你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

从模板创建计划分析规则

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

到目前为止,最常见的分析规则类型是“计划”规则,它基于 Kusto 查询,这些查询配置为定期运行,并检查定义的“回溯”周期中的原始数据。 这些查询可以对其目标数据执行复杂的统计操作,并显示事件组中的基线和离群值。 如果查询捕获的结果数超过了规则中配置的阈值,规则将生成警报。

Microsoft 通过内容中心中提供的众多解决方案为你提供大量的分析规则模板,强烈建议你使用它们来创建规则。 计划规则模板中的查询由安全和数据科学专家编写,这些专家可能来自 Microsoft,也可能来自提供模板的解决方案供应商。

本文介绍如何使用模板创建计划分析规则。

重要

Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全运营平台的一部分提供。 现支持在 Defender 门户中将 Microsoft Sentinel 用于生产。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

查看现有分析规则

要查看 Microsoft Sentinel 中已安装的分析规则,请转到“分析”页面。 “规则模板”选项卡显示所有已安装的规则模板。 要查找更多规则模板,请转到 Microsoft Sentinel 中的内容中心以安装相关产品解决方案或独立内容。

  1. 从 Microsoft Sentinel 导航菜单的“配置”部分选择“分析”。

  2. 在“分析”屏幕上,选择“规则模板”选项卡

  3. 如果要筛选“计划”模板列表

    1. 选择“添加筛选器”,并从筛选器列表中选择规则类型。

    2. 从生成的列表中选择“计划”。 然后,选择应用

    Microsoft Azure 门户中计划分析规则模板的屏幕截图。

基于模板创建规则

此过程介绍如何基于模板创建分析规则。

从 Microsoft Sentinel 导航菜单的“配置”部分选择“分析”。

  1. 在“分析”屏幕上,选择“规则模板”选项卡

  2. 选择模板名称,然后在详细信息窗格中选择“创建规则”按钮,以创建基于该模板的新活动规则

    每个模板都具有所需数据源的列表。 打开模板时,会自动检查数据源的可用性。 如果未启用数据源,可能会禁用“创建规则”按钮,或者可能会看到一条相关消息。

    分析规则预览面板的屏幕截图。

  3. 规则创建向导随即打开。 所有详细信息都会自动填充。

  4. 循环浏览向导选项卡,尽可能自定义逻辑和其他规则设置,以便更好地满足你的特定需求。

    当你完成规则创建向导时,Microsoft Sentinel 将创建规则。 新规则将显示在“活动规则”选项卡中。

    重复此过程以创建更多规则。 有关如何在规则创建向导中自定义规则的详细信息,请参阅从头开始创建自定义分析规则

提示

  • 请确保启用与连接的数据源关联的所有规则,从而确保环境的完整安全覆盖。 启用分析规则的最有效方法是直接从数据连接器页面操作,该页面列出了所有相关规则。 有关详细信息,请参阅连接数据源

  • 此外,也可以通过 APIPowerShell 将规则推送到 Microsoft Sentinel,但这样做需要额外的工作量。

    使用 API 或 PowerShell 时,必须先将规则导出到 JSON,然后才能启用规则。 在 Microsoft Sentinel 的多个实例(每个实例的设置都相同)中启用规则时,API 或 PowerShell 可能会有所帮助。

后续步骤

在本文档中,你学习了如何在 Microsoft Sentinel 中基于模板创建计划分析规则。