Správa verzí šablon pro plánovaná analytická pravidla v Microsoft Sentinelu

  • Článek

Důležité

Tato funkce je ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Úvod

Microsoft Sentinel obsahuje šablony analytických pravidel, které změníte na aktivní pravidla tím, že efektivně vytvoříte jejich kopii – to se stane, když vytvoříte pravidlo ze šablony. V tomto okamžiku se však aktivní pravidlo už k šabloně nepřipojí. Pokud jsou změny šablony pravidla provedeny techniky Microsoftu nebo kýmkoli jiným, nebudou se všechna pravidla vytvořená z této šablony předem dynamicky aktualizovat tak, aby odpovídala nové šabloně.

Pravidla vytvořená ze šablon si ale pamatují, ze kterých šablon pocházejí, což vám umožní dvě výhody:

  • Pokud jste pravidlo provedli při vytváření ze šablony nebo kdykoli později, můžete pravidlo kdykoli vrátit zpět na původní verzi.

  • Při aktualizaci šablony se zobrazí oznámení. Pravidla můžete buď aktualizovat na novou verzi jejich šablon, nebo je nechat tak, jak jsou.

V tomto článku se dozvíte, jak tyto úkoly spravovat a co je potřeba mít na paměti. Postupy probírané v článku platí pro všechna pravidla naplánované analýzy vytvořená ze šablon.

Zjištění čísla verze šablony pravidla

Při implementaci správy verzí šablon můžete zobrazit a sledovat verze šablon pravidel a pravidla vytvořená z nich. Pravidla s aktualizovanými šablonami zobrazují vedle názvu pravidla odznáček Aktualizovat.

  1. Na stránce Analýza vyberte kartu Aktivní pravidla.

  2. Vyberte libovolné pravidlo typu Naplánovano.

    • Pokud pravidlo zobrazí odznáček Aktualizovat, bude v podokně podrobností vedle tlačítka Upravit tlačítko Revize a aktualizace (viz obrázek 1 v dalším kroku).

    • Pokud se pravidlo vytvořilo ze šablony, ale nemá odznáček Aktualizovat, bude v podokně podrobností vedle tlačítka Upravit tlačítko Porovnat se šablonou (viz obrázky 2 a 3 v dalším kroku).

    • Pokud existuje jenom tlačítko Upravit , pravidlo se vytvořilo úplně od začátku, ne ze šablony.

      Snímek obrazovky se seznamem aktivních pravidel s oznámením, že je k dispozici aktualizace šablony

  3. Posuňte se dolů do dolní části podokna podrobností, kde vidíte dvě čísla verzí: verzi šablony, ze které bylo pravidlo vytvořeno, a nejnovější dostupnou verzi šablony.

    Snímek obrazovky s podoknem podrobností Posuňte se dolů a zobrazte čísla verzí šablony.

    Číslo je ve formátu 1.0.0 – hlavní verze, podverze a sestavení.

    • Rozdíl v čísle hlavní verze značí, že se změnilo něco podstatného v šabloně, které by mohlo ovlivnit, jak pravidlo detekuje hrozby nebo dokonce jeho schopnost fungovat úplně. Tuto změnu chcete zahrnout do pravidel.

    • Rozdíl v čísle podverze označuje menší zlepšení šablony – kosmetickou změnu nebo něco podobného – což by bylo "hezké mít", ale není důležité pro zachování funkčnosti, účinnosti nebo výkonu pravidla. Tuto změnu byste mohli stejně snadno přijmout nebo ji nechat.

    Poznámka:

    Obrázky 2 a 3 ukazují dva příklady pravidel vytvořených ze šablon, kde se šablona neaktualizovala.

    • Obrázek 2 ukazuje pravidlo, které má číslo verze pro aktuální šablonu. To signalizuje, že pravidlo bylo vytvořeno po počáteční implementaci správy verzí šablony microsoft Sentinelu v říjnu 2021.
    • Obrázek 3 ukazuje pravidlo, které nemá aktuální verzi šablony. To ukazuje, že pravidlo bylo vytvořeno před říjnem 2021. Pokud je k dispozici nejnovější verze šablony, je to pravděpodobně novější verze šablony než ta, která se používá k vytvoření pravidla.

Porovnání aktivního pravidla s jeho šablonou

Zvolte jednu z následujících karet podle akce, kterou chcete provést, a podívejte se na pokyny pro danou akci:

Po výběru pravidla a určení, že chcete zvážit jeho aktualizaci, vyberte v podokně podrobností možnost Zkontrolovat a aktualizovat (viz výše). Uvidíte, že průvodce analytickým pravidlem teď má kartu Porovnat s nejnovější verzí.

Na této kartě uvidíte souběžné porovnání mezi reprezentacemi existujícího pravidla YAML a nejnovější verzí šablony.

Snímek obrazovky s kartou Porovnat s nejnovější verzí v průvodci pravidlem Analytics

Poznámka:

Aktualizace tohoto pravidla přepíše stávající pravidlo nejnovější verzí šablony.

Všechny kroky automatizace nebo logiky, které odkazují na existující pravidlo, by se měly ověřit v případě, že se odkazované názvy změnily. Všechna vlastní nastavení, která jste provedli při vytváření původního pravidla – změny dotazu, plánování, seskupování nebo jiného nastavení – se můžou přepsat.

Aktualizace pravidla novou verzí šablony

  • Pokud jsou pro vás změny provedené v nové verzi šablony přijatelné a na nic jiného v původním pravidlu to neovlivní, vyberte zkontrolovat a aktualizovat , abyste změny ověřili a použili.

  • Pokud chcete pravidlo dále přizpůsobit nebo znovu použít všechny změny, které by jinak mohly být přepsány, vyberte Další: Vlastní změny. Projděte si zbývající karty průvodce analytickými pravidly a proveďte tyto změny a pak je ověřte a použijte na kartě Revize a aktualizace .

  • Pokud nechcete provádět žádné změny stávajícího pravidla, ale chcete zachovat stávající verzi šablony, jednoduše ukončete průvodce výběrem symbolu X v pravém horním rohu.

Další kroky

V tomto dokumentu jste se dozvěděli, jak sledovat verze šablon analytických pravidel Microsoft Sentinelu a jak vrátit aktivní pravidla k existujícím verzím šablon, nebo je aktualizovat na nové. Další informace o službě Microsoft Sentinel najdete v následujících článcích: