Creare regole di analisi pianificata dai modelli

Il tipo di regola di analisi di gran lunga più comune, le regole pianificate si basano su query Kusto configurate per essere eseguite a intervalli regolari ed esaminano i dati grezzi di un intervallo di "lookback" definito. Queste query possono eseguire operazioni statistiche complesse sui dati di riferimento, individuando valori di base e valori anomali in gruppi di eventi. Se il numero di risultati acquisiti dalla query supera la soglia configurata nella regola, la regola genera un avviso.

Microsoft rende disponibile una vasta gamma di modelli di regole di analisi tramite le numerose soluzioni disponibili nell'hub contenuto e incoraggia vivamente l'utente a usarli per creare le regole. Le query nei modelli di regole pianificate vengono scritte da esperti di sicurezza e data science, da Microsoft o dal fornitore della soluzione che fornisce il modello.

Questo articolo illustra come creare una regola di analisi pianificata usando un modello.

Importante

Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.

Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.

Visualizzare le regole di analisi esistenti

Per visualizzare le regole di analisi installate in Microsoft Sentinel, passare alla pagina Analisi. Nella scheda Modelli di regola vengono visualizzati tutti i modelli di regola installati. Per trovare altri modelli di regola, passare all'hub contenuto in Microsoft Sentinel per installare soluzioni di prodotto contenenti i modelli di regola necessari o installare contenuto autonomo.

  1. Dal menu di navigazione di Microsoft Defender, espandere Microsoft Sentinel, quindi Configurazione. Selezionare Analisi.

  2. Nella schermata Analisi selezionare la scheda Modelli di regola .

  3. Se vuoi filtrare l'elenco in base ai template pianificati:

    1. Selezionare Aggiungi filtro e scegliere Tipo di regola dall'elenco dei filtri.

    2. Nell'elenco risultante selezionare Pianificato. Selezionare quindi Applica.

    Schermata dei modelli di regole di analisi pianificate nel portale Microsoft Defender.

Creare una regola da un modello

Questa procedura descrive come creare una regola di analisi da un modello.

Dal menu di navigazione di Microsoft Defender, espandere Microsoft Sentinel, quindi Configurazione. Selezionare Analisi.

  1. Nella schermata Analisi selezionare la scheda Modelli di regola .

  2. Selezionare un nome di modello e quindi selezionare il pulsante Crea regola nel riquadro dei dettagli per creare una nuova regola attiva basata su tale modello.

    Ogni modello include un elenco di origini dati necessarie. Quando si apre il modello selezionato, le origini dati vengono controllate automaticamente per la disponibilità. Se un'origine dati non è abilitata, il pulsante Crea regola potrebbe essere disabilitato o potrebbe essere visualizzato un messaggio in tal modo.

    Screenshot del pannello di anteprima delle regole di analisi.

  3. Si apre la procedura guidata per la creazione delle regole. Tutti i dettagli vengono riempiti automaticamente.

  4. Scorrere le schede della procedura guidata, personalizzando la logica e altre impostazioni delle regole, dove possibile, in base alle esigenze specifiche. Per altre informazioni, vedere:

    Quando si raggiunge la fine della procedura guidata per la creazione della regola, Microsoft Sentinel crea la regola. La nuova regola viene visualizzata nella scheda Regole attive .

    Ripetere il processo per creare altre regole. Per altre informazioni su come personalizzare le regole nella creazione guidata delle regole, vedere Creare una regola di analisi personalizzata da zero.

Consiglio

  • Assicurarsi di abilitare tutte le regole associate alle origini dati connesse per garantire una copertura di sicurezza completa per l'ambiente. Il modo più efficiente per abilitare le regole di analisi è direttamente dalla pagina del connettore dati, che elenca tutte le regole correlate. Per altre informazioni, vedere Connettere origini dati.

  • È anche possibile eseguire il push delle regole in Microsoft Sentinel tramite l'API REST Microsoft Sentinel e PowerShell, anche se questa operazione richiede ulteriore sforzo.

    Quando si usa l'API o PowerShell, è prima necessario esportare le regole di analisi da abilitare in JSON prima di abilitarle. L'API o PowerShell può essere utile quando si abilitano regole in più istanze di Microsoft Sentinel con impostazioni identiche in ogni istanza.

Passaggi successivi