Aangepaste detectieregels maken en beherenCreate and manage custom detections rules

Belangrijk

Het verbeterde Microsoft 365-beveiligingscentrum is nu beschikbaar.The improved Microsoft 365 security center is now available. Deze nieuwe ervaring brengt Defender voor Eindpunt, Defender voor Office 365, Microsoft 365 Defender en meer naar het Microsoft 365-beveiligingscentrum.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Ontdek wat er nieuw is.Learn what's new.

Van toepassing op:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender
  • Microsoft Defender voor EindpuntMicrosoft Defender for Endpoint

Aangepaste detectieregels zijn regels die u kunt ontwerpen en aanpassen met behulp van geavanceerde zoekquery's.Custom detection rules are rules you can design and tweak using advanced hunting queries. Met deze regels kunt u proactief verschillende gebeurtenissen en systeemstaten controleren, waaronder verdachte inbreukactiviteiten en verkeerd geconfigureerde eindpunten.These rules let you proactively monitor various events and system states, including suspected breach activity and misconfigured endpoints. U kunt instellen dat ze regelmatig worden uitgevoerd, waarschuwingen genereren en antwoordacties uitvoeren wanneer er overeenkomsten zijn.You can set them to run at regular intervals, generating alerts and taking response actions whenever there are matches.

Vereiste machtigingen voor het beheren van aangepaste detectiesRequired permissions for managing custom detections

Als u aangepaste detecties wilt beheren, moet u een van de volgende rollen krijgen:To manage custom detections, you need to be assigned one of these roles:

  • Beveiligingsbeheerder: gebruikers met deze Azure Active Directory kunnen beveiligingsinstellingen beheren in Microsoft 365 beveiligingscentrum en andere portals en services.Security administrator—Users with this Azure Active Directory role can manage security settings in Microsoft 365 security center and other portals and services.

  • Beveiligingsoperator: gebruikers met deze Azure Active Directory kunnen waarschuwingen beheren en hebben globale alleen-lezen toegang tot beveiligingsfuncties, inclusief alle informatie in Microsoft 365 beveiligingscentrum.Security operator—Users with this Azure Active Directory role can manage alerts and have global read-only access to security-related features, including all information in Microsoft 365 security center. Deze rol is alleen voldoende voor het beheren van aangepaste detecties als RBAC (Role Based Access Control) is uitgeschakeld in Microsoft Defender voor Eindpunt.This role is sufficient for managing custom detections only if role-based access control (RBAC) is turned off in Microsoft Defender for Endpoint. Als u RBAC hebt geconfigureerd, hebt u ook de machtiging beveiligingsinstellingen voor Defender voor Eindpunt nodig.If you have RBAC configured, you also need the manage security settings permission for Defender for Endpoint.

Als u vereiste machtigingen wilt beheren, kan een globale beheerder het volgende doen:To manage required permissions, a global administrator can:

  • Wijs de rol van de beveiligingsbeheerder of beveiligingsoperator toe in Microsoft 365 beheercentrum onder > Rollenbeveiligingsbeheerder.Assign the security administrator or security operator role in Microsoft 365 admin center under Roles > Security admin.
  • Controleer RBAC-instellingen voor Microsoft Defender voor Eindpunt in Microsoft Defender-beveiligingscentrum onder Instellingen > Machtigingen > Rollen.Check RBAC settings for Microsoft Defender for Endpoint in Microsoft Defender Security Center under Settings > Permissions > Roles. Selecteer de bijbehorende rol om de machtiging beveiligingsinstellingen beheren toe te wijzen.Select the corresponding role to assign the manage security settings permission.

Notitie

Als u aangepaste detecties wilt beheren, hebben beveiligingsoperatoren de machtiging beveiligingsinstellingen in Microsoft Defender voor Eindpunt nodig als RBAC is ingeschakeld.To manage custom detections, security operators will need the manage security settings permission in Microsoft Defender for Endpoint if RBAC is turned on.

Een aangepaste detectieregel makenCreate a custom detection rule

1. De query voorbereiden.1. Prepare the query.

Ga Microsoft 365 in het beveiligingscentrum naar Geavanceerd zoeken en selecteer een bestaande query of maak een nieuwe query.In Microsoft 365 security center, go to Advanced hunting and select an existing query or create a new query. Wanneer u een nieuwe query gebruikt, moet u de query uitvoeren om fouten te identificeren en mogelijke resultaten te begrijpen.When using a new query, run the query to identify errors and understand possible results.

Belangrijk

Als u wilt voorkomen dat de service te veel waarschuwingen retourneert, is elke regel beperkt tot het genereren van slechts 100 waarschuwingen wanneer deze wordt uitgevoerd.To prevent the service from returning too many alerts, each rule is limited to generating only 100 alerts whenever it runs. Voordat u een regel maakt, kunt u de query aanpassen om te voorkomen dat u een waarschuwing voor normale, dagelijkse activiteiten uitvoert.Before creating a rule, tweak your query to avoid alerting for normal, day-to-day activity.

Vereiste kolommen in de queryresultatenRequired columns in the query results

Als u een aangepaste detectieregel wilt maken, moet de query de volgende kolommen retourneren:To create a custom detection rule, the query must return the following columns:

  • Timestamp—gebruikt om de tijdstempel in te stellen voor gegenereerde waarschuwingenTimestamp—used to set the timestamp for generated alerts
  • ReportId—hiermee kunt u opzoekingen voor de oorspronkelijke records inReportId—enables lookups for the original records
  • Een van de volgende kolommen die specifieke apparaten, gebruikers of postvakken identificeren:One of the following columns that identify specific devices, users, or mailboxes:
    • DeviceId
    • DeviceName
    • RemoteDeviceName
    • RecipientEmailAddress
    • SenderFromAddress (afzender van envelop of Return-Path adres)SenderFromAddress (envelope sender or Return-Path address)
    • SenderMailFromAddress (afzenderadres weergegeven door e-mailclient)SenderMailFromAddress (sender address displayed by email client)
    • RecipientObjectId
    • AccountObjectId
    • AccountSid
    • AccountUpn
    • InitiatingProcessAccountSid
    • InitiatingProcessAccountUpn
    • InitiatingProcessAccountObjectId

Notitie

Ondersteuning voor extra entiteiten wordt toegevoegd als er nieuwe tabellen worden toegevoegd aan het geavanceerde schema voor de jacht.Support for additional entities will be added as new tables are added to the advanced hunting schema.

Eenvoudige query's, zoals query's die de operator of operator niet gebruiken om resultaten aan te passen of te aggregeren, retourneert meestal project summarize deze algemene kolommen.Simple queries, such as those that don't use the project or summarize operator to customize or aggregate results, typically return these common columns.

Er zijn verschillende manieren om ervoor te zorgen dat complexere query's deze kolommen retourneren.There are various ways to ensure more complex queries return these columns. Als u bijvoorbeeld liever wilt aggregeren en tellen per entiteit onder een kolom zoals , kunt u deze nog steeds retourneren en deze verkrijgen van de meest recente gebeurtenis waarbij elke unieke gebeurtenis DeviceId Timestamp betrokken ReportId DeviceId is.For example, if you prefer to aggregate and count by entity under a column such as DeviceId, you can still return Timestamp and ReportId by getting it from the most recent event involving each unique DeviceId.

De voorbeeldquery hieronder telt het aantal unieke apparaten () met antivirusdetecties en gebruikt dit aantal om alleen de apparaten met meer dan DeviceId vijf detecties te vinden.The sample query below counts the number of unique devices (DeviceId) with antivirus detections and uses this count to find only the devices with more than five detections. Als u de meest recente Timestamp en de bijbehorende ReportId functie wilt retourneren, wordt de summarize operator met de functie arg_max gebruikt.To return the latest Timestamp and the corresponding ReportId, it uses the summarize operator with the arg_max function.

DeviceEvents
| where Timestamp > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

Tip

Voor betere queryprestaties stelt u een tijdfilter in dat overeenkomt met de geplande runfrequentie voor de regel.For better query performance, set a time filter that matches your intended run frequency for the rule. Aangezien de minst voorkomende run elke 24 uur is, worden alle nieuwe gegevens bestrijken door te filteren op de afgelopen dag.Since the least frequent run is every 24 hours, filtering for the past day will cover all new data.

2. Maak een nieuwe regel en geef waarschuwingsdetails op.2. Create new rule and provide alert details.

Met de query in de queryeditor selecteert u Detectieregel maken en geeft u de volgende waarschuwingsdetails op:With the query in the query editor, select Create detection rule and specify the following alert details:

  • Detectienaam:naam van de detectieregelDetection name—name of the detection rule
  • Frequentie: interval voor het uitvoeren van de query en het uitvoeren van actie.Frequency—interval for running the query and taking action. Zie aanvullende richtlijnen hieronderSee additional guidance below
  • Waarschuwingstitel: titel weergegeven met waarschuwingen die door de regel worden geactiveerdAlert title—title displayed with alerts triggered by the rule
  • Ernst : potentieel risico van het onderdeel of de activiteit die door de regel is geïdentificeerdSeverity—potential risk of the component or activity identified by the rule
  • Categorie:bedreigingscomponent of activiteit die door de regel is geïdentificeerdCategory—threat component or activity identified by the rule
  • MITRE ATT&CK-technieken( een of meer aanvalstechnieken die door de regel zijn geïdentificeerd zoals beschreven in het MITRE ATT-&CK-framework.MITRE ATT&CK techniques—one or more attack techniques identified by the rule as documented in the MITRE ATT&CK framework. Deze sectie is verborgen voor bepaalde waarschuwingscategorieën, waaronder malware, ransomware, verdachte activiteiten en ongewenste softwareThis section is hidden for certain alert categories, including malware, ransomware, suspicious activity, and unwanted software
  • Beschrijving: meer informatie over het onderdeel of de activiteit die door de regel is geïdentificeerdDescription—more information about