排查 Microsoft Sentinel 中的分析规则问题

本文介绍如何处理在 Microsoft Sentinel 中执行计划的分析规则时可能出现的某些问题。

问题:查询结果中未显示事件

当“事件分组”设置为“为每个事件触发警报”时,稍后查看的查询结果可能缺失或与预期不同。 例如,以后在调查相关事件时你可能会查看查询的结果,并在调查过程中回头查看此查询的先前结果。

结果随警报一起自动保存。 但是,如果结果太大,则不保存任何结果,再次查看查询结果时将不会显示任何数据。

如果存在引入延迟,或者由于聚合导致查询不确定,则警报的结果可能与手动运行查询显示的结果不同。

为了解决此问题,当规则具有此事件分组设置时,Microsoft Sentinel 会将 OriginalQuery 字段添加到查询结果中。 以下比较了现有 Query 字段和新字段

字段名称 包含 在此字段中运行查询
结果...
查询 生成此警报实例的事件的压缩记录。 生成此警报实例的事件;
限制为 10 KB。
OriginalQuery 在分析规则中编写的原始查询。 运行查询的时间范围内的最近事件,这些事件符合查询定义的参数。

换言之,OriginalQuery 字段的行为与默认事件分组设置下的 Query 字段的行为类似

问题:计划的规则执行失败,或显示时其名称中添加了“自动禁用”

计划的查询规则运行失败,这种情况很少见,但也有可能发生。 根据故障的特定类型和导致故障的情况,Microsoft Sentinel 预先将故障分类为“暂时性”或“永久性”。

暂时性故障

暂时性故障是由于暂时性的情况而发生的,很快就会恢复正常,到时规则执行将会成功。 Microsoft Sentinel 分类为暂时性故障的一些示例:

  • 规则查询运行时间过长并超时。
  • 数据源和 Log Analytics 之间或 Log Analytics 与 Microsoft Sentinel 之间的连接出现问题。
  • 任何其他新故障和未知故障都被视为暂时性故障。

出现暂时性故障时,Microsoft Sentinel 会在预定的、不断增加的时间间隔后,继续尝试重新执行规则,一直持续到某个时间点。 在此之后,规则将只会在下一个计划的时间重新运行。 规则永远不会因暂时性故障而自动禁用。

永久性故障 - 规则已自动禁用

永久性故障是由允许规则运行的条件发生变化(如果没有人工干预,这些条件无法恢复到以前的状态)导致的。 分类为永久性故障的示例:

  • 目标工作区(对其运行了规则查询的工作区)已被删除。
  • 目标表(对其运行了规则查询的表)已被删除。
  • Microsoft Sentinel 已从目标工作区中删除。
  • 规则查询使用的某个函数不再有效;已被修改或删除。
  • 对规则查询数据源之一的权限以发生更改(参阅示例)。
  • 规则查询的数据源之一已被删除。

如果同一个规则连续出现预定数量、同种类型的永久性故障,Microsoft Sentinel 将停止尝试执行该规则,还会执行以下步骤:

  1. 禁用规则。
  2. 将“自动禁用”字样添加到规则名称的开头。
  3. 将故障(和禁用)原因添加到规则的说明中。

通过按名称对规则列表进行排序,可以轻松确定是否存在自动禁用的规则。 自动禁用的规则位于列表顶部或靠近顶部。

SOC 管理员务必要定期检查规则列表,确定是否存在自动禁用的规则。

由于资源耗尽而出现永久性故障

另一种永久性故障是由于查询构建不正确而发生的,该查询会导致规则消耗过多的计算资源,并有耗尽系统性能的风险。 当 Microsoft Sentinel 识别出此类规则时,它会针对其他永久性故障执行上述三个相同步骤:禁用规则,在规则名称前面附加“AUTO DISABLED”,以及将故障原因添加到说明中

若要重新启用该规则,必须解决导致其使用过多资源的查询中的问题。 有关优化 Kusto 查询的最佳做法,请参阅以下文章:

另请参阅用于在 Microsoft Sentinel 中使用 Kusto 查询语言的有用资源,以获取进一步的帮助。

由于失去跨订阅/租户的访问权限而永久失败

由于数据源上的权限更改(参阅列表)而可能发生永久失败的一个特定示例涉及 Microsoft 安全解决方案提供商 (MSSP) 的情况,或者分析规则跨订阅或租户进行查询的任何其他方案。

在创建分析规则时,访问权限令牌将应用于该规则并与其一起保存。 此令牌可确保规则可以访问包含规则查询引用的表的工作区,并且即使规则创建者失去对该工作区的访问权限,也会保持此访问权限。

但是,有一种例外情况:在创建规则以访问其他订阅或租户中的工作区(例如对于 MSSP 所发生的情况)时,Microsoft Sentinel 会采取额外的安全措施来防止未经授权访问客户数据。 此类规则具有创建规则(这些规则应用于这些数据)的用户的凭据,而不是独立的访问令牌。 当用户不再有权访问其他租户时,该规则将停止工作。

如果在跨订阅或跨租户方案中操作 Microsoft Sentinel,并且其中一名分析师或工程师失去对特定工作区的访问权限,则该用户创建的任何规则将会停止工作。 你将收到有关“资源访问权限不足”的运行状况监视消息,并将根据上述程序自动禁用该规则。

后续步骤

有关详细信息,请参阅: