إدارة إصدارات القوالب لقواعد التحليلات المجدولة في Microsoft Sentinel

  • مقالة
  • قراءة خلال 5 دقائق

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

هام

هذه الميزة موجودة في PREVIEW. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

مقدمة

يأتي Microsoft Sentinel مزودا بقوالب قواعد التحليلات التي تحولها إلى قواعد نشطة من خلال إنشاء نسخة منها بشكل فعال - وهذا ما يحدث عند إنشاء قاعدة من قالب. ومع ذلك، عند هذه النقطة، لم تعد القاعدة النشطة متصلة بالقالب. إذا تم إجراء تغييرات على قالب قاعدة، بواسطة مهندسي Microsoft أو أي شخص آخر، فلن يتم تحديث أي قواعد تم إنشاؤها من هذا القالب مسبقا ديناميكيا لمطابقة القالب الجديد.

ومع ذلك ، فإن القواعد التي تم إنشاؤها من القوالب تتذكر القوالب التي جاءت منها ، مما يتيح لك ميزتين:

  • إذا قمت بإجراء تغييرات على قاعدة عند إنشائها من قالب (أو في أي وقت بعد ذلك)، فيمكنك دائما إعادة القاعدة إلى نسختها الأصلية (كنسخة من القالب).

  • يمكنك الحصول على إشعار عند تحديث قالب، وسيكون لديك خيار تحديث قواعدك إلى الإصدار الجديد من قوالبها أو تركها كما هي.

ستوضح لك هذه المقالة كيفية إدارة هذه المهام ، وما يجب مراعاته. تنطبق الإجراءات التي تمت مناقشتها أدناه على أي قواعد للتحليلات المجدولة تم إنشاؤها من القوالب.

اكتشاف رقم إصدار قالب القاعدة

من خلال تنفيذ التحكم في إصدار القالب، يمكنك رؤية إصدارات قوالب القواعد والقواعد التي تم إنشاؤها منها وتعقبها. تعرض القواعد التي تم تحديث قوالبها شارة "يتوفر تحديث" بجوار اسم القاعدة.

  1. على شفرة Analytics ، حدد علامة التبويب القواعد النشطة .

  2. حدد أي قاعدة من النوع مجدول.

    • إذا كانت القاعدة تعرض شارة "التحديث المتوفر"، فسيحتوي جزء التفاصيل الخاص بها على زر مراجعة وتحديث بجوار الزر تحرير (انظر الصورة 1 في الخطوة التالية أدناه).

    • إذا تم إنشاء القاعدة من قالب ولكن لا تحتوي على شارة "التحديث المتوفر"، فسيحتوي جزء التفاصيل الخاص بها على زر مقارنة مع القالب بجوار الزر تحرير (راجع الصورتين 2 و3 في الخطوة التالية أدناه).

    • إذا كان هناك زر تحرير فقط، إنشاء القاعدة من البداية، وليس من قالب.

      Screenshot of active rules list, with badge indicating a template update is available.

  3. مرر لأسفل إلى أسفل جزء التفاصيل، حيث سترى رقمي إصدار: إصدار القالب الذي تم إنشاء القاعدة منه، وأحدث إصدار متوفر من القالب.

    Screenshot of details pane. Scroll down to see template version numbers.

    الرقم بتنسيق "1.0.0" - الإصدار الرئيسي والإصدار الثانوي والبناء.
    (في الوقت الحالي ، رقم الإصدار غير مستخدم وسيكون دائما 0.)

    • يشير الاختلاف في رقم الإصدار الرئيسي إلى أنه تم تغيير شيء أساسي في القالب ، مما قد يؤثر على كيفية اكتشاف القاعدة للتهديدات أو حتى قدرتها على العمل تماما. هذا تغيير ستحتاج إلى تضمينه في قواعدك.

