Erstellen einer benutzerdefinierten Analyseregel von Grund auf

  • Artikel
  • Gilt für::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Sie haben Connectors und andere Möglichkeiten zum Sammeln von Aktivitätsdaten in Ihrem gesamten digitalen Bestand eingerichtet. Jetzt müssen Sie alle diese Daten durchsuchen, um Aktivitätsmuster zu erkennen und Aktivitäten zu entdecken, die nicht in diese Muster passen und die eine Sicherheitsbedrohung darstellen könnten.

Microsoft Sentinel und seine vielen Lösungen, die im Inhaltshub bereitgestellt sind, bieten Vorlagen für die am häufigsten verwendeten Arten von Analyseregeln, und wir empfehlen Ihnen dringend, diese Vorlagen zu verwenden und an Ihre spezifischen Szenarien anzupassen. Es ist jedoch möglich, dass Sie etwas völlig anderes benötigen, und für diesen Fall können Sie eine Regel von Grund auf erstellen, indem Sie den Assistenten für Analyseregeln verwenden.

Dieser Artikel führt Sie durch den Assistenten für Analyseregeln und erläutert alle verfügbaren Optionen. Er wird von Screenshots und Anleitungen für den Zugriff auf den Assistenten sowohl im Azure-Portal (für Microsoft Sentinel-Benutzer, die nicht auch Microsoft Defender-Abonnenten sind) wie auch im Defender-Portal (für Benutzer der einheitlichen Microsoft Defender-Security Operations-Plattform) begleitet.

Wichtig

Microsoft Sentinel ist als Teil der öffentlichen Vorschau für die einheitliche Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Voraussetzungen

  • Sie müssen über die Rolle „Microsoft Sentinel-Mitwirkender“ oder eine andere Rolle oder einen anderen Satz von Berechtigungen verfügen, welche Schreibberechtigungen für Ihren Log Analytics-Arbeitsbereich und ihre Ressourcengruppe enthalten.

Entwerfen und Erstellen Ihrer Abfrage

Bevor Sie etwas anderes tun, sollten Sie eine Abfrage in der Kusto-Abfragesprache (Kusto Query Language, KQL) entwerfen und erstellen, die Ihre Regel verwenden wird, um eine oder mehrere Tabellen in Ihrem Log Analytics-Arbeitsbereich abzufragen.

  1. Ermitteln Sie eine Datenquelle, die Sie durchsuchen möchten, um ungewöhnliche oder verdächtige Aktivitäten zu erkennen. Suchen Sie den Namen der Log Analytics-Tabelle, in welche Daten aus dieser Quelle erfasst werden. Sie finden den Tabellennamen auf der Seite des Datenconnectors für diese Quelle. Verwenden Sie diesen Tabellennamen (oder eine darauf basierende Funktion) als Grundlage für Ihre Abfrage.

  2. Entscheiden Sie, welche Art von Analysen diese Abfrage für die Tabelle ausführen soll. Diese Entscheidung wird bestimmen, welche Befehle und Funktionen Sie in der Abfrage verwenden sollten.

  3. Entscheiden Sie, welche Datenelemente (Felder, Spalten) Sie aus den Abfrageergebnissen haben möchten. Diese Entscheidung wird bestimmen, wie Sie die Ausgabe der Abfrage strukturieren.

Bewährte Methoden für Analyseregelabfragen

  • Es wird empfohlen, einen ASIM (Advanced Security Information Model)-Parser als Ihre Abfragequelle zu verwenden, anstatt eine native Tabelle zu verwenden. Dadurch wird sichergestellt, dass die Abfrage alle aktuellen oder zukünftigen relevanten Datenquellen oder Datenquellenfamilien unterstützt, anstatt sich auf eine einzelne Datenquelle zu verlassen.

  • Die Abfrage sollte zwischen 1 und 10.000 Zeichen lang sein und darf weder search * noch union * enthalten. Sie können benutzerdefinierte Funktionen verwenden, um die Einschränkung der Abfragelänge außer Kraft zu setzen.

  • Das Erstellen von Azure Data Explorer-Abfragen mit ADX-Funktionen innerhalb des Log Analytics-Abfragefensters wird nicht unterstützt.

  • Wenn Sie bei Verwendung der bag_unpack-Funktion in einer Abfrage mithilfe von „project field1“ die Spalten als Felder projizieren und die Spalte nicht vorhanden ist, treten bei der Abfrage Fehler auf. Um dies zu verhindern, müssen Sie die Spalte wie folgt projizieren:

    project field1 = column_ifexists("field1","")

Weitere Hilfe beim Erstellen von Kusto-Abfragen finden Sie unter Kusto-Abfragesprache in Microsoft Sentinel und Bewährte Methoden für KQL-Abfragen.

Erstellen und testen Sie Ihre Abfragen auf dem Bildschirm Protokolle. Wenn Sie zufrieden sind, speichern Sie die Abfrage für die Verwendung in Ihrer Regel.

Erstellen Ihrer Analyseregel

Dieser Abschnitt beschreibt, wie Sie eine Regel mithilfe der Azure- oder Defender-Portale erstellen.

Starten des Assistenten für Analyseregeln

  1. Wählen Sie im Microsoft Sentinel-Navigationsmenü im Abschnitt Konfiguration die Option Analysen aus.

  2. Wählen Sie auf der Aktionsleiste die Option + Erstellen und anschließend Geplante Abfrageregel aus. Dadurch wird der Assistent für Analyseregeln geöffnet.

    Screenshot des Bildschirms „Analysen“ im Azure-Portal.

Benennen der Regel und Definieren allgemeiner Informationen

Im Azure-Portal werden Stages visuell als Registerkarten dargestellt. Im Defender-Portal werden sie visuell als Meilensteine auf einer Zeitachse dargestellt. Beispiele finden Sie in den folgenden Screenshots.

  1. Geben Sie einen eindeutigen Namen und eine Beschreibung an.

  2. Legen Sie den Schweregrad der Warnung entsprechend der Auswirkung fest, die die von der Regel ausgelöste Aktivität auf die Zielumgebung haben könnte, falls die Regel wirklich zutrifft.

    Severity Beschreibung
    Zur Information Keine Auswirkungen auf Ihr System, aber die Informationen könnten ein Hinweis auf zukünftige Schritte sein, die Bedrohungsakteure plant.
    Niedrig Die unmittelbaren Auswirkungen wären minimal. Bedrohungsakteure müssten wahrscheinlich mehrere Schritte durchführen, bevor eine Umgebung beeinflusst werden kann.
    Mittel Die Bedrohungsakteure könnten die Umgebung mit dieser Aktivität in gewisser Weise beeinflussen, doch wäre diese Auswirkungen nur von begrenztem Umfang oder würde zusätzliche Aktivitäten erfordern.
    Hoch Die identifizierte Aktivität bietet Bedrohungsakteuren umfassenden Zugriff auf Aktionen in der Umgebung oder wird durch Auswirkungen auf die Umgebung ausgelöst.

    Die Standardwerte für den Schweregrad sind keine Garantie für den Grad der aktuellen Auswirkungen oder der Auswirkungen auf die Umgebung. Passen Sie Warnungsdetails an, um den Schweregrad, die Taktiken und andere Eigenschaften einer bestimmten Instanz einer Warnung mit den Werten aller relevanten Felder aus einer Abfrageausgabe anzupassen.

    Schweregraddefinitionen für Microsoft Sentinel-Analyseregelvorlagen sind nur für Warnungen relevant, die von Analyseregeln erstellt werden. Bei Warnungen, die aus anderen Diensten erfasst werden, wird der Schweregrad vom Sicherheitsdienst der Quelle definiert.

  3. Im Feld Taktik und Techniken können Sie aus verschiedenen Kategorien von Bedrohungsaktivitäten auswählen, nach denen Sie die Regel klassifizieren können. Diese basieren auf den Taktiken und Techniken des MITRE ATT&CK-Frameworks.

    Aus Warnungen generierte Incidents, die von den Regeln der MITRE ATT&CK-Taktiken und -Techniken erkannt werden, erben automatisch die Regelzuordnung.

    Weitere Informationen zur Maximierung Ihrer Abdeckung der MITRE ATT&CK-Bedrohungslandschaft finden Sie unter Grundlegendes zur Sicherheitsabdeckung durch das MITRE ATT&CK®-Framework

  4. Beim Erstellen der Regel wird der Status standardmäßig auf Aktiviert eingestellt. Dies bedeutet, dass die Regel nach der Erstellung sofort ausgeführt wird. Wenn Sie die Regel nicht sofort ausführen möchten, wählen Sie Deaktiviert aus. Die Regel wird der Registerkarte Aktive Regeln hinzugefügt, von wo Sie diese bei Bedarf aktivieren können.

    Hinweis

    Es gibt eine andere Möglichkeit (derzeit in der Vorschau), um eine Regel zu erstellen, ohne sie sofort auszuführen. Sie können die Regel so planen, dass sie erstmals an einem bestimmten Datum und zu einer bestimmten Uhrzeit ausgeführt wird. Siehe Zeit und Umfang der Abfrage planen unten.

  5. Klicken Sie auf Weiter: Regellogik festlegen.

Definieren der Regellogik

  1. Geben Sie eine Abfrage für Ihre Regel ein.

    Fügen Sie die von Ihnen entworfene, erstellte und getestete Abfrage in das Fenster Regelabfrage ein. Jede Änderung, die Sie in diesem Fenster vornehmen, wird sofort überprüft. Wenn also Fehler auftreten, werden Sie direkt unter dem Fenster darauf hingewiesen.

  2. Ordnen Sie Entitäten zu.

    Entitäten sind für das Erkennen und Untersuchen von Bedrohungen unerlässlich. Ordnen Sie die Entitätstypen, die von Microsoft Sentinel erkannt werden, den Feldern in Ihren Abfrageergebnissen zu. Diese Zuordnung integriert die ermittelten Entitäten in das Entitäten-Feld in Ihrem Warnungsschema.

    Vollständige Anweisungen zum Zuordnen von Entitäten finden Sie unter Zuordnen von Datenfeldern zu Entitäten in Microsoft Sentinel.

  3. Zeigen Sie benutzerdefinierte Details in Ihren Warnungen an.

    Standardmäßig sind nur die Warnungsentitäten und Metadaten in Vorfällen sichtbar, ohne einen Drilldown in den Rohereignissen in den Abfrageergebnissen auszuführen. Dieser Schritt verwendet andere Felder in Ihren Abfrageergebnissen und integriert sie in das ExtendedProperties-Feld in Ihre Warnungen, so dass sie in Ihren Warnungen und in allen aus diesen Warnungen erstellten Vorfällen zuvorderst angezeigt werden.

    Vollständige Anweisungen zum Anzeigen von benutzerdefinierten Details finden Sie unter Anzeigen benutzerdefinierter Ereignisdetails in Warnungen in Microsoft Sentinel.

  4. Passen Sie Warnungsdetails an.

    Mit dieser Einstellung können Sie ansonsten standardmäßige Warnungseigenschaften entsprechend dem Inhalt verschiedener Felder in jeder einzelnen Warnung anpassen. Diese Anpassungen sind in das ExtendedProperties-Feld in Ihre Warnungen integriert. Sie können zum Beispiel den Namen oder die Beschreibung der Warnung anpassen, um einen Benutzernamen oder eine IP-Adresse einzuschließen, die in der Warnung enthalten sind.

    Vollständige Anweisungen zum Anpassen von Warnungsdetails finden Sie unter Anpassen von Warnungsdetails in Microsoft Sentinel.

  5. Planen Sie den Zeitpunkt und den Umfang der Abfrage.

    1. Legen Sie die folgenden Parameter im Abschnitt Abfrageplanung fest:

      Einstellung Behavior
      Abfrage ausführen alle Steuert das Abfrageintervall: wie oft die Abfrage ausgeführt wird.
      Durchsuchen der Daten der letzten Bestimmt den Nachschlagezeitraum: der Zeitraum, der von der Abfrage abgedeckt wird.

      • Der zulässige Bereich für beide Parameter beträgt zwischen 5 Minuten bis 14 Tage.

      • Das Abfrageintervall muss kürzer oder gleich dem Nachschlagezeitraum sein. Wenn es kürzer ist, überlappen sich die Abfragezeiträume, und dies kann zur Duplizierung der Ergebnissen führen. Die Regelprüfung erlaubt es Ihnen jedoch nicht, ein Intervall festzulegen, das länger als der Nachschlagezeitraum ist, da dies zu Lücken in Ihrer Abdeckung führen würde.

    2. Legen Sie den Start der Ausführung fest:

      Einstellung Behavior
      Automatisch Die Regel wird zum ersten Mal ausgeführt, sobald sie erstellt wurde, und danach in dem Intervall, das in der Einstellung Abfrage ausführen alle festgelegt ist.
      Zu einem bestimmten Zeitpunkt (Vorschau) Legen Sie ein Datum und eine Uhrzeit für die erste Ausführung der Regel fest, danach wird sie in dem Intervall ausgeführt wird, das in der Einstellung Abfrage ausführen alle festgelegt ist.

      • Die Zeit für Start der Ausführung muss zwischen 10 Minuten und 30 Tagen nach der Zeit der Regelerstellung (oder Aktivierung) liegen.

      • Die Textzeile unter der Einstellung Ausführung starten (mit dem Informationssymbol auf der linken Seite) fasst die aktuellen Abfrageplanungs- und Rückblickseinstellungen zusammen.

        Screenshot der erweiterten Zeitplanungs-Umschaltfläche und -Einstellungen.

    Hinweis

    Erfassungsverzögerung

    Microsoft Sentinel führt geplante Analyseregeln mit einer fünfminütigen Verzögerung nach der geplanten Zeit aus, um die Wartezeit zu berücksichtigen, die zwischen der Erstellung eines Ereignisses in der Quelle und dessen Erfassung in Microsoft Sentinel auftreten kann, und um eine vollständige Abdeckung ohne Datenduplizierung zu gewährleisten.

    Weitere Informationen finden Sie unter Behandeln von Erfassungsverzögerungen in Regeln für geplante Analysen.

  6. Legen Sie den Schwellenwert für das Erstellen von Warnungen fest.

    Im Bereich Warnungsschwellenwert können Sie die Vertraulichkeitsstufe der Regel definieren.

    • Legen Sie Warnung generieren, wenn die Anzahl der Abfrageergebnisse auf Ist größer als fest, und geben Sie die Mindestanzahl der Ereignisse ein, die im Zeitraum der Abfrage für die Regel gefunden werden müssen, um eine Warnung zu generieren.
    • Dies ist ein Pflichtfeld. Wenn Sie also keinen Schwellenwert festlegen möchten – d. h., wenn Sie die Warnung für ein einzelnes Ereignis in einem bestimmten Zeitraum auslösen möchten –, geben Sie 0 in das Zahlenfeld ein.

  7. Legen Sie die Einstellungen für die Ereignisgruppierung fest.

    Wählen Sie unter Ereignisgruppierung eine von zwei Methoden aus, um Ereignisse in Warnungen zu gruppieren:

    Einstellung Behavior
    Gruppieren aller Ereignisse in einer einzigen Warnung
    (Standard)    		 Die Regel generiert bei jeder Ausführung eine einzelne Warnung, solange die Anzahl der von der Abfrage zurückgegebenen Ergebnisse den oben angegebenen Warnungsschwellenwert überschreitet. Diese einzelne Warnung fasst alle Ereignisse zusammen, die in den Abfrageergebnissen zurückgegeben wurden.
    Warnung für jedes Ereignis auslösen Die Regel generiert eine eindeutige Warnung für jedes Ereignis, das von der Abfrage zurückgegeben wird. Dies ist hilfreich, wenn die Ereignisse einzeln angezeigt oder nach bestimmten Parametern – etwa Benutzer oder Hostname – gruppiert werden sollen. Sie können diese Parameter in der Abfrage definieren.

    Analyseregeln können bis zu 150 Warnungen generieren. Wenn Ereignisgruppierung auf Warnung für jedes Ereignis auslösen festgelegt ist und die Abfrage der Regel mehr als 150 Ereignisse zurückgibt, dann generieren die ersten 149 Ereignisse je eine eindeutige Warnung (für 149 Warnungen), und die 150. Warnung wird den gesamten Satz der zurückgegebenen Ereignisse zusammenfassen. Mit anderen Worten, die 150. Warnung wäre generiert worden, wenn Ereignisgruppierung auf Alle Ereignisse in einer einzigen Warnung gruppieren festgelegt worden wäre.

