Mengelola versi templat untuk aturan analitik terjadwal Anda di Microsoft Azure Sentinel

Penting

Fitur ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Pengantar

Microsoft Azure Sentinel dilengkapi dengan template aturan analitik yang Anda ubah menjadi aturan aktif dengan membuat salinannya secara efektif, itulah yang terjadi saat Anda membuat aturan dari template. Namun, pada saat itu, aturan aktif tidak lagi tersambung ke template. Jika perubahan dilakukan pada template aturan, oleh teknisi Microsoft atau orang lain, aturan apa pun yang dibuat dari template tersebut sebelumnya tidak diperbarui secara dinamis agar sesuai dengan template baru.

Namun, aturan yang dibuat dari templat memang mengingat dari template mana aturan tersebut berasal, yang memungkinkan Anda mendapatkan dua keuntungan:

• Jika Anda membuat perubahan pada aturan saat membuatnya dari templat (atau kapan saja setelah itu), Anda selalu dapat mengembalikan aturan ke versi aslinya (sebagai salinan templat).

• Anda bisa mendapatkan pemberitahuan saat template diperbarui, dan Anda akan memiliki pilihan untuk memperbarui aturan Anda ke versi baru template atau membiarkannya sebagaimana adanya.

Artikel ini akan menunjukkan kepada Anda cara mengelola tugas-tugas ini, dan hal yang perlu diingat. Prosedur yang dibahas di bawah berlaku untuk setiap aturan analisis Terjadwal yang dibuat dari template.

Menemukan nomor versi template aturan Anda

Dengan penerapan kontrol versi template, Anda dapat melihat dan melacak versi template aturan Anda dan aturan yang dibuat dari template. Aturan yang templatenya telah diperbarui menampilkan lencana “Pembaruan tersedia” di samping nama aturan.

1. Di bilah Analitik, pilih tab Template aturan.

2. Pilih aturan jenis Terjadwal apa pun.

   • Jika aturan menampilkan lencana “Perbarui tersedia”, panel detailnya akan memiliki tombol Tinjau dan perbarui di samping tombol Edit (lihat gambar 1 di langkah berikutnya di bawah).

   • Jika aturan dibuat dari template tetapi tidak memiliki lencana “Pembaruan tersedia”, panel detailnya akan memiliki tombol Bandingkan dengan template di samping tombol Edit (lihat gambar 2 dan 3 di langkah berikutnya di bawah).

   • Jika hanya ada tombol Edit, aturan tersebut dibuat dari awal, bukan dari template.

     

3. Gulir ke bawah ke bagian bawah panel detail, tempat Anda akan melihat dua nomor versi: versi template dari mana aturan dibuat, dan versi template terbaru yang tersedia.

   

   Angka tersebut dalam format "1.0.0" – versi utama, versi minor, dan build.

   • Perbedaan dalam nomor versi utama menunjukkan bahwa sesuatu yang penting dalam template diubah, yang dapat memengaruhi cara aturan mendeteksi ancaman atau bahkan semua kemampuannya untuk berfungsi. Ini adalah perubahan yang ingin Anda sertakan dalam aturan.

   • Perbedaan dalam nomor versi minor menunjukkan peningkatan kecil dalam template – perubahan fisik atau sesuatu yang serupa – yang akan "bagus untuk dimiliki" tetapi tidak penting untuk mempertahankan fungsionalitas, kemanjuran, atau performa aturan. Ini adalah perubahan yang dengan mudah bisa Anda ambil atau tinggalkan.

   Catatan

   Gambar 2 dan 3 di atas menunjukkan dua contoh aturan yang dibuat dari template, yang mana template belum diperbarui.

   • Gambar 2 menunjukkan aturan yang memiliki nomor versi untuk template saat ini. Ini menandakan bahwa aturan itu dibuat setelah implementasi awal kontrol versi template Microsoft Azure Sentinel pada Oktober 2021.
   • Gambar 3 menunjukkan aturan yang tidak memiliki versi template saat ini. Ini menunjukkan bahwa aturan tersebut telah dibuat sebelum Oktober 2021. Jika ada versi template terbaru yang tersedia, versi ini kemungkinan versi template yang lebih baru daripada yang digunakan untuk membuat aturan.

