Anzeigen benutzerdefinierter Ereignisdetails in Microsoft Sentinel-Warnungen
Analyseregeln für geplante Abfragen analysieren Ereignisse aus mit Microsoft Sentinel verbundenen Datenquellen und erzeugen Warnungen, wenn die Inhalte dieser Ereignisse aus Sicherheitssicht bedeutsam sind. Diese Warnungen werden weiter analysiert, gruppiert, nach den verschiedenen Microsoft Sentinel-Engines gefiltert und in Incidents zusammengefasst, die die Aufmerksamkeit eines SOC-Analysten garantieren. Wenn dem Analyst der Incident anzeigt wird, sind jedoch nur die Eigenschaften der Komponentenwarnungen sofort erkennbar. Den eigentlichen Inhalt (die in den Ereignissen enthaltenen Informationen) anzuzeigen, ist ein bisschen komplizierter.
Mit dem Feature zu benutzerdefinierten Details im Analyseregel-Assistenten können Sie Ereignisdaten in den Warnungen anzeigen, die aus diesen Ereignissen erstellt wurden, indem die Ereignisdaten Teil der Warnungseigenschaften werden. Dadurch wird der Ereignisinhalt in Ihren Incidents sofort sichtbar, sodass Sie deutlich schneller und effizienter selektieren, untersuchen, schlussfolgern und antworten können.
Das unten beschriebene Verfahren ist Teil des Assistenten zum Erstellen von Analyseregeln. Es wird hier separat beschrieben, um das Szenario für das Hinzufügen oder Ändern von benutzerdefinierten Details in einer vorhandenen Analyseregel zu erläutern.
Wichtig
Microsoft Sentinel ist als Teil der öffentlichen Vorschau für die einheitlichen Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Anzeigen von benutzerdefinierten Ereignisdetails
Geben Sie die Analyseseite im Portal ein, über die Sie auf Microsoft Sentinel zugreifen:
Wählen Sie im Microsoft Sentinel Navigationsmenü im Abschnitt Konfiguration die Option Analytics aus.
Wählen Sie eine geplante Abfrageregel aus, und klicken Sie auf Bearbeiten. Oder erstellen Sie eine neue Regel, indem Sie oben auf dem Bildschirm auf Erstellen und Geplante Abfrageregel klicken.
Klicken Sie auf die Registerkarte Regellogik festlegen.
Erweitern Sie im Abschnitt Warnungsanreicherung den Bereich Benutzerdefinierte Details.
Fügen Sie im nun aufgeklappten Bereich Custom details (Benutzerdefinierte Details) Schlüssel-Wert-Paare entsprechend der Details hinzu, die Sie anzeigen möchten:
Geben Sie in das Feld Schlüssel einen beliebigen Namen ein, der in Warnungen als Feldname erscheinen wird.
Wählen Sie im Feld Wert aus der Dropdownliste den Ereignisparameter aus, den Sie in den Warnungen anzeigen möchten. Diese Liste wird mit Werten befüllt, die den Feldern in den Tabellen entsprechen, für die die Abfrageregel erstellt wird.
Klicken Sie auf Neu hinzufügen, um weitere Details anzuzeigen, und wiederholen Sie die letzten Schritte zum Definieren von Schlüssel-Wert-Paaren.
Wenn Sie Ihre Meinung ändern oder einen Fehler gemacht haben, können Sie ein benutzerdefiniertes Detail entfernen, indem Sie auf das Papierkorbsymbol neben der Dropdownliste Wert für dieses Detail klicken.
Wenn Sie alle benutzerdefinierten Details angegeben haben, klicken Sie auf die Registerkarte Überprüfen und erstellen. Klicken Sie nach erfolgreicher Regelüberprüfung auf Speichern.
Hinweis
Diensteinschränkungen
Sie können bis zu 20 benutzerdefinierte Details in einer Analyseregel definieren.
Die kombinierte Größenbeschränkung für alle benutzerdefinierten Details und Warnungsdetails beträgt insgesamt 64 KB.
Nächste Schritte
In diesem Dokument haben Sie erfahren, wie Sie mithilfe von Microsoft Sentinel-Analyseregeln benutzerdefinierte Details in Warnungen anzeigen. Weitere Informationen über Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Erkunden Sie die anderen Möglichkeiten, um Ihre Warnungen zu bereichern:
- Unter Tutorial: Erstellen benutzerdefinierter Analyseregeln zum Erkennen von Bedrohungen können Sie sich ein Gesamtbild machen.
- Erfahren Sie mehr über Entitäten in Microsoft Sentinel.