
- Najlepsze rozwiązania dotyczące zapytań język zapytań Kusto
Po końcu kreatora tworzenia reguły usługa Microsoft Sentinel tworzy regułę. Nowa reguła zostanie wyświetlona na karcie Aktywne reguły .
Powtórz proces, aby utworzyć więcej reguł. Aby uzyskać więcej informacji na temat dostosowywania reguł w kreatorze tworzenia reguł, zobacz Tworzenie niestandardowej reguły analizy od podstaw.
Napiwek
Upewnij się, że wszystkie reguły skojarzone z połączonymi źródłami danych są włączone, aby zapewnić pełne pokrycie zabezpieczeń dla danego środowiska. Najbardziej efektywnym sposobem włączenia reguł analizy jest bezpośrednio ze strony łącznika danych, która zawiera listę powiązanych reguł. Aby uzyskać więcej informacji, zobacz Łączenie źródeł danych.
Reguły wypychania do usługi Microsoft Sentinel można również wypychać za pośrednictwem interfejsu API i programu PowerShell, chociaż wymaga to dodatkowego nakładu pracy.
W przypadku korzystania z interfejsu API lub programu PowerShell należy najpierw wyeksportować reguły do formatu JSON przed włączeniem reguł. Interfejs API lub program PowerShell może być przydatny podczas włączania reguł w wielu wystąpieniach usługi Microsoft Sentinel z identycznymi ustawieniami w każdym wystąpieniu.
Następne kroki
W tym dokumencie przedstawiono sposób tworzenia zaplanowanych reguł analizy na podstawie szablonów w usłudze Microsoft Sentinel.
- Dowiedz się więcej o regułach analizy.
- Dowiedz się, jak utworzyć regułę analizy od podstaw.