Správa analytických pravidel
Správa analytických pravidel
Analytická pravidla byste měli průběžně spravovat, abyste snížili šum a filtrovali jen důležitější detekované hrozby. To pomáhá zajistit, aby vaše pravidla zůstala užitečná a efektivní při zjišťování potenciálních bezpečnostních hrozeb.
U existujících aktivních pravidel můžete provádět následující 4 akce:
Upravit
Zakázat
Duplikát
Odstranění
Úpravy pravidel
Existující pravidla můžete upravovat po výběru možnosti upravit v podokně podrobností. Při úpravách pravidel procházíte stejné stránky jako při jejich vytváření. Dřívější vstupy, které jste použili k vytvoření pravidla, zůstávají zachované. Změnou kterýchkoli vlastností pravidla můžete doladit výsledek detekce hrozeb.
Typickou úpravou, kterou můžete chtít implementovat, je připojení automatizované odpovědi na detekovanou hrozbu. Provedete to třeba tak, že na stránce Automatizovaná odpověď vyberete jeden z existujících playbooků. Ten definuje automatizovanou aktivitu, která se spustí při zjištění hrozby.
Analytické pravidlo může například zjistit incident, který už byl vyřešen, a vy chcete omezit další výstrahy, když se objeví podobná aktivita. Připojením playbooku s automatizovanou aktivitou můžete při zjištění podobného incidentu změnit jeho stav nebo k němu přidat komentáře.
Zakázání pravidel
Pravidlo můžete zakázat, když provádíte aktivitu, která může aktivovat upozornění pravidla. Zakázaná pravidla si uchovávají svou konfiguraci a můžete je později znovu povolit.
Duplikování pravidel
Po duplikaci obsahuje pravidlo úplně stejnou konfiguraci jako původní pravidlo. Můžete ji upravit podle konkrétních potřeb. Nezapomeňte změnit název duplikovaného pravidla, protože ve výchozím nastavení má stejný název jako původní pravidlo – jen se k němu připojí řetězec označující, že jde o kopii.
Odstraňování pravidel
Odstraněním pravidla se zobrazí výzva k potvrzení před tím, než ho Služba Microsoft Sentinel Analytics odebere ze sady aktivních pravidel. Můžete například odstranit pravidlo týkající se služby nebo prostředku, který se už nepoužívá, takže je nadbytečné. Odstranění pravidla je trvalé a není k dispozici funkce vrácení zpět. Proto doporučujeme, abyste pravidlo nejprve na určitou dobu zakázali – dokud si nebudete jisti, že ho skutečně nepotřebujete.