Aangepaste regels maken voor het detecteren van bedreigingen

  • Artikel
  • 17 minuten om te lezen

Notitie

Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.

Nadat u uw gegevensbronnen hebt verbonden met Microsoft Sentinel, maakt u aangepaste analyseregels om bedreigingen en afwijkende gedragingen in uw omgeving te detecteren.

Analyseregels zoeken naar specifieke gebeurtenissen of reeksen gebeurtenissen in uw omgeving, waarschuwen u wanneer bepaalde drempelwaarden of voorwaarden voor gebeurtenissen zijn bereikt, genereren incidenten voor uw SOC om bedreigingen te onderzoeken en te onderzoeken met geautomatiseerde tracerings- en herstelprocessen.

Tip

Gebruik bij het maken van aangepaste regels bestaande regels als sjablonen of verwijzingen. Het gebruik van bestaande regels als basislijn helpt bij het bouwen van de meeste logica voordat u wijzigingen aan te brengen die nodig zijn.

  • Analyseregels maken
  • Definiëren hoe gebeurtenissen en waarschuwingen worden verwerkt
  • Definiëren hoe waarschuwingen en incidenten worden gegenereerd
  • Automatische bedreigingsreacties kiezen voor uw regels

Een aangepaste analyseregel maken met een geplande query

  1. Selecteer analytics in het navigatiemenu van Microsoft Sentinel.

  2. Selecteer in de actiebalk bovenaan + Maken en selecteer Geplande queryregel. Hiermee opent u de wizard Analyseregel.

    Geplande query maken

Wizard Analyseregel - tabblad Algemeen

  • Geef een unieke naam en een Beschrijving op.

  • In de tactieken veld, kunt u kiezen uit de categorieën van aanvallen waarmee u de regel classificeren. Deze zijn gebaseerd op de tactieken van het MITRE ATT-&CK-framework.

  • Stel waar nodig de ernst van de waarschuwing in.

  • Wanneer u de regel maakt, is de status standaard Ingeschakeld, wat betekent dat deze onmiddellijk wordt uitgevoerd nadat u klaar bent met het maken ervan. Als u niet wilt dat de regel onmiddellijk wordt uitgevoerd, selecteert u Uitgeschakeld. De regel wordt toegevoegd aan het tabblad Actieve regels en u kunt de regel daar inschakelen wanneer u deze nodig hebt.

    Een aangepaste analyseregel maken

De logica van de regelquery definiëren en instellingen configureren

Op het tabblad Regellogica instellen kunt u een query rechtstreeks in het veld Regelquery schrijven of de query maken in Log Analytics en deze hier kopiëren en plakken.

  • Query's worden geschreven in de Kusto-querytaal (KQL). Meer informatie over KQL-concepten en -query'sen deze handige snelzoekgids.

  • In het voorbeeld in deze schermopname wordt een query op de tabel SecurityEvent weergegeven om een type mislukte Windows aanmeldingsgebeurtenissen weer te geven.

    Logica en instellingen voor queryregels configureren

  • Hier is nog een voorbeeldquery, een query die u waarschuwt wanneer er een afwijkende hoeveelheid resources wordt gemaakt in Azure Activity.

    AzureActivity
| where OperationName == "Create or Update Virtual Machine" or OperationName =="Create Deployment"
| where ActivityStatus == "Succeeded"
| make-series dcount(ResourceId)  default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller

    Notitie

    Best practices voor regelquery's:

    • De querylengte moet tussen de 1 en 10.000 tekens lang zijn en mag niet search * " " of " " union * bevatten. U kunt door de gebruiker gedefinieerde functies gebruiken om de beperking van de querylengte op te lossen.

    • Het gebruik van ADX-functies Azure Data Explorer query's in het Log Analytics-queryvenster wordt niet ondersteund.

