Dela via

Skapa schemalagda analysregler från mallar

  • Gäller för: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Den överlägset vanligaste typen av analysregel är schemalagda regler baserade på Kusto-frågor som är konfigurerade för att köras med jämna mellanrum och undersöka rådata från en definierad "lookback"-period. Dessa frågor kan utföra komplexa statistiska åtgärder på sina måldata, vilket avslöjar baslinjer och extremvärden i grupper av händelser. Om antalet resultat som samlas in av frågan överskrider tröskelvärdet som konfigurerats i regeln skapar regeln en avisering.

Microsoft gör en mängd olika analysregelmallar tillgängliga för dig via de många lösningar som tillhandahålls i innehållshubben och uppmuntrar dig starkt att använda dem för att skapa dina regler. Frågorna i schemalagda regelmallar skrivs av säkerhets- och datavetenskapsexperter, antingen från Microsoft eller från leverantören av lösningen som tillhandahåller mallen.

Den här artikeln visar hur du skapar en schemalagd analysregel med hjälp av en mall.

Viktigt!

Microsoft Sentinel är allmänt tillgängligt i Microsoft Defender-portalen, inklusive för kunder utan Microsoft Defender XDR eller en E5-licens.

Från och med juli 2026 omdirigeras alla kunder som använder Microsoft Sentinel i Azure-portalen till Defender-portalen och kommer endast att använda Microsoft Sentinel i Defender-portalen. Från och med juli 2025 registreras och omdirigeras många nya kunder automatiskt till Defender-portalen.

Om du fortfarande använder Microsoft Sentinel i Azure-portalen rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender. Mer information finns i It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Det är dags att flytta: Dra tillbaka Microsoft Sentinels Azure-portal för ökad säkerhet).

Visa befintliga analysregler

Om du vill visa de installerade analysreglerna i Microsoft Sentinel går du till sidan Analys . Fliken Regelmallar visar alla installerade regelmallar. Om du vill hitta fler regelmallar går du till innehållshubben i Microsoft Sentinel för att installera relaterade produktlösningar eller fristående innehåll.

  1. Från navigeringsmenyn i Microsoft Defender expanderar du Microsoft Sentinel och sedan Konfiguration. Välj analys.

  2. På skärmen Analys väljer du fliken Regelmallar.

  3. Om du vill filtrera listan för schemalagda mallar:

    1. Välj Lägg till filter och välj Regeltyp i listan med filter.

    2. I den resulterande listan väljer du Schemalagd. Välj därefter Tillämpa.

    Skärmbild av mallar för schemalagda analysregler i Microsoft Defender-portalen.

Skapa en regel från en mall

Den här proceduren beskriver hur du skapar en analysregel från en mall.

Från navigeringsmenyn i Microsoft Defender expanderar du Microsoft Sentinel och sedan Konfiguration. Välj analys.

  1. På skärmen Analys väljer du fliken Regelmallar.

  2. Välj ett mallnamn och välj sedan knappen Skapa regel i informationsfönstret för att skapa en ny aktiv regel baserat på mallen.

    Varje mall har en lista över nödvändiga datakällor. När du öppnar mallen kontrolleras datakällorna automatiskt för tillgänglighet. Om en datakälla inte är aktiverad kan knappen Skapa regel inaktiveras, eller så kan du se ett meddelande om detta.

    Skärmbild av panelen för förhandsversion av analysregeln.

  3. Guiden för att skapa regler öppnas. All information fylls i automatiskt.

  4. Bläddra igenom flikarna i guiden och anpassa logiken och andra regelinställningar där det är möjligt för att bättre passa dina specifika behov. Mer information finns i:

    När du kommer till slutet av guiden för att skapa regeln skapar Microsoft Sentinel regeln. Den nya regeln visas på fliken Aktiva regler .

    Upprepa processen för att skapa fler regler. Mer information om hur du anpassar dina regler i guiden för att skapa regler finns i Skapa en anpassad analysregel från grunden.

Dricks

  • Se till att du aktiverar alla regler som är associerade med dina anslutna datakällor för att säkerställa fullständig säkerhetstäckning för din miljö. Det mest effektiva sättet att aktivera analysregler är direkt från dataanslutningssidan, som visar alla relaterade regler. Mer information finns i Ansluta datakällor.

  • Du kan också push-överföra regler till Microsoft Sentinel via API och PowerShell, även om det kräver ytterligare arbete.

    När du använder API eller PowerShell måste du först exportera reglerna till JSON innan du aktiverar reglerna. API eller PowerShell kan vara till hjälp när du aktiverar regler i flera instanser av Microsoft Sentinel med identiska inställningar i varje instans.

Nästa steg

I det här dokumentet har du lärt dig hur du skapar schemalagda analysregler från mallar i Microsoft Sentinel.