Share via

Überwachen und Überprüfen der Integrität der Analyseregeln

  • Artikel

Um eine umfassende, unterbrechungsfreie und manipulationssichere Bedrohungserkennung in Ihrem Microsoft Sentinel-Dienst zu gewährleisten, sollten Sie den Zustand und die Integrität Ihrer Analyseregeln im Auge behalten und dafür sorgen, dass sie optimal funktionieren, indem Sie deren Ausführungserkenntnisse überwachen, die Integritäts- und Überwachungsprotokolle abfragen und ihre Regeln mittels manueller wiederholter Ausführungen testen und optimieren.

Richten Sie Benachrichtigungen zu integritäts- und überwachungsbezogenen Ereignissen für relevante Stakeholder ein, die anschließend Maßnahmen ergreifen können. Verfassen und senden Sie z. B. E-Mail- oder Microsoft Teams-Nachrichten, erstellen Sie neue Tickets in Ihrem Ticketingsystem usw.

In diesem Artikel wird beschrieben, wie Sie die Überwachungs- und Systemüberwachungsfeatures von Microsoft Sentinel verwenden, um die Integrität Ihrer Analyseregeln von Microsoft Sentinel aus zu überwachen.

Informationen zu Regelerkenntnissen und der manuellen wiederholten Ausführung von Regeln finden Sie unter Überwachen und Optimieren der Ausführung Ihrer geplanten Analyseregeln.

Wichtig

Die Datentabellen SentinelHealth und SentinelAudit befinden sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Zusammenfassung

  • Integritätsprotokolle der Microsoft Sentinel-Analyseregel:

    • Dieses Protokoll erfasst Ereignisse zum Aufzeichnen der Ausführung von Analyseregeln und das Endergebnis dieser Ausführungen: Erfolg oder Fehler und bei Fehler die jeweiligen Gründe.
    • Das Protokoll zeichnet außerdem für jede Ausführung einer Analyseregel Folgendes auf:
      • Wie viele Ereignisse von der Abfrage der Regel erfasst wurden.
      • Ob die Anzahl der Ereignisse den in der Regel definierten Schwellenwert überschritten hat, wodurch die Regel eine Warnung auslöst.

    Diese Protokolle werden in Log Analytics in der Tabelle SentinelHealth gesammelt.

  • Überwachungsprotokolle der Microsoft Sentinel-Analyseregel:

    • Dieses Protokoll erfasst Ereignisse, die Änderungen aufzeichnen, die an einer beliebigen Analyseregel vorgenommen wurden, einschließlich der folgenden Details:
      • Der Name der geänderten Regel.
      • Welche Eigenschaften der Regel geändert wurden.
      • Der Status der Regeleinstellungen vor und nach der Änderung.
      • Der Benutzer oder die Identität, der/die die Änderung vorgenommen hat.
      • Die Quell-IP-Adresse und Datum/Uhrzeit der Änderung.
      • ... und vieles mehr.

    Diese Protokolle werden in Log Analytics in der Tabelle SentinelAudit gesammelt.

Verwenden der Datentabellen „SentinelHealth“ und „SentinelAudit“ (Vorschau)

Um Überwachungs- und Integritätsdaten aus den oben beschriebenen Tabellen abzurufen, müssen Sie zunächst das Microsoft Sentinel-Integritätsfeature für Ihren Arbeitsbereich aktivieren. Weitere Informationen finden Sie unter Aktivieren der Überwachung und Systemüberwachung für Microsoft Sentinel.

Sobald das Feature zur Systemüberwachung aktiviert ist, wird die Datentabelle SentinelHealth beim ersten Erfolgs- oder Fehlerereignis erstellt, das für Ihre Automatisierungsregeln und Playbooks generiert wird.

Grundlegendes zu SentinelHealth- und SentinelAudit-Tabellenereignissen

Die folgenden Typen von Ereignissen im Zusammenhang mit der Integrität der Analyseregel werden in der Tabelle SentinelHealth protokolliert:

Die folgenden Arten von Überwachungsereignissen für Analyseregeln werden in der Tabelle SentinelAudit protokolliert:

Ausführen von Abfragen zum Erkennen von Integritätsproblemen

Um optimale Ergebnisse zu erzielen, erstellen Sie Ihre Abfragen basierend auf den vordefinierten Funktionen für die Tabellen _SentinelHealth() und _SentinelAudit(), anstatt die Tabellen direkt abzufragen. Diese Funktionen stellen die Aufrechterhaltung der Abwärtskompatibilität Ihrer Abfragen sicher, falls Änderungen am Schema der Tabellen selbst vorgenommen werden.