    • Wanneer u de functie in een query gebruikt en u de kolommen projectt als velden met behulp van ' en de kolom niet bestaat, mislukt bag_unpack project field1 de query. Als bescherming tegen dit gebeurt, moet u de kolom als volgt projecteren:

      • project field1 = column_ifexists("field1","")

Verrijking van waarschuwingen

Belangrijk

De functies voor waarschuwingsverrijking zijn momenteel beschikbaar als PREVIEW. Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bètaversies, preview-functies of anderszins nog niet algemeen beschikbaar zijn.

  • Gebruik de sectie Entiteitstoewijzingsconfiguratie om parameters uit uw queryresultaten toe tewijsen aan door Microsoft Sentinel herkende entiteiten. Entiteiten verrijken de uitvoer van de regels (waarschuwingen en incidenten) met essentiële informatie die fungeert als de bouwstenen van onderzoekprocessen en herstelacties die volgen. Dit zijn ook de criteria waarmee u waarschuwingen kunt groeperen in incidenten op het tabblad Incidentinstellingen.

    Meer informatie over entiteiten in Microsoft Sentinel.

    Zie Gegevensvelden toewijzen aan entiteiten in Microsoft Sentinel voor volledige instructies voor entiteitstoewijzing, samen met belangrijke informatie over achterwaartse compatibiliteit.

  • Gebruik de configuratiesectie Aangepaste details om gebeurtenisgegevensitems te extraheren uit uw query en deze weer te geven in de waarschuwingen die door deze regel worden geproduceerd, zodat u direct inzicht krijgt in de gebeurtenisinhoud in uw waarschuwingen en incidenten.

    Meer informatie over het weergeven van aangepaste details in waarschuwingen en de volledige instructies.

  • Gebruik de configuratiesectie Waarschuwingsdetails om de presentatiedetails van de waarschuwing aan te passen aan de werkelijke inhoud. Met waarschuwingsdetails kunt u bijvoorbeeld het IP-adres of de accountnaam van een aanvaller weergeven in de titel van de waarschuwing zelf, zodat deze in de wachtrij voor incidenten wordt weergegeven, zodat u een veel rijker en duidelijker beeld krijgt van het bedreigingslandschap.

    Zie de volledige instructies voor het aanpassen van uw waarschuwingsdetails.

Queryplanning en waarschuwingsdrempel

  • Stel in de sectie Queryplanning de volgende parameters in:

    Queryplanning en gebeurtenisgroepering instellen

    • Stel Elke query uitvoeren in om te bepalen hoe vaak de query wordt uitgevoerd, zo vaak als elke 5 minuten of zo vaak als elke 14 dagen.

    • Stel Opzoekgegevens van de laatste in om de periode te bepalen van de gegevens die door de query worden gedekt. Er kan bijvoorbeeld een query worden uitgevoerd op de afgelopen 10 minuten aan gegevens of de afgelopen 6 uur aan gegevens. Het maximum is 14 dagen.

      Notitie

      Queryintervallen en lookback-periode

      Deze twee instellingen zijn onafhankelijk van elkaar, tot een bepaald punt. U kunt een query uitvoeren met een kort interval voor een periode die langer is dan het interval (in feite overlappende query's), maar u kunt een query niet uitvoeren met een interval dat de dekkingsperiode overschrijdt, anders hebt u hiaten in de totale querydekking. > > Opnamevertraging > > Om rekening te houden met latentie die kan optreden tussen het genereren van een gebeurtenis bij de bron en de opname ervan in Microsoft Sentinel, en om een volledige dekking zonder gegevensduplicatie te garanderen, voert Microsoft Sentinel geplande analyseregels uit op een vertraging van vijf minuten vanaf de geplande tijd. > > Zie Opnamevertraging in geplande analyseregels verwerken voor meer informatie.

  • Gebruik de sectie Waarschuwingsdrempel om het gevoeligheidsniveau van de regel te definiëren. Stel bijvoorbeeld Waarschuwing genereren wanneer het aantal queryresultaten is groter dan in en voer het getal 1000 in als u wilt dat de regel alleen een waarschuwing genereert als de query telkens wanneer deze wordt uitgevoerd meer dan 1000 resultaten retourneert. Dit is een vereist veld, dus als u geen drempelwaarde wilt instellen , dat wil zeggen, als u wilt dat uw waarschuwing elke gebeurtenis registreert, voert u 0 in het getalveld in.

Simulatie van resultaten

Selecteer in het gebied Resultatensimulatie aan de rechterkant van de wizard de optie Testen met huidige gegevens. Microsoft Sentinel geeft een grafiek weer van de resultaten (logboekgebeurtenissen) die de query in de afgelopen 50 keer zou hebben gegenereerd, volgens de momenteel gedefinieerde planning. Als u de query wijzigt, selecteert u opnieuw Testen met huidige gegevens om de grafiek bij te werken. In de grafiek ziet u het aantal resultaten gedurende de gedefinieerde periode, dat wordt bepaald door de instellingen in de sectie Queryplanning.

Hier ziet u hoe de resultatensimulatie eruit kan zien voor de query in de bovenstaande schermopname. De linkerkant is de standaardweergave en de rechterkant is wat u ziet wanneer u de muisaanwijzer over een bepaald tijdstip in de grafiek beweegt.

Schermopnamen van resultatensimulatie

Als u ziet dat uw query te veel of te vaak waarschuwingen activeert, kunt u experimenteren met de instellingen in de secties Queryplanning en Waarschuwingsdrempel en selecteert u opnieuw Testen met huidige gegevens.

Gebeurtenisgroepering en regelonderdrukking

Belangrijk

Gebeurtenisgroepering is momenteel beschikbaar in preview. Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bètaversies, preview-functies of anderszins nog niet algemeen beschikbaar zijn.

  • Kies onder Gebeurtenisgroepering een van de twee manieren om de groepering van gebeurtenissen in waarschuwingen te verwerken:

    • Groeperen van alle gebeurtenissen in één waarschuwing (de standaardinstelling). De regel genereert telkens wanneer deze wordt uitgevoerd één waarschuwing, zolang de query meer resultaten retourneert dan de opgegeven waarschuwingsdrempelwaarde hierboven. De waarschuwing bevat een samenvatting van alle gebeurtenissen die in de resultaten worden geretourneerd.

    • Een waarschuwing voor elke gebeurtenis activeren. De regel genereert een unieke waarschuwing voor elke gebeurtenis die door de query wordt geretourneerd. Dit is handig als u wilt dat gebeurtenissen afzonderlijk worden weergegeven of als u ze wilt groeperen op bepaalde parameters, op gebruiker, hostnaam of iets anders. U kunt deze parameters definiëren in de query.

      Het aantal waarschuwingen dat momenteel door een regel kan worden gegenereerd, is maximaal 20. Als in een bepaalde regel Gebeurtenisgroepering is ingesteld op Een waarschuwing activeren voor elke gebeurtenis en de query van de regel meer dan 20 gebeurtenissen retourneert, genereert elk van de eerste 19 gebeurtenissen een unieke waarschuwing en wordt met de 20e waarschuwing de volledige set geretourneerde gebeurtenissen samengevat. Met andere woorden, de 20e waarschuwing is wat er zou zijn gegenereerd onder de optie Alle gebeurtenissen groeperen in één waarschuwingsoptie.

      Als u deze optie kiest, voegt Microsoft Sentinel een nieuw veld, OriginalQuery, toe aan de resultaten van de query. Hier is een vergelijking van het bestaande queryveld en het nieuwe veld:

      Veldnaam Contains De query uitvoeren in dit veld
      resulteert in...
      Query De gecomprimeerde record van de gebeurtenis die dit exemplaar van de waarschuwing heeft gegenereerd De gebeurtenis die dit exemplaar van de waarschuwing heeft gegenereerd
      OriginalQuery De oorspronkelijke query zoals geschreven in de   analyseregel De meest recente gebeurtenis in het tijdsbestek waarin de query wordt uitgevoerd, die past bij de parameters die zijn gedefinieerd door de query

      Met andere woorden, het veld OriginalQuery gedraagt zich zoals het veld Query zich meestal gedraagt. Het resultaat van dit extra veld is dat het probleem dat wordt beschreven door het eerste item in de sectie Probleemoplossing hieronder, is opgelost.

    Notitie

    Wat is het verschil tussen gebeurtenissen en waarschuwingen?

    • Een gebeurtenis is een beschrijving van één exemplaar van een actie. Eén vermelding in een logboekbestand kan bijvoorbeeld als een gebeurtenis worden geteld. In deze context verwijst een gebeurtenis naar één resultaat dat wordt geretourneerd door een query in een analyseregel.

    • Een waarschuwing is een verzameling gebeurtenissen die samen belangrijk zijn vanuit het oogpunt van beveiliging. Een waarschuwing kan één gebeurtenis bevatten als de gebeurtenis aanzienlijke gevolgen heeft voor de beveiliging, bijvoorbeeld een administratieve aanmelding vanuit een ander land buiten kantooruren.

    • Wat zijn incidenten? De interne logica van Microsoft Sentinel maakt incidenten op uit waarschuwingen of groepen waarschuwingen. De incidentenwachtrij is het centrale punt van het werk van SOC-analisten: triage, onderzoek en herstel.

    Met Microsoft Sentinel worden onbewerkte gebeurtenissen uit sommige gegevensbronnen opgenomen en worden waarschuwingen van andere bronnen al verwerkt. Het is belangrijk om te weten met welke u te maken hebt.

  • In de sectie Onderdrukking kunt u de instelling Stop running query after alert is generated (Stoppen met uitvoeren van query nadat de waarschuwing is gegenereerd) aan zetten als u, zodra u een waarschuwing krijgt, de bewerking van deze regel wilt opschorten voor een bepaalde periode die het queryinterval overschrijdt. Als u deze in kunt stellen, moet u Stoppen met uitvoeren van query voor instellen op de hoeveelheid tijd dat de query niet meer mag worden uitgevoerd, maximaal 24 uur.

De instellingen voor het maken van incidenten configureren

Op het tabblad Incident Instellingen kunt u kiezen of en hoe Waarschuwingen door Microsoft Sentinel worden om zetten in incidenten waarop actie kan worden ondernomen. Als dit tabblad met rust blijft, maakt Microsoft Sentinel één incident, gescheiden van elke waarschuwing. U kunt ervoor kiezen om geen incidenten te maken of verschillende waarschuwingen te groeperen in één incident door de instellingen op dit tabblad te wijzigen.

Belangrijk

Het tabblad incidentinstellingen is momenteel beschikbaar als PREVIEW. Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bètaversies, preview-functies of anderszins nog niet algemeen beschikbaar zijn.

Bijvoorbeeld:

Definieer de instellingen voor het maken van incidenten en het groeperen van waarschuwingen

Incidentinstellingen

In de sectie Incidentinstellingen wordt Incidenten maken op basis van waarschuwingen die worden geactiveerd door deze analyseregel standaard ingesteld op Ingeschakeld, wat betekent dat Microsoft Sentinel één afzonderlijk incident maakt van elke waarschuwing die door de regel wordt geactiveerd.

  • Als u niet wilt dat deze regel leidt tot het maken van incidenten (als deze regel bijvoorbeeld alleen is om informatie te verzamelen voor volgende analyse), stelt u deze in op Uitgeschakeld.

  • Als u wilt dat er één incident wordt gemaakt vanuit een groep waarschuwingen, in plaats van één voor elke waarschuwing, bekijkt u de volgende sectie.

Waarschuwingsgroepering

Als u in de sectie Waarschuwingsgroepering wilt dat één incident wordt gegenereerd op basis van een groep van maximaal 150 vergelijkbare of terugkerende waarschuwingen (zie opmerking), stelt u Groepsgerelateerde waarschuwingen, geactiveerd door deze analyseregel, in op Incidenten op Ingeschakeld en stelt u de volgende parameters in.

  • Beperk de groep tot waarschuwingen die binnen het geselecteerde tijdsbestek zijn gemaakt: bepaal het tijdsbestek waarin de vergelijkbare of terugkerende waarschuwingen worden gegroepeerd. Alle bijbehorende waarschuwingen binnen dit tijdsbestek genereren gezamenlijk een incident of een reeks incidenten (afhankelijk van de onderstaande groeperingsinstellingen). Waarschuwingen buiten dit tijdsbestek genereren een afzonderlijk incident of een reeks incidenten.

  • Groepswaarschuwingen die door deze analyseregel worden geactiveerd in één incident door : Kies de basis waarop waarschuwingen worden gegroepeerd:

    Optie Beschrijving
    Groepswaarschuwingen in één incident als alle entiteiten overeenkomen Waarschuwingen worden gegroepeerd als ze identieke waarden delen voor elk van de entiteiten die zijn opgegeven (gedefinieerd op het tabblad Regellogica instellen hierboven). Dit is de aanbevolen instelling.
    Alle waarschuwingen die door deze regel worden geactiveerd, groepeert u in één incident Alle waarschuwingen die door deze regel worden gegenereerd, worden gegroepeerd, zelfs als ze geen identieke waarden delen.
    Groepswaarschuwingen in één incident als de geselecteerde entiteiten en details overeenkomen Waarschuwingen worden gegroepeerd als ze identieke waarden delen voor alle entiteiten, waarschuwingsdetails en aangepaste details die zijn geselecteerd in de desbetreffende vervolgkeuzelijsten.

    U kunt deze instelling gebruiken als u bijvoorbeeld afzonderlijke incidenten wilt maken op basis van de bron- of doel-IP-adressen, of als u waarschuwingen wilt groepeert die overeenkomen met een specifieke entiteit en ernst.

    Opmerking: wanneer u deze optie selecteert, moet er ten minste één entiteitstype of -veld zijn geselecteerd voor de regel. Anders mislukt de validatie van de regel en wordt de regel niet gemaakt.

  • Gesloten overeenkomende incidenten opnieuw openen: als een incident is opgelost en gesloten en later een andere waarschuwing wordt gegenereerd die bij dat incident hoort, stelt u deze instelling in op Ingeschakeld als u wilt dat het gesloten incident opnieuw wordt geopend en laat u Uitgeschakeld staan als u wilt dat de waarschuwing een nieuw incident maakt.

    Notitie

    Er kunnen maximaal 150 waarschuwingen worden gegroepeerd in één incident. Als er meer dan 150 waarschuwingen worden gegenereerd door een regel die ze in één incident groepeert, wordt er een nieuw incident gegenereerd met dezelfde incidentdetails als het oorspronkelijke incident en worden de overtollige waarschuwingen gegroepeerd in het nieuwe incident.

Automatische antwoorden instellen en de regel maken

  1. Op het tabblad Geautomatiseerde antwoorden kunt u automatisering instellen op basis van de waarschuwing of waarschuwingen die door deze analyseregel worden gegenereerd of op basis van het incident dat door de waarschuwingen is gemaakt.

