Předchozí

Další

Správa analytických pravidel

Dokončeno

Správa analytických pravidel

Analytická pravidla byste měli průběžně spravovat, abyste snížili šum a filtrovali jen důležitější detekované hrozby. To pomáhá zajistit, aby vaše pravidla zůstala užitečná a efektivní při zjišťování potenciálních bezpečnostních hrozeb.

U existujících aktivních pravidel můžete provádět následující 4 akce:

• Upravit

• Zakázat

• Duplikát

• Odstranění

Úpravy pravidel

Existující pravidla můžete upravovat po výběru možnosti upravit v podokně podrobností. Při úpravách pravidel procházíte stejné stránky jako při jejich vytváření. Dřívější vstupy, které jste použili k vytvoření pravidla, zůstávají zachované. Změnou kterýchkoli vlastností pravidla můžete doladit výsledek detekce hrozeb.

Typickou úpravou, kterou můžete chtít implementovat, je připojení automatizované odpovědi na detekovanou hrozbu. Provedete to třeba tak, že na stránce Automatizovaná odpověď vyberete jeden z existujících playbooků. Ten definuje automatizovanou aktivitu, která se spustí při zjištění hrozby.

Analytické pravidlo může například zjistit incident, který už byl vyřešen, a vy chcete omezit další výstrahy, když se objeví podobná aktivita. Připojením playbooku s automatizovanou aktivitou můžete při zjištění podobného incidentu změnit jeho stav nebo k němu přidat komentáře.

Zakázání pravidel

Pravidlo můžete zakázat, když provádíte aktivitu, která může aktivovat upozornění pravidla. Zakázaná pravidla si uchovávají svou konfiguraci a můžete je později znovu povolit.

Duplikování pravidel

Po duplikaci obsahuje pravidlo úplně stejnou konfiguraci jako původní pravidlo. Můžete ji upravit podle konkrétních potřeb. Nezapomeňte změnit název duplikovaného pravidla, protože ve výchozím nastavení má stejný název jako původní pravidlo – jen se k němu připojí řetězec označující, že jde o kopii.

Odstraňování pravidel

Odstraněním pravidla se zobrazí výzva k potvrzení před tím, než ho Služba Microsoft Sentinel Analytics odebere ze sady aktivních pravidel. Můžete například odstranit pravidlo týkající se služby nebo prostředku, který se už nepoužívá, takže je nadbytečné. Odstranění pravidla je trvalé a není k dispozici funkce vrácení zpět. Proto doporučujeme, abyste pravidlo nejprve na určitou dobu zakázali – dokud si nebudete jisti, že ho skutečně nepotřebujete.

Prověřte si své znalosti

1.

Kvůli probíhající údržbě je nutné dočasně přerušit příjem výstrah z analytických pravidel. Jakou akci byste měli u pravidla povolit pro dosažení této konfigurace?

Odstranění

Zakázat

Duplikát

2.

Jak existující analytické pravidlo nejefektivněji upravíte?

Výstrahu odstraníte a znovu ji vytvoříte s novou logikou.

Pravidlo duplikujete a pak ho upravíte tak, abyste dosáhli nezbytných změn.

Vytvoříte nové pravidlo.

Před kontrolou vaší práce musíte odpovědět na všechny dotazy.

Pokračovat