Als ersten Schritt sollten Ihre Abfragen die Tabellen nach Daten filtern, die sich auf Analyseregeln beziehen. Verwenden Sie den Parameter SentinelResourceType.

_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"

Bei Bedarf können Sie die Liste weiter nach einer bestimmten Art von Analyseregeln filtern. Verwenden Sie hierfür den Parameter SentinelResourceKind.

| where SentinelResourceKind == "Scheduled"

# OR

| where SentinelResourceKind == "NRT"

Hier finden Sie einige Beispielabfragen, die Ihnen beim Einstieg helfen:

  • Ermitteln von nicht erfolgreich ausgeführten Regeln:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Status != "Success"

  • Ermitteln von „automatisch deaktivierten“ Regeln:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Reason == "The analytics rule is disabled and was not executed."

  • Zählen Sie die Regeln und Ausführungsvorgänge, die erfolgreich oder fehlerhaft waren, nach Grund:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason

  • Ermitteln der Aktivität zur Regellöschung:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| where Description =="Analytics rule deleted"

  • Ermitteln der Aktivität für Regeln nach Regelname und Aktivitätsname:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| summarize Count= count() by RuleName=SentinelResourceName, Activity=Description

  • Ermitteln der Aktivität für Regeln anhand des Aufrufernamens (die Identität, die die Aktivität ausgeführt hat):

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| extend Caller= tostring(ExtendedProperties.CallerName)
| summarize Count = count() by Caller, Activity=Description

Status, Fehler und vorgeschlagene Schritte

Für die Ausführung der geplanten Analyseregel oder die NRT-Analyseregelausführung werden möglicherweise die folgenden Statusinformationen und Beschreibungen angezeigt:

  • Erfolg: Die Regel wurde erfolgreich ausgeführt und generiert <n> Warnung(en).

  • Erfolg: Die Regel wurde erfolgreich ausgeführt, hat aber den Schwellenwert (<n>) nicht erreicht, der zum Generieren einer Warnung erforderlich ist.

  • Fehler: Dies sind die möglichen Beschreibungen für Regelfehler, und wie Sie dagegen vorgehen können.