  8. Unterdrücken Sie Regel vorübergehend, nachdem eine Warnung generiert wurde.

    Im Abschnitt Unterdrückung können Sie die EinstellungAusführung der Abfrage beenden, wenn eine Warnung generiert wurde auf Ein festlegen, wenn Sie nach dem Eingang einer Warnung das Ausführen dieser Regel für einen Zeitraum unterbrechen möchten, der das Abfrageintervall überschreitet. Wenn Sie diese Option aktivieren, müssen Sie unter Abfrageausführung beenden für: den Zeitraum festlegen, in dem die Abfrage nicht ausgeführt werden soll (bis zu 24 Stunden).

  9. Simulieren Sie die Ergebnisse der Abfrage- und Logikeinstellungen.

    Wählen Sie im Bereich Ergebnissimulation die Option Mit aktuellen Daten testen aus, und Microsoft Sentinel wird Ihnen ein Diagramm der Ergebnisse (Protokollereignisse) anzeigen, welche die Abfrage in den letzten 50 Ausführungen gemäß dem aktuell definierten Zeitplan generiert hätte. Wenn Sie die Abfrage ändern, wählen Sie Mit aktuellen Daten testen erneut aus, um das Diagramm zu aktualisieren. Das Diagramm zeigt die Anzahl der Ergebnisse im definierten Zeitraum, der durch die Einstellungen im Abschnitt Abfrageplanung bestimmt wird.

    Die Ergebnissimulation für die Abfrage im obigen Screenshot könnte wie folgt aussehen. Die linke Seite ist die Standardansicht, und die rechte Seite zeigt, was Sie sehen, wenn Sie im Diagramm auf einen bestimmten Zeitpunkt zeigen.

    Screenshots der Ergebnissimulation

    Wenn Sie sehen, dass Ihre Abfrage zu viele oder zu häufige Warnungen auslösen würde, können Sie in den Abschnitten Abfrageplanung und Warnungsschwellenwert mit den Einstellungen experimentieren und dann erneut Mit aktuellen Daten testen auswählen.

  10. Klicken Sie auf Weiter: Incidenteinstellungen.

Konfigurieren der Einstellungen für die Incidenterstellung

Wählen Sie auf der Registerkarte Vorfalleinstellungen aus, ob Microsoft Sentinel Warnungen in umsetzbare Vorfälle verwandelt, und ob und wie Warnungen in Vorfälle gruppiert werden.

  1. Aktivieren Sie die Vorfallerstellung.

    Im Bereich Incidenteinstellungen ist die Option Incidents aus Warnungen erstellen, die von dieser Analyseregel ausgelöst werden standardmäßig auf Aktiviert festgelegt. Dies bedeutet, dass in Microsoft Sentinel ein separater Vorfall von jeder einzelnen Warnung erstellt wird, die von der Regel ausgelöst wird.

    • Wenn durch diese Regel nicht alle Incidents erstellt werden sollen (z. B. wenn Sie mit dieser Regel nur Informationen für die nachfolgende Analyse sammeln möchten), legen Sie diese Einstellung auf Deaktiviert fest.

      Wichtig

      Wenn Sie Microsoft Sentinel in die einheitliche Security Operations-Plattform im Microsoft Defender-Portal integriert haben und diese Regel Microsoft 365- oder Microsoft Defender-Quellen abfragt und daraus Warnungen erstellt, dann müssen Sie diese Einstellung auf Deaktiviert festlegen.

    • Informationen dazu, wie statt einem Vorfall für jede einzelne Warnung ein einzelner Vorfall aus einer Gruppe von Warnungen erstellt wird, finden Sie im nächsten Abschnitt.

  2. Legen Sie die Einstellungen für die Warnungsgruppierung fest.

    Wenn aus einer Gruppe von bis zu 150 ähnlichen oder wiederkehrenden Warnungen (siehe Hinweis) ein einzelner Incident erstellt werden soll, legen Sie im Abschnitt Warnungsgruppierung die Option Alle verwandten Warnungen, die durch diese Analyseregel ausgelöst werden, in Incidents gruppieren auf Aktiviert fest, und legen Sie die folgenden Parameter fest.

    1. Gruppe auf Warnungen beschränken, die innerhalb des ausgewählten Zeitraums erstellt werden: Bestimmen Sie den Zeitraum, in dem ähnliche oder wiederkehrende Warnungen gruppiert werden sollen. Alle entsprechenden Warnungen innerhalb dieses Zeitraums generieren zusammen einen Incident oder eine Gruppe von Incidents (abhängig von den unten aufgeführten Gruppierungseinstellungen). Bei Warnungen außerhalb dieses Zeitraums wird ein separater Incident oder eine Reihe von Incidents generiert.

    2. Von dieser Analyseregel ausgelöste Warnungen in einem einzigen Incident zusammenfassen und gruppieren nach: Wählen Sie die Grundlage für die Gruppierung der Warnungen aus:

      Option BESCHREIBUNG
      Warnungen in einem einzigen Incident gruppieren, wenn alle Entitäten übereinstimmen Warnungen werden gruppiert, wenn sie identische Werte für jede der zugeordneten Entitäten aufweisen (weiter oben definiert auf der Registerkarte Regellogik festlegen). Dies ist die empfohlene Einstellung.
      Alle von dieser Regel ausgelösten Warnungen in einem einzigen Incident gruppieren Alle von dieser Regel generierten Warnungen werden zusammengefasst, auch wenn sie keine identischen Werte haben.
      Gruppieren von Warnungen in einem einzigen Incident, wenn die ausgewählten Entitäten und Details übereinstimmen Warnungen werden gruppiert, wenn sie identische Werte für alle zugeordneten Entitäten, Warnungsdetails und benutzerdefinierten Details aufweisen, die in den entsprechenden Dropdownlisten ausgewählt wurden.

      Sie können diese Einstellung verwenden, wenn Sie z. B. separate Incidents basierend auf der Quell- oder Ziel-IP-Adresse erstellen oder Warnungen mit einer bestimmten Entität und einem bestimmten Schweregrad gruppieren möchten.

      Hinweis: Wenn Sie diese Option auswählen, muss mindestens ein Entitätstyp oder ein Feld für die Regel ausgewählt sein. Andernfalls ist die Regelüberprüfung nicht erfolgreich, und die Regel wird nicht erstellt.

    3. Geschlossene übereinstimmende Incidents erneut öffnen: Wenn ein Incident gelöst oder geschlossen wurde und später eine weitere Warnung generiert wird, die zu diesem Incident gehören würde, haben Sie folgende Möglichkeiten: Legen Sie diese Einstellung auf Aktiviert fest, wenn der geschlossene Incident erneut geöffnet werden soll, oder übernehmen Sie die Einstellung Deaktiviert, wenn durch die Warnung ein neuer Incident erzeugt werden soll.

    Hinweis

    Bis zu 150 Warnungen können in einem einzelnen Vorfall gruppiert werden.

    • Der Incident wird erst erstellt, nachdem alle Warnungen generiert wurden. Alle Warnungen werden dem Incident unmittelbar bei seiner Erstellung hinzugefügt.

    • Wenn mehr als 150 Warnungen von einer Regel generiert werden, die sie zu einem einzelnen Incident gruppiert, wird ein neuer Incident mit denselben Incidentinformationen wie der ursprüngliche Incident generiert, und die überzähligen Warnungen werden in dem neuen Incident gruppiert.

  3. Wählen Sie Weiter: Automatisierte Antwort aus.

Festlegen automatisierter Antworten und Erstellen der Regel

Auf der Registerkarte Automatisierte Antworten können Sie Automatisierungsregeln verwenden, um automatisierte Antworten festzulegen, die bei drei Gelegenheiten auftreten:

  • Wenn von dieser Analyseregel eine Warnung generiert wird.
  • Wenn ein Vorfall aus Warnungen erstellt wird, die von dieser Analyseregel generiert werden.
  • Wenn ein Incident mit Warnungen aktualisiert wird, die von dieser Analyseregel generiert werden.

Das Raster, das unter Automatisierungsregeln angezeigt wird, zeigt die Automatisierungsregeln, die bereits auf diese Analyseregel angewendet werden (da sie die in diesen Regeln definierten Bedingungen erfüllt). Sie können alle diese Elemente bearbeiten, indem Sie den Namen der Regel oder die Auslassungspunkte am Ende jeder Zeile auswählen. Oder Sie können Neu hinzufügen zum Erstellen einer neuen Automatisierungsregel auswählen.

Verwenden Sie Automatisierungsregeln, um grundlegende Selektierungen, Zuweisungen und Workflows durchzuführen sowie Vorfälle zu schließen.

Automatisieren Sie komplexere Aufgaben, und rufen Sie Antworten von Remotesystemen auf, um Bedrohungen zu beheben, indem Sie Playbooks aus diesen Automatisierungsregeln aufrufen. Sie können Playbooks für Vorfälle wie auch für einzelne Warnungen aufrufen.

  • Unter Warnungsautomatisierung (klassisch) im unteren Bildschirmbereich werden alle Playbooks angezeigt, die Sie für die automatische Ausführung bei der Generierung einer Warnung mit der alten Methode konfiguriert haben.

    • Ab Juni 2023 können Sie keine Playbooks mehr zu dieser Liste hinzufügen. Hier bereits aufgeführte Playbooks werden weiterhin ausgeführt, bis diese Methode im März 2026 abgeschafft wird.

    • Wenn Sie hier noch Playbooks aufgelistet haben, sollten Sie stattdessen eine Automatisierungsregel basierend auf dem durch die Warnung erstellten Auslöser erstellen und die Playbooks aus der Automatisierungsregel aufrufen. Betätigen Sie danach die Optionspunkte am Ende der Zeile des aufgeführten Playbooks und wählen Sie Entfernen aus. Eine vollständige Anleitung finden Sie unter Migrieren Ihrer Microsoft Sentinel-Warnauslöser für Playbooks in Automatisierungsregeln.

Wählen Sie Weiter: Überprüfen und erstellen aus, um alle Einstellungen für Ihre neue Analyseregel zu überprüfen. Wenn die Meldung „Überprüfung erfolgreich“ angezeigt wird, wählen Sie Erstellen aus.

Anzeigen der Regel und ihrer Ausgabe

Zeigen Sie die Regeldefinition an:

  • Die neu erstellte benutzerdefinierte Regel (vom Typ „Geplant“) finden Sie in der Tabelle auf der Registerkarte Aktive Regeln auf dem Hauptbildschirm von Analysen. Über diese Liste können Sie die einzelnen Regeln aktivieren, deaktivieren oder löschen.

Zeigen Sie die Ergebnisse der Regel an:

  • Um die Ergebnisse der Analyseregeln anzuzeigen, die Sie im Azure-Portal erstellen, wechseln Sie zur Seite Vorfälle, wo Sie Vorfälle selektieren, sie untersuchen und die Bedrohungen beheben können.

Optimieren Sie die Regel:

Hinweis

In Microsoft Sentinel generierte Warnungen stehen über Microsoft Graph Security zur Verfügung. Weitere Informationen finden Sie unter Verwenden der Sicherheits-API von Microsoft Graph.

Exportieren der Regel in eine ARM-Vorlage

Wenn Sie Ihre Regel packen möchten, damit sie verwaltet und als Code bereitgestellt wird, können Sie die Regel problemlos in eine ARM-Vorlage (Azure Resource Manager) exportieren. Sie können auch Regeln aus Vorlagendateien importieren und dann auf der Benutzeroberfläche anzeigen und bearbeiten.

Nächste Schritte

Wenn Sie Analyseregeln zum Erkennen von Bedrohungen durch Microsoft Sentinel verwenden, stellen Sie sicher, dass Sie alle Regeln aktivieren, die Ihren verbundenen Datenquellen zugeordnet sind, um eine vollständige Sicherheitsabdeckung für Ihre Umgebung zu gewährleisten.

Um die Aktivierung von Regeln zu automatisieren, können Sie Regeln über die API und die PowerShell an Microsoft Sentinel weiterleiten, was allerdings zusätzlichen Aufwand erfordert. Wenn Sie die API oder PowerShell verwenden, müssen Sie die Regeln zunächst in JSON exportieren, bevor Sie die Regeln aktivieren. Eine API oder PowerShell kann hilfreich sein, wenn Sie Regeln in mehreren Instanzen von Microsoft Sentinel mit identischen Einstellungen in jeder Instanz aktivieren.

Weitere Informationen finden Sie unter:

Erfahren Sie außerdem anhand eines Beispiels, wie benutzerdefinierte Analyseregeln bei der Überwachung von Zoom mit einem benutzerdefinierten Connector eingesetzt werden.