Membandingkan aturan aktif Anda dengan templatenya

Pilih salah satu tab berikut sesuai dengan tindakan yang ingin Anda ambil, untuk melihat petunjuk untuk tindakan tersebut:

Memperbarui templat

Setelah memilih aturan dan memutuskan bahwa Anda ingin mempertimbangkan pembaruannya, pilih Tinjau dan perbarui pada panel detail (lihat di atas). Anda akan melihat bahwa Wizard aturan analitik sekarang memiliki tab Bandingkan dengan versi terbaru.

Di tab ini, Anda akan melihat perbandingan secara berdampingan antara representasi YAML dari aturan yang ada dan versi terbaru dari template.

Catatan

Memperbarui aturan ini akan menimpa aturan yang ada dengan versi terbaru template.

Setiap langkah otomatisasi atau logika yang membuat referensi ke aturan yang ada harus diverifikasi, jika nama yang dirujuk telah diubah. Selain itu, penyesuaian apa pun yang Anda buat dalam membuat aturan asli - perubahan kueri, penjadwalan, pengelompokan, atau pengaturan lainnya - dapat ditimpa.

Memperbarui aturan Anda dengan versi template baru

• Jika perubahan yang dilakukan pada versi baru template dapat diterima oleh Anda, dan tidak ada hal lain dalam aturan asli Anda yang terpengaruh, pilih Tinjau dan perbarui untuk memvalidasi dan menerapkan perubahan.

• Jika Anda ingin menyesuaikan aturan lebih lanjut atau menerapkan kembali perubahan apa pun yang mungkin ditimpa, pilih Berikutnya: Perubahan kustom. Jika memilih ini, Anda akan menelusuri tab yang tersisa dari Wizard aturan analitik untuk membuat perubahan tersebut, setelah itu Anda akan memvalidasi dan menerapkan perubahan pada tab Tinjau dan perbarui.

• Jika Anda tidak ingin membuat perubahan pada aturan yang ada, namun untuk menjaga versi template yang ada, cukup keluar dari wizard dengan memilih X di pojok kanan atas.

Kembali ke template

Setelah memilih aturan dan menentukan bahwa Anda ingin kembali ke versi aslinya, pilih Bandingkan dengan template pada panel detail (lihat di atas). Anda akan melihat bahwa Wizard aturan analitik sekarang memiliki tab Bandingkan dengan versi terbaru.

Di tab ini, Anda akan melihat perbandingan secara berdampingan antara representasi YAML dari aturan yang ada dan versi terbaru dari template. Kedua nomor versi ini mungkin sama, tetapi sisi kiri menunjukkan aturan aktif termasuk perubahan yang telah dilakukan selama atau setelah pembuatannya dari template, sementara sisi kanan menunjukkan template yang tidak berubah.

Catatan

Memperbarui aturan ini akan menimpa aturan yang ada dengan versi terbaru template. Setiap langkah otomatisasi atau logika yang membuat referensi ke aturan yang ada harus diverifikasi, jika nama yang dirujuk telah diubah. Selain itu, penyesuaian apa pun yang Anda buat dalam membuat aturan asli - perubahan kueri, penjadwalan, pengelompokan, atau pengaturan lainnya - dapat ditimpa.

Mengembalikan aturan Anda ke versi template aslinya

• Jika Anda ingin mengembalikan sepenuhnya ke versi asli aturan ini - salinan template yang bersih - pilih Tinjau dan perbarui untuk memvalidasi dan menerapkan perubahan.

• Jika Anda ingin menyesuaikan aturan secara berbeda atau menerapkan kembali perubahan apa pun yang mungkin ditimpa, pilih Berikutnya: Perubahan kustom. Jika memilih ini, Anda akan menelusuri tab yang tersisa dari Wizard aturan analitik untuk membuat perubahan tersebut, setelah itu Anda akan memvalidasi dan menerapkan perubahan pada tab Tinjau dan perbarui.

• Jika Anda tidak ingin membuat perubahan pada aturan yang ada, cukup keluar dari wizard dengan memilih X di pojok kanan atas.

Langkah berikutnya

Dalam dokumen ini, Anda belajar cara melacak versi templat aturan analitik Microsoft Azure Sentinel Anda, dan mengembalikan aturan aktif ke versi templat yang ada, atau memperbaruinya ke yang baru. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut:

• Pelajari lebih lanjut tentang aturan analitik.
• Lihat detail selengkapnya tentang wizard aturan analitik.