    BESCHREIBUNG Wiederherstellung
    Beim Ausführen der Abfrage ist ein interner Serverfehler aufgetreten.
    Für die Abfrageausführung ist ein Timeout aufgetreten.
    Eine in der Abfrage referenzierte Tabelle wurde nicht gefunden. Vergewissern Sie sich, dass eine Verbindung zur relevanten Datenquelle besteht.
    Beim Ausführen der Abfrage ist ein semantischer Fehler aufgetreten. Versuchen Sie, die Analyseregel zurückzusetzen, indem Sie sie bearbeiten und speichern (ohne Einstellungen zu ändern).
    Eine von der Abfrage aufgerufene Funktion besitzt ein reserviertes Wort als Namen. Entfernen Sie die Funktion oder benennen Sie sie um.
    Beim Ausführen der Abfrage ist ein Syntaxfehler aufgetreten. Versuchen Sie, die Analyseregel zurückzusetzen, indem Sie sie bearbeiten und speichern (ohne Einstellungen zu ändern).
    Der Arbeitsbereich ist nicht vorhanden.
    Diese Abfrage verwendete zu viele Systemressourcen und wurde an der Ausführung gehindert. Überprüfen und optimieren Sie die Analyseregel. Lesen Sie unsere Übersicht über die Kusto-Abfragesprache und die Dokumentation zu bewährten Methoden.
    Eine von der Abfrage aufgerufene Funktion wurde nicht gefunden. Überprüfen Sie, ob in Ihrem Arbeitsbereich alle Funktionen vorhanden sind, die von der Abfrage aufgerufen werden.
    Der in der Abfrage verwendete Arbeitsbereich wurde nicht gefunden. Stellen Sie sicher, dass alle Arbeitsbereiche in der Abfrage vorhanden sind.
    Sie sind nicht berechtigt, diese Abfrage auszuführen. Versuchen Sie, die Analyseregel zurückzusetzen, indem Sie sie bearbeiten und speichern (ohne Einstellungen zu ändern).
    Sie verfügen nicht über Zugriffsberechtigungen für mindestens eine der Ressourcen in der Abfrage.
    Die Abfrage bezog sich auf einen Speicherpfad, der nicht gefunden wurde.
    Der Abfrage wurde der Zugriff auf einen Speicherpfad verweigert.
    In diesem Arbeitsbereich sind mehrere Funktionen mit demselben Namen definiert. Entfernen Sie die redundante Funktion, oder benennen Sie sie um, und setzen Sie die Regel zurück, indem Sie sie bearbeiten und speichern.
    Diese Abfrage hat kein Ergebnis zurückgegeben.
    Mehrere Resultsets in dieser Abfrage sind nicht zulässig.
    Abfrageergebnisse enthalten inkonsistente Anzahl von Feldern pro Zeile.
    Die Ausführung der Regel wurde aufgrund der langen Dauer der Datenerfassung verzögert.
    Die Ausführung der Regel wurde aufgrund temporärer Probleme verzögert.
    Die Warnung wurde aufgrund vorübergehender Probleme nicht angereichert.
    Die Warnung wurde aufgrund von Problemen mit der Entitätszuordnung nicht angereichert.
    <Anzahl> Entitäten wurden aufgrund der Begrenzung der Warnungsgröße von 32 KB im Warnungsnamen>< gelöscht.
    <Anzahl> Entitäten wurden im Warnungsnamen>< aufgrund von Problemen mit der Entitätszuordnung gelöscht.
    Die Abfrage führte zu <Anzahl> Ereignissen, die das Maximum von Grenzwert>< Ergebnissen überschreitet, die für Regeln des <Regeltyps> mit Ereignisgruppierungskonfiguration mit Warnung pro Zeile überschreitet. „Warnungen pro Zeile“ wurde für die ersten <Grenzwert-1> Ereignisse generiert, und eine zusätzliche aggregierte Warnung wurde generiert, um alle Ereignisse zu berücksichtigen.
    - <Anzahl> = Anzahl der von der Abfrage zurückgegebenen Ereignisse
    - <Grenzwert> = Derzeit 150 Warnungen für geplante Regeln, 30 für NRT-Regeln
    - <Regeltyp> = Geplant oder NRT

Verwenden der Arbeitsmappe für Überprüfungen und Systemüberwachung

  1. Um die Arbeitsmappe in Ihrem Arbeitsbereich verfügbar zu machen, müssen Sie die Arbeitsmappenlösung über den Microsoft Sentinel-Inhaltshub installieren:

    1. Wählen Sie im Microsoft Sentinel-Portal im Menü Inhaltsverwaltung die Option Inhaltshub (Vorschau) aus.

    2. Geben Sie im InhaltshubIntegrität in die Suchleiste ein, und wählen Sie unter den Arbeitsmappenlösungen unter Eigenständig in den Ergebnissen Analysen zu Integrität und Überprüfung aus.

      Screenshot mit der Auswahl der Arbeitsmappe „Analyse zur Integrität“ aus dem Inhaltshub

    3. Wählen Sie im Detailbereich Installieren und dann Speichern aus, was an seiner Stelle angezeigt wird.

  2. Wenn die Lösung anzeigt, dass sie installiert ist, wählen Sie im Menü Bedrohungsverwaltung die Option Arbeitsmappen aus.

    Screenshot der Anzeige, dass die Arbeitsmappenlösung „Analyse zur Integrität“ vom Inhaltshub installiert ist

  3. Wählen Sie im Arbeitsmappenkatalog die Registerkarte Vorlagen aus, geben Sie Integrität in die Suchleiste ein, und wählen Sie in den Ergebnissen Analysen zu Integrität und Überprüfung aus.

    Screenshot mit der Auswahl der Arbeitsmappe „Analyse zur Integrität“ aus dem Vorlagenkatalog

  4. Wählen Sie im Detailbereich Speichern aus, um eine bearbeitbare und verwendbare Kopie der Arbeitsmappe zu erstellen. Wenn die Kopie erstellt wurde, wählen Sie Gespeicherte Arbeitsmappe anzeigen aus.

  5. Wählen Sie in der Arbeitsmappe zunächst das Abonnement und den Arbeitsbereich, den Sie anzeigen möchten (möglicherweise sind sie bereits ausgewählt), und definieren Sie dann den Zeitbereich, um die Daten gemäß Ihren Anforderungen zu filtern. Verwenden Sie die Umschaltfläche Hilfe anzeigen, um eine direkte Erläuterung der Arbeitsmappe anzuzeigen.

    Screenshot der Übersichtsregisterkarte der Analyseregeln für die Arbeitsmappe „Integrität“

Diese Arbeitsmappe enthält drei Registerkartenabschnitte:

Registerkarte „Übersicht“

Auf der Übersichtsregisterkarte werden Zusammenfassungen zu Integrität und Überprüfung angezeigt:

  • Integritätszusammenfassungen des Status von Analyseregel-Ausführungen im ausgewählten Arbeitsbereich: Anzahl der Ausführungen, Erfolge und Fehlschläge sowie Details zu Fehlerereignissen.
  • Überprüfungszusammenfassungen von Aktivitäten zu Analyseregeln im ausgewählten Arbeitsbereich: Anzahl der Aktivitäten im Zeitverlauf, Anzahl der Aktivitäten nach Typ und Anzahl von Aktivitäten unterschiedlicher Typen nach Regel.

Die Registerkarte „Integrität“

Auf der Registerkarte Integrität können Sie einen Drilldown zu bestimmten Integritätsereignissen durchführen.

Screenshot mit der Auswahl der Registerkarte „Integrität“ in der Arbeitsmappe „Analyse zur Integrität“

  • Filtern Sie die gesamten Seitendaten nach Status (Erfolg/Fehlschlag) und Regeltyp (geplant/NRT).
  • Sehen Sie sich die Trends erfolgreicher und/oder fehlgeschlagener Regelausführungen (abhängig vom Status-Filter) im ausgewählten Zeitraum an. Sie können das Trenddiagramm „zeitpinseln“, um eine Teilmenge des ursprünglichen Zeitbereichs anzuzeigen. Screenshot der Ausführungen der Analyseregeln über die Zeit in der Arbeitsmappe „Analyse zur Integrität“
  • Filtern Sie den Rest der Seite nach Grund.
  • Sehen Sie sich die Gesamtzahl der Ausführungen für alle Analyseregeln an, die proportional nach Status in einem Kreisdiagramm angezeigt werden.
  • Es folgt eine Tabelle mit der Anzahl der eindeutigen Analyseregeln, die ausgeführt wurden, aufgeschlüsselt nach Regeltyp und Status.
    • Wählen Sie einen Status aus, um die verbleibenden Diagramme nach diesem Status zu filtern.
    • Löschen Sie den Filter, indem Sie in der oberen rechten Ecke des Diagramms das Symbol „Auswahl löschen“ (es sieht wie ein „Rückgängig“-Symbol aus) auswählen. Screenshot der Anzahl der ausgeführten Regeln nach Status und Typ in der Arbeitsmappe „Analyse zur Integrität“
  • Sehen Sie sich die einzelnen Status mit der Anzahl möglicher Gründe für diese Status an. (Es werden nur Gründe angezeigt, die in den Ausführungen im ausgewählten Zeitrahmen vertreten sind.)
    • Wählen Sie einen Status aus, um die verbleibenden Diagramme nach diesem Status zu filtern.
    • Löschen Sie den Filter, indem Sie in der oberen rechten Ecke des Diagramms das Symbol „Auswahl löschen“ (es sieht wie ein „Rückgängig“-Symbol aus) auswählen. Screenshot mit der Anzahl der eindeutigen Gründe nach Status in der Arbeitsmappe „Analyse zur Integrität“
  • Als Nächstes sehen Sie eine Liste dieser Gründe mit der Anzahl der kombinierten Regelausführungen und der Anzahl der eindeutigen Regeln, die ausgeführt wurden.
    • Wählen Sie einen Grund aus, um die folgenden Diagramme nach diesem Grund zu filtern.
    • Löschen Sie den Filter, indem Sie in der oberen rechten Ecke des Diagramms das Symbol „Auswahl löschen“ (es sieht wie ein „Rückgängig“-Symbol aus) auswählen. Screenshot mit Regelausführungen nach eindeutigem Grund in der Arbeitsmappe „Analyse zur Integrität“
  • Danach folgt eine Liste der eindeutigen Analyseregeln, die ausgeführt wurden, mit den neuesten Ergebnissen und Trendlinien ihrer Erfolge und/oder Fehlschläge (je nach dem zum Filtern der Liste gewählten Status).
    • Wählen Sie eine Regel aus, um einen Drilldown auszuführen, und zeigen Sie eine neue Tabelle mit allen Ausführungen dieser Regel (im ausgewählten Zeitrahmen) an.
    • Löschen Sie die Tabelle, indem Sie in der oberen rechten Ecke des Diagramms das Symbol „Auswahl löschen“ (es sieht wie ein „Rückgängig“-Symbol aus) auswählen. Screenshot mit einer Liste der ausgeführten eindeutigen Regeln mit Status und Trendlinien in der Arbeitsmappe „Analyse zur Integrität“
  • Wenn Sie in der obigen Liste eine Regel ausgewählt haben, wird eine neue Tabelle mit den Details zur Integrität der ausgewählten Regel angezeigt. Screenshot mit einer Liste der Ausführungen der ausgewählten Analyseregel in der Arbeitsmappe „Analyse zur Integrität“

