Microsoft Sentinel'de analiz kuralları sorunlarını giderme
Bu makalede, Microsoft Sentinel'de zamanlanmış analiz kurallarının yürütülmesiyle ortaya çıkabilecek bazı sorunlarla nasıl başa çıkıldığı açıklanmaktadır.
Sorun: Sorgu sonuçlarında hiçbir olay görünmüyor
Olay gruplandırma, her olay için bir uyarı tetiklenecek şekilde ayarlandığında, daha sonra görüntülenen sorgu sonuçları eksik veya beklenenden farklı görünebilir. Örneğin, ilgili bir olayı araştırırken daha sonra bir sorgunun sonuçlarını görüntüleyebilir ve bu araştırmanın bir parçası olarak bu sorgunun önceki sonuçlarına geri dönmeye karar vekleyebilirsiniz.
Sonuçlar uyarılarla birlikte otomatik olarak kaydedilir. Ancak, sonuçlar çok büyükse hiçbir sonuç kaydedilmez ve sorgu sonuçları yeniden görüntülenirken hiçbir veri görüntülenmez.
Alma gecikmesi olduğu veya toplama nedeniyle sorgunun belirlenimci olmadığı durumlarda, uyarının sonucu sorguyu el ile çalıştırarak gösterilen sonuçtan farklı olabilir.
Bu sorunu çözmek için, bir kuralda bu olay gruplandırma ayarı olduğunda, Microsoft Sentinel sorgunun sonuçlarına OriginalQuery alanını ekler. Mevcut Sorgu alanıyla yeni alanın karşılaştırması aşağıdadır:
Alan adı | Contains | Sorguyu bu alanda çalıştırma sonuç olarak... |
---|---|---|
Sorgu | Uyarının bu örneğini oluşturan olayın sıkıştırılmış kaydı. | Uyarının bu örneğini oluşturan olay; 10 kilobayt ile sınırlıdır. |
OriginalQuery | Analiz kuralında yazılan özgün sorgu. | Sorgunun çalıştırıldığı zaman çerçevesi içinde, sorgu tarafından tanımlanan parametrelere uyan en son olay. |
Başka bir deyişle, OriginalQuery alanı , Sorgu alanının varsayılan olay gruplandırma ayarı altında davrandığını gösterir.
Sorun: Zamanlanmış bir kural yürütülemedi veya adına AUTO DISABLED eklenmiş
Zamanlanmış sorgu kuralının çalıştırılaması nadir görülen bir durumdur, ancak gerçekleşebilir. Microsoft Sentinel, hataları belirli bir hata türüne ve buna yol açan koşullara göre geçici veya kalıcı olarak sınıflandırır.
Geçici hata
Geçici bir hata, geçici olan ve kısa süre içinde normale dönen bir durumdan kaynaklanıp kural yürütmenin başarılı olması nedeniyle oluşur. Microsoft Sentinel'in geçici olarak sınıflandırır hatalarına bazı örnekler şunlardır:
- Kural sorgusu çalıştırılıp zaman aşımına uğradı.
- Veri kaynaklarıyla Log Analytics arasındaki veya Log Analytics ile Microsoft Sentinel arasındaki bağlantı sorunları.
- Diğer tüm yeni ve bilinmeyen hatalar geçici olarak kabul edilir.
Geçici bir hata durumunda, Microsoft Sentinel belirli bir noktaya kadar önceden belirlenmiş ve sürekli artan aralıklardan sonra kuralı yeniden yürütmeye çalışmaya devam eder. Bundan sonra, kural yalnızca bir sonraki zamanlanmış zamanında yeniden çalışır. Bir kural, geçici bir hata nedeniyle hiçbir zaman otomatik olarak dağıtılamaz.
Kalıcı hata—kural otomatik olarak dağıtılabilir
Kalıcı bir hata, kuralın çalışmasına izin veren koşullardaki ve insan müdahalesi olmadan eski durumuna geri dönemeyen bir değişiklik nedeniyle oluşur. Aşağıda, kalıcı olarak sınıflandırılan hata örnekleri verilmiştir:
- Hedef çalışma alanı (kural sorgusunun üzerinde çalıştığı) silindi.
- Hedef tablo (kural sorgusunun üzerinde çalıştığı) silindi.
- Microsoft Sentinel hedef çalışma alanından kaldırıldı.
- Kural sorgusu tarafından kullanılan bir işlev artık geçerli değil; değiştirilmiş veya kaldırılmıştır.
