从模板创建计划分析规则
到目前为止,最常见的分析规则类型是“计划”规则,它基于 Kusto 查询,这些查询配置为定期运行,并检查定义的“回溯”周期中的原始数据。 这些查询可以对其目标数据执行复杂的统计操作,并显示事件组中的基线和离群值。 如果查询捕获的结果数超过了规则中配置的阈值,规则将生成警报。
Azure 通过内容中心内提供的众多解决方案为你提供大量分析规则模板,强烈建议使用它们来创建规则。 计划规则模板中的查询由安全和数据科学专家编写,这些专家可能来自 Microsoft,也可能来自提供模板的解决方案供应商。
本文介绍如何使用模板创建计划分析规则。
查看现有分析规则
要查看 Microsoft Sentinel 中已安装的分析规则,请转到“分析”页面。 “规则模板”选项卡显示所有已安装的规则模板。 要查找更多规则模板,请转到 Microsoft Sentinel 中的内容中心以安装相关产品解决方案或独立内容。
从 Microsoft Sentinel 导航菜单的“配置”部分选择“分析”。
在“分析”屏幕上,选择“规则模板”选项卡。
如果要筛选“计划”模板列表:
选择“添加筛选器”,并从筛选器列表中选择规则类型。
从生成的列表中选择“计划”。 然后,选择应用。
基于模板创建规则
此过程介绍如何基于模板创建分析规则。
从 Microsoft Sentinel 导航菜单的“配置”部分选择“分析”。
在“分析”屏幕上,选择“规则模板”选项卡。
选择模板名称,然后在详细信息窗格中选择“创建规则”按钮,以创建基于该模板的新活动规则。
每个模板都具有所需数据源的列表。 打开模板时,会自动检查数据源的可用性。 如果未启用数据源,可能会禁用“创建规则”按钮,或者可能会看到一条相关消息。
规则创建向导随即打开。 所有详细信息都会自动填充。
循环浏览向导选项卡,尽可能自定义逻辑和其他规则设置,以便更好地满足你的特定需求。
当你完成规则创建向导时,Microsoft Sentinel 将创建规则。 新规则将显示在“活动规则”选项卡中。
重复此过程以创建更多规则。 有关如何在规则创建向导中自定义规则的详细信息,请参阅从头开始创建自定义分析规则。
提示
请确保启用与连接的数据源关联的所有规则,从而确保环境的完整安全覆盖。 启用分析规则的最有效方法是直接从数据连接器页面操作,该页面列出了所有相关规则。 有关详细信息,请参阅连接数据源。
此外,也可以通过 API 和 PowerShell 将规则推送到 Microsoft Sentinel,但这样做需要额外的工作量。
使用 API 或 PowerShell 时,必须先将规则导出到 JSON,然后才能启用规则。 在 Microsoft Sentinel 的多个实例(每个实例的设置都相同)中启用规则时,API 或 PowerShell 可能会有所帮助。
后续步骤
在本文档中,你学习了如何在 Microsoft Sentinel 中基于模板创建计划分析规则。
- 详细了解分析规则。
- 了解如何从头开始创建分析规则。