    • Voor automatisering op basis van waarschuwingen selecteert u in de vervolgkeuzelijst onder Waarschuwingsautomatisering alle playbooks die u automatisch wilt uitvoeren wanneer er een waarschuwing wordt gegenereerd.
    • Voor automatisering op basis van incidenten selecteert of maakt u een automatiseringsregel onder Incidentautomatisering (preview). U kunt playbooks (die zijn gebaseerd op de incidenttrigger) aanroepen vanuit deze automatiseringsregels, en triage, toewijzing en afsluiten automatiseren.
    • Zie Bedreigingsreacties automatiseren voor meer informatie en instructies over het maken van playbooks en automatiseringsregels.
    • Zie Triggers en acties gebruiken in Microsoft Sentinel-playbooksvoor meer informatie over wanneer de waarschuwingstrigger of de incidenttrigger moet worden gebruikt.

    De instellingen voor geautomatiseerde antwoorden definiëren

  2. Selecteer Controleren en maken om alle instellingen voor de nieuwe waarschuwingsregel te controleren. Wanneer het bericht Validatie is geslaagd wordt weergegeven, selecteert u Maken om de waarschuwingsregel te initialiseren.

    Alle instellingen controleren en de regel maken

De regel en de uitvoer ervan weergeven

  • U vindt uw zojuist gemaakte aangepaste regel (van het type 'Gepland') in de tabel onder het tabblad Actieve regels op het hoofdscherm Analyse. In deze lijst kunt u elke regel inschakelen, uitschakelen of verwijderen.

  • Als u de resultaten wilt bekijken van de waarschuwingsregels die u maakt, gaat u naar de pagina Incidenten, waar u incidenten kunt zoeken,onderzoeken en de bedreigingen kunt herstellen.

  • U kunt de regelquery bijwerken om fout-positieven uit te sluiten. Zie Handle false positives in Microsoft Sentinel (Fout-positieven verwerken in Microsoft Sentinel) voor meer informatie.

Notitie

Waarschuwingen die in Microsoft Sentinel worden gegenereerd, zijn beschikbaar via Microsoft Graph Security. Zie de documentatie over Microsoft Graph-beveiligingswaarschuwingen voor meer informatie.

De regel exporteren naar een ARM-sjabloon

Als u de regel wilt verpakken om te worden beheerd en geïmplementeerd als code, kunt u de regel eenvoudig exporteren naar een ARM-sjabloon (Azure Resource Manager ). U kunt ook regels importeren uit sjabloonbestanden om deze weer te geven en te bewerken in de gebruikersinterface.

Problemen oplossen

Probleem: Er worden geen gebeurtenissen weergegeven in de queryresultaten

Als gebeurtenisgroepering is ingesteld om een waarschuwing voor elke gebeurtenis te activeren, is het in bepaalde scenario's mogelijk dat er geen queryresultaten worden weergegeven wanneer u de queryresultaten op een later tijdstip bekijkt (bijvoorbeeld wanneer u terugvoeert naar waarschuwingen van een incident). Dit komt doordat de verbinding van de gebeurtenis met de waarschuwing wordt bereikt door het hashen van de gegevens van de specifieke gebeurtenis en het opnemen van de hash in de query. Als de queryresultaten zijn gewijzigd sinds de waarschuwing is gegenereerd, is de hash niet meer geldig en worden er geen resultaten weergegeven.

Als u de gebeurtenissen wilt zien, verwijdert u handmatig de regel met de hash uit de query van de regel en voer u de query uit.

Notitie

Dit probleem is opgelost door de toevoeging van een nieuw veld, OriginalQuery, aan de resultaten wanneer deze optie voor het groeperen van gebeurtenissen wordt geselecteerd. Zie de bovenstaande beschrijving.

Probleem: een geplande regel kan niet worden uitgevoerd of wordt weergegeven met AUTOMATISCH UITGESCHAKELD toegevoegd aan de naam

Het komt zelden voor dat een geplande queryregel niet kan worden uitgevoerd, maar dit kan wel gebeuren. Microsoft Sentinel classificeert fouten van te voren als tijdelijk of permanent, op basis van het specifieke type fout en de omstandigheden die ertoe hebben geleid.

Tijdelijke fout

Een tijdelijke fout treedt op als gevolg van een tijdelijke situatie die binnenkort weer normaal wordt, waarna de uitvoering van de regel slaagt. Enkele voorbeelden van fouten die microsoft Sentinel classificeert als tijdelijk zijn:

  • Het duurt te lang om een regelquery uit te voeren en er t mogelijk een times-out op te geven.
  • Connectiviteitsproblemen tussen gegevensbronnen en Log Analytics, of tussen Log Analytics en Microsoft Sentinel.
  • Andere nieuwe en onbekende fouten worden beschouwd als tijdelijk.

In het geval van een tijdelijke fout probeert Microsoft Sentinel de regel opnieuw uit te voeren na vooraf bepaalde en steeds toenemende intervallen, tot een bepaald punt. Daarna wordt de regel pas opnieuw uitgevoerd op de volgende geplande tijd. Een regel wordt nooit automatisch uitgeschakeld vanwege een tijdelijke fout.

Permanente fout : regel automatisch uitgeschakeld

Een permanente fout treedt op als gevolg van een wijziging in de voorwaarden waardoor de regel kan worden uitgevoerd, die zonder menselijke tussenkomst niet terugkeert naar hun vorige status. Hier volgen enkele voorbeelden van fouten die zijn geclassificeerd als permanent:

  • De doelwerkruimte (waarop de regelquery is uitgevoerd) is verwijderd.
  • De doeltabel (waarop de regelquery is uitgevoerd) is verwijderd.
  • Microsoft Sentinel is verwijderd uit de doelwerkruimte.
  • Een functie die wordt gebruikt door de regelquery is niet langer geldig; deze is gewijzigd of verwijderd.
  • Machtigingen voor een van de gegevensbronnen van de regelquery zijn gewijzigd.
  • Een van de gegevensbronnen van de regelquery is verwijderd of de verbinding is verbroken.

In het geval van een vooraf bepaald aantal opeenvolgende permanente fouten, van hetzelfde type en volgens dezelfde regel, Microsoft Sentinel stopt met het uitvoeren van de regel en voert ook de volgende stappen uit:

  • Hiermee schakelt u de regel.
  • Voegt de woorden 'AUTOMATISCH UITGESCHAKELD' toe aan het begin van de naam van de regel.
  • Voegt de reden voor de fout (en het uitschakelen) toe aan de beschrijving van de regel.

U kunt eenvoudig de aanwezigheid van automatisch uitgeschakelde regels bepalen door de lijst met regels op naam te sorteren. De automatisch uitgeschakelde regels staan bovenaan of bovenaan de lijst.

SOC-managers moeten de lijst met regels regelmatig controleren op de aanwezigheid van automatisch uitgeschakelde regels.

Volgende stappen

Wanneer u analyseregels gebruikt om bedreigingen van Microsoft Sentinel te detecteren, moet u ervoor zorgen dat u alle regels inschakelen die zijn gekoppeld aan uw verbonden gegevensbronnen, om te zorgen voor een volledige beveiligingsdekking voor uw omgeving. De meest efficiënte manier om analyseregels in teschakelen, is rechtstreeks vanaf de gegevensconnectorpagina, waarop alle gerelateerde regels worden vermeld. Zie gegevensbronnen voor Verbinding maken meer informatie.

U kunt ook regels pushen naar Microsoft Sentinel via API en PowerShell,maar hiervoor is extra inspanning vereist. Wanneer u API of PowerShell gebruikt, moet u eerst de regels exporteren naar JSON voordat u de regels inschakelen. API of PowerShell kan handig zijn bij het inschakelen van regels in meerdere exemplaren van Microsoft Sentinel met identieke instellingen in elk exemplaar.

Zie voor meer informatie:

Zie voor meer informatie:

Leer ook van een voorbeeld van het gebruik van aangepaste analyseregels bij het bewaken van Zoom met een aangepaste connector.