Registerkarte „Überprüfung“

Auf der Registerkarte Überprüfung können Sie einen Drilldown zu bestimmten Überprüfungsereignissen durchführen.

Screenshot mit der Auswahl der Registerkarte „Überprüfung“ in der Arbeitsmappe „Analyse zur Integrität“

  • Filtern Sie die gesamten Seitendaten nach Überprüfungsregeltyp (geplant/Fusion).
  • Sehen Sie sich die Trends der überprüften Aktivität für Analyseregeln im ausgewählten Zeitraum an. Sie können das Trenddiagramm „zeitpinseln“, um eine Teilmenge des ursprünglichen Zeitbereichs anzuzeigen. Screenshot mit Trends der Überprüfungsaktivität in der Arbeitsmappe „Analyse zur Integrität“
  • Sehen Sie sich die Anzahl überprüfter Ereignisse an, aufgeschlüsselt nach Aktivität und Regeltyp.
    • Wählen Sie eine Aktivität aus, um die folgenden Diagramme nach dieser Aktivität zu filtern.
    • Löschen Sie den Filter, indem Sie in der oberen rechten Ecke des Diagramms das Symbol „Auswahl löschen“ (es sieht wie ein „Rückgängig“-Symbol aus) auswählen. Screenshot mit der Anzahl der Überprüfungsereignisse nach Aktivität und Typ in der Arbeitsmappe ,Analyse zur Integrität“
  • Sehen Sie sich die Anzahl überprüfter Ereignisse nach Regelname an.
    • Wählen Sie einen Regelnamen aus, um die folgende Tabelle nach dieser Regel zu filtern und einen Drilldown durchzuführen und eine neue Tabelle mit allen Aktivitäten für diese Regel (im ausgewählten Zeitrahmen) anzuzeigen. (Siehe nach dem folgenden Screenshot.)
    • Löschen Sie den Filter, indem Sie in der oberen rechten Ecke des Diagramms das Symbol „Auswahl löschen“ (es sieht wie ein „Rückgängig“-Symbol aus) auswählen. Screenshot mit den überprüften Ereignissen nach Regelname und aufrufender Funktion in der Arbeitsmappe „Analyse zur Integrität“
  • Sehen Sie sich die Anzahl der überprüften Ereignisse nach aufrufender Funktion an (die Identität, die die Aktivität ausgeführt hat).
  • Wenn Sie im oben dargestellten Diagramm einen Regelnamen ausgewählt haben, wird eine andere Tabelle mit den überprüften Aktivitäten für diese Regel angezeigt. Wählen Sie den Wert aus, der als Link in der Spalte „ExtendedProperties“ angezeigt wird, um einen Seitenbereich zu öffnen, in dem die an der Regel vorgenommenen Änderungen angezeigt werden. Screenshot mit einer Überprüfungsaktivität für die ausgewählte Regel in der Arbeitsmappe „Analyse zur Integrität“

Nächste Schritte