可以查看现有自定义检测规则的列表,检查其以前的运行,并查看触发的警报。 还可以按需运行规则并对其进行修改。
提示
自定义检测引发的警报通过警报和事件 API 提供。 有关详细信息,请参阅支持的Microsoft Defender XDR API。
对于已将Microsoft Sentinel工作区载入到统一Microsoft Defender门户的用户,自定义检测规则列表包括分析规则。 除非另有说明,否则以下部分也适用于分析规则。
查看现有规则
若要查看现有的自定义检测规则和分析规则,请导航到 “搜寻>自定义检测规则”。
可以通过转到 “添加筛选器”,选择要筛选的列,然后选择“ 添加”来筛选任何列。 对于每个所选列,请选择 “筛选器”旁边的相应药丸:,选择列,然后选择 “应用”。
若要搜索特定规则,请转到页面右上角的搜索框,并输入要查找的规则的名称或规则 ID。
对于将多个工作区加入到Microsoft Defender的多工作区组织,可以使用“工作区 ID”或“工作区名称”列筛选工作区。
该页列出了包含以下运行信息的所有规则:
- 上次运行 - 上次运行规则以检查查询匹配并生成警报时
- 上次运行状态 - 规则是否成功运行 (自定义检测规则仅)
- 下一次运行 - 下一个计划运行
- 状态 - 规则是否已打开或关闭
查看规则详细信息、修改规则和运行规则
若要查看有关自定义检测规则或分析规则的综合信息,请转到 搜寻>自定义检测规则 ,然后选择规则的名称。 然后,可以查看有关规则的常规信息,包括信息、其运行状态和范围。 该页还提供触发的警报和操作的列表。
还可以从此页对规则执行以下操作:
- 打开检测规则页 - 打开检测规则页,查看触发的警报,并查看自定义检测规则 (的作)
- 运行 - 立即运行规则;这还会重置自定义检测规则的下一个运行 (的间隔)
- 编辑 - 允许在不更改查询的情况下修改规则
- 修改查询 - 允许在高级搜寻中编辑查询
- 开 / 关闭 - 允许启用规则或阻止它运行
- 删除 - 允许关闭规则并将其删除
查看和管理触发的警报
在规则详细信息屏幕 (搜寻>自定义检测>[规则名称]) ,转到 “已触发的警报”,其中列出了与规则匹配项生成的警报。 选择警报以查看其详细信息并执行以下操作:
- 通过设置其状态和分类 (TRUE 或 FALSE 警报) 来管理警报。
- 将警报链接到事件
- 运行在高级搜寻时触发警报的查询
查看作
在规则详细信息屏幕 (搜寻>自定义检测>[规则名称]) ,转到 “触发的作”,其中列出了根据规则匹配项执行的作。
提示
若要快速查看信息并针对表格中的项目执行作,请使用表格左侧的选择列 [✓]。
另请参阅
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。