从模板创建计划分析规则

到目前为止,最常见的分析规则类型是“计划”规则,它基于 Kusto 查询,这些查询配置为定期运行,并检查定义的“回溯”周期中的原始数据。 这些查询可以对其目标数据执行复杂的统计操作,并显示事件组中的基线和离群值。 如果查询捕获的结果数超过了规则中配置的阈值,规则将生成警报。

Azure 通过内容中心内提供的众多解决方案为你提供大量分析规则模板,强烈建议使用它们来创建规则。 计划规则模板中的查询由安全和数据科学专家编写,这些专家可能来自 Microsoft,也可能来自提供模板的解决方案供应商。

本文介绍如何使用模板创建计划分析规则。

查看现有分析规则

要查看 Microsoft Sentinel 中已安装的分析规则,请转到“分析”页面。 “规则模板”选项卡显示所有已安装的规则模板。 要查找更多规则模板,请转到 Microsoft Sentinel 中的内容中心以安装相关产品解决方案或独立内容。

  1. 从 Microsoft Sentinel 导航菜单的“配置”部分选择“分析”。

  2. 在“分析”屏幕上,选择“规则模板”选项卡

  3. 如果要筛选“计划”模板列表

    1. 选择“添加筛选器”,并从筛选器列表中选择规则类型。

    2. 从生成的列表中选择“计划”。 然后,选择应用

    Microsoft Azure 门户中计划分析规则模板的屏幕截图。

基于模板创建规则

此过程介绍如何基于模板创建分析规则。

从 Microsoft Sentinel 导航菜单的“配置”部分选择“分析”。

  1. 在“分析”屏幕上,选择“规则模板”选项卡

  2. 选择模板名称,然后在详细信息窗格中选择“创建规则”按钮,以创建基于该模板的新活动规则

    每个模板都具有所需数据源的列表。 打开模板时,会自动检查数据源的可用性。 如果未启用数据源,可能会禁用“创建规则”按钮,或者可能会看到一条相关消息。

    分析规则预览面板的屏幕截图。

  3. 规则创建向导随即打开。 所有详细信息都会自动填充。

  4. 循环浏览向导选项卡,尽可能自定义逻辑和其他规则设置,以便更好地满足你的特定需求。

    当你完成规则创建向导时,Microsoft Sentinel 将创建规则。 新规则将显示在“活动规则”选项卡中。

    重复此过程以创建更多规则。 有关如何在规则创建向导中自定义规则的详细信息,请参阅从头开始创建自定义分析规则

提示

  • 请确保启用与连接的数据源关联的所有规则,从而确保环境的完整安全覆盖。 启用分析规则的最有效方法是直接从数据连接器页面操作,该页面列出了所有相关规则。 有关详细信息,请参阅连接数据源

  • 此外,也可以通过 APIPowerShell 将规则推送到 Microsoft Sentinel,但这样做需要额外的工作量。

    使用 API 或 PowerShell 时,必须先将规则导出到 JSON,然后才能启用规则。 在 Microsoft Sentinel 的多个实例(每个实例的设置都相同)中启用规则时,API 或 PowerShell 可能会有所帮助。

后续步骤

在本文档中,你学习了如何在 Microsoft Sentinel 中基于模板创建计划分析规则。