- Kural sorgusunun veri kaynaklarından birinin izinleri değiştirildi (örn. örn.
- Kural sorgusunun veri kaynaklarından biri silindi.
Aynı türde ve aynı kuralda önceden belirlenmiş sayıda ardışık kalıcı hata olması durumunda, Microsoft Sentinel kuralı yürütmeyi denemeyi durdurur ve aşağıdaki adımları da uygular:
- Kuralı devre dışı bırakır.
- Kural adının başına "AUTO DISABLED" sözcüklerini ekler.
- Hatanın nedenini (ve devre dışı bırakma) kuralın açıklamasına ekler.
Kural listesini ada göre sıralayarak otomatik olarak dağıtılabilir kuralların varlığını kolayca belirleyebilirsiniz. Otomatik olarak dağıtılabilir kurallar listenin en üstünde veya en üstündedir.
SOC yöneticileri, otomatik olarak dağıtılabilir kuralların varlığı için kural listesini düzenli olarak denetlemelidir.
Kaynak boşaltma nedeniyle kalıcı hata
Kuralın aşırı bilgi işlem kaynaklarını kullanmasına neden olan ve sistemlerinizde performans tüketimine neden olan hatalı oluşturulmuş bir sorgu nedeniyle başka bir kalıcı hata türü oluşur. Microsoft Sentinel böyle bir kural tanımladığında, diğer kalıcı hata türleri için belirtilen üç adımın aynısını uygular; kuralı devre dışı bırakır, kural adına "AUTO DISABLED" ekler ve hatanın nedenini açıklamaya ekler.
Kuralı yeniden etkinleştirmek için sorguda çok fazla kaynak kullanmasına neden olan sorunları gidermeniz gerekir. Kusto sorgularınızı iyileştirmeye yönelik en iyi yöntemler için aşağıdaki makalelere bakın:
Ayrıca daha fazla yardım için bkz. Microsoft Sentinel'de Kusto Sorgu Dili ile çalışmak için yararlı kaynaklar.
Abonelikler/kiracılar arasında erişimin kaybolması nedeniyle kalıcı hata
Bir veri kaynağındaki izin değişikliğinden (listeye bakın) veya analiz kurallarının abonelikler veya kiracılar arasında sorgu yaptığı diğer senaryolar nedeniyle kalıcı bir hatanın ne zaman gerçekleşebileceğinin belirli bir örneğidir .
Analiz kuralı oluşturduğunuzda, kurala bir erişim izinleri belirteci uygulanır ve bu belirteçle birlikte kaydedilir. Bu belirteç, kuralın sorgu tarafından başvuruda bulunan tabloları içeren çalışma alanına erişebilmesini ve kuralı oluşturanın bu çalışma alanına erişimini kaybetmesi durumunda bile bu erişimin korunmasını sağlar.
Ancak bir özel durum vardır: MSSP söz konusu olduğunda gerçekleşenler gibi diğer aboneliklerdeki veya kiracılardaki çalışma alanlarına erişmek için bir kural oluşturulduğunda, Microsoft Sentinel müşteri verilerine yetkisiz erişimi önlemek için ek güvenlik önlemleri alır. Bu tür kurallar, bağımsız erişim belirteci yerine kuralı oluşturan kullanıcının kimlik bilgilerine uygulanır. Kullanıcının diğer kiracıya erişimi kalmadığında kural çalışmayı durdurur.
Microsoft Sentinel'i abonelikler arası veya kiracılar arası bir senaryoda çalıştırırsanız ve analistlerinizden veya mühendislerinizden biri belirli bir çalışma alanına erişimi kaybederse, söz konusu kullanıcı tarafından oluşturulan tüm kurallar çalışmayı durdurur. "Kaynağa yetersiz erişim" ile ilgili bir sistem durumu izleme iletisi alırsınız ve kural daha önce açıklanan yordama göre otomatik olarak dağıtılır.
Sonraki adımlar
Daha fazla bilgi için bkz.
- Öğretici: Microsoft Sentinel ile olayları araştırma
- Microsoft Sentinel'de olaylara gitme ve olayları araştırma - Önizleme
- Microsoft Sentinel'de varlıkları kullanarak verileri sınıflandırma ve analiz etme
- Öğretici: Microsoft Sentinel'de playbook'ları otomasyon kurallarıyla kullanma
Ayrıca, özel bağlayıcıyla Yakınlaştırma'yı izlerken özel analiz kurallarını kullanma örneğinden de bilgi edinin.