    • يشير الاختلاف في رقم الإصدار البسيط إلى تحسن طفيف في القالب - تغيير تجميلي أو شيء مشابه - سيكون "من الجيد الحصول عليه" ولكنه ليس حاسما للحفاظ على وظائف القاعدة أو فعاليتها أو أدائها. هذا تغيير يمكنك بسهولة أخذه أو مغادرته.

    ملاحظة

    تعرض الصورتان 2 و3 أعلاه مثالين للقواعد التي تم إنشاؤها من القوالب، حيث لم يتم تحديث القالب.

    • تعرض الصورة 2 قاعدة تحتوي على رقم إصدار لقوالبها الحالي. يشير هذا إلى أنه تم إنشاء القاعدة بعد التنفيذ الأولي ل Microsoft Sentinel للتحكم في إصدار القالب في أكتوبر 2021.
    • تعرض الصورة 3 قاعدة لا تحتوي على إصدار قالب حالي. وهذا يدل على أن القاعدة قد تم إنشاؤها قبل أكتوبر 2021. إذا كان هناك أحدث إصدار قالب متاح، فمن المحتمل أن يكون إصدارا أحدث من القالب من الإصدار المستخدم لإنشاء القاعدة.

مقارنة القاعدة النشطة بقالبها

اختر إحدى علامات التبويب التالية وفقا للإجراء الذي ترغب في اتخاذه، للاطلاع على الإرشادات الخاصة بهذا الإجراء:

بعد تحديد قاعدة وتحديد أنك تريد التفكير في تحديثها، حدد مراجعة وتحديث في جزء التفاصيل (انظر أعلاه). سترى أن معالج قواعد Analytics يحتوي الآن على علامة تبويب مقارنة بأحدث إصدار .

في علامة التبويب هذه، سترى مقارنة جنبا إلى جنب بين تمثيلات YAML للقاعدة الحالية وأحدث إصدار من القالب.

Screenshot of 'Compare to latest version' tab in Analytics rule wizard.

ملاحظة

سيؤدي تحديث هذه القاعدة إلى الكتابة فوق القاعدة الحالية باستخدام أحدث إصدار من القالب.

يجب التحقق من أي خطوة أو منطق أتمتة يشير إلى القاعدة الموجودة، في حالة تغيير الأسماء المشار إليها. أيضا، قد يتم الكتابة فوق أي تخصيصات أجريتها في إنشاء القاعدة الأصلية - تغييرات في الاستعلام أو الجدولة أو التجميع أو الإعدادات الأخرى.

تحديث القاعدة باستخدام إصدار القالب الجديد

  • إذا كانت التغييرات التي تم إجراؤها على الإصدار الجديد من القالب مقبولة بالنسبة لك، ولم يتأثر أي شيء آخر في قاعدتك الأصلية، فحدد مراجعة وتحديث للتحقق من صحة التغييرات وتطبيقها.

  • إذا كنت تريد تخصيص القاعدة بشكل أكبر أو إعادة تطبيق أي تغييرات قد يتم الكتابة فوقها بطريقة أخرى، فحدد التالي: تغييرات مخصصة. إذا اخترت ذلك، فسوف تتنقل عبر علامات التبويب المتبقية في معالج قواعد Analytics لإجراء هذه التغييرات، وبعد ذلك ستقوم بالتحقق من صحة التغييرات وتطبيقها في علامة التبويب مراجعة وتحديث .

  • إذا كنت لا تريد إجراء أي تغييرات على قاعدتك الحالية، ولكن بدلا من ذلك الاحتفاظ بإصدار القالب الحالي، فما عليك سوى الخروج من المعالج عن طريق تحديد X في الزاوية العلوية اليسرى.

الخطوات التالية

في هذا المستند، تعلمت كيفية تعقب إصدارات قوالب قواعد تحليلات Microsoft Sentinel، وإما إرجاع القواعد النشطة إلى إصدارات القوالب الموجودة، أو تحديثها إلى إصدارات جديدة. لمعرفة المزيد حول Microsoft Sentinel، راجع المقالات التالية: