針對 Microsoft Sentinel 中的分析規則進行疑難解答
本文說明如何處理在 Microsoft Sentinel 中執行 排程分析規則 時可能發生的某些問題。
問題:查詢結果中不會出現任何事件
當事件群組設定為觸發每個事件的警示時,稍後檢視的查詢結果可能會遺失,或與預期不同。 例如,您可能會在稍後調查相關事件時檢視查詢的結果,而作為調查的一部分,您決定重新轉向此查詢的先前結果。
結果會自動與警示一起儲存。 不過,如果結果太大,則不會儲存任何結果,而且再次檢視查詢結果時不會顯示任何數據。
如果擷取延遲,或查詢因匯總而無法確定,則警示的結果可能與手動執行查詢所顯示的結果不同。
若要解決此問題,當規則具有此事件群組設定時,Microsoft Sentinel 會將 OriginalQuery 字段新增至查詢的結果。 以下是現有 [查詢 ] 欄位和新欄位的比較:
| 欄位名稱 | 包含 | 在此欄位中執行查詢 結果... |
|---|---|---|
| 查詢 | 產生此警示實例之事件的壓縮記錄。 | 產生此警示實例的事件; 限制為 10 KB。 |
| OriginalQuery | 以分析規則撰寫的原始查詢。 | 查詢執行的時間範圍內最新的事件,其符合查詢所定義的參數。 |
換句話說,OriginalQuery 欄位的行為就像查詢欄位在預設事件群組設定下的行為一樣。
問題:已排定的規則無法執行,或以名稱加上自動停用的方式顯示
排程的查詢規則無法執行是罕見的,但可能會發生。 Microsoft Sentinel 會根據特定類型的失敗和導致失敗的情況,將失敗分類為暫時性或永久性。
暫時性失敗
暫時性失敗是因為暫時性的情況,而且很快就會恢復正常,此時規則執行成功。 Microsoft Sentinel 分類為暫時性失敗的一些範例如下:
- 規則查詢需要太長的時間才能執行並逾時。
- 連線 數據源與Log Analytics之間的 連線性問題,或Log Analytics與 Microsoft Sentinel 之間的問題。
- 任何其他新的和未知的失敗都會被視為暫時性。
發生暫時性失敗時,Microsoft Sentinel 會在預先決定且不斷增加的間隔之後,繼續嘗試再次執行規則,最多一點。 之後,規則只會在下一個排程時間再次執行。 由於暫時性失敗,永遠不會自動開啟規則。
永久失敗 — 規則自動拒絕
永久失敗是因為允許規則執行的條件有所變更,而不需要人為介入就無法回到其先前的狀態。 以下是分類為永久失敗的一些範例:
- 已刪除規則查詢運作的目標工作區。
- 已刪除規則查詢運作的目標數據表。
- Microsoft Sentinel 已從目標工作區中移除。
- 規則查詢所使用的函式已不再有效;已修改或移除。
- 規則查詢其中一個數據源的許可權已變更(請參閱範例)。
- 規則查詢的其中一個數據源已刪除。
在預先決定的連續永久失敗數目、相同類型和相同規則時, Microsoft Sentinel 會停止嘗試執行規則,並且也採取下列步驟:
- 停用規則。
- 將 「AUTO DISABLED」 字組新增至規則名稱的開頭。
- 將失敗的原因(和停用)新增至規則的描述。
您可以藉由依名稱排序規則清單,輕鬆地判斷任何自動存取規則是否存在。 自動顯示的規則位於清單頂端或附近。
SOC 管理員應該務必定期檢查規則清單,以取得自動顯示規則。
因資源流失而永久失敗
另一種永久失敗是因為建 置不當的查詢 導致規則耗用 過多運算資源 ,並有可能在您的系統上耗盡效能。 當 Microsoft Sentinel 識別這類規則時,它會針對其他類型的永久失敗採取相同的三個步驟:停用規則、在規則名稱前面加上 “AUTO DISABLED” ,並將失敗的原因新增至描述。
若要重新啟用規則,您必須解決導致查詢使用太多資源的問題。 如需優化 Kusto 查詢的最佳做法,請參閱下列文章:
另請參閱在 Microsoft Sentinel 中使用 Kusto 查詢語言 的實用資源,以取得進一步的協助。
因跨訂用帳戶/租使用者存取遺失而永久失敗
發生永久失敗的其中一個特定範例,是因為數據源的許可權變更(請參閱清單)涉及 Microsoft 安全性解決方案提供者(MSSP)的情況,或分析規則跨訂用帳戶或租用戶查詢的任何其他案例。
當您建立分析規則時,訪問許可權令牌會套用至規則,並連同它一起儲存。 此令牌可確保規則可以存取包含規則查詢所參考之數據表的工作區,即使規則的建立者失去該工作區的存取權,此存取仍會維持。
不過,有一個例外狀況:當建立規則來存取其他訂用帳戶或租使用者中的工作區時,例如 MSSP 的情況,Microsoft Sentinel 會採取額外的安全性措施,以防止未經授權的客戶數據存取。 這些類型的規則具有建立套用規則的用戶認證,而不是獨立的存取令牌。 當使用者無法再存取其他租使用者時,規則就會停止運作。
如果您在跨訂用帳戶或跨租使用者案例中操作 Microsoft Sentinel,且其中一位分析師或工程師無法存取特定工作區,該使用者所建立的任何規則都會停止運作。 您將會收到有關「資源存取不足」的健康情況監視訊息,且規則將會 根據先前所述的程式自動顯示。
下一步
如需詳細資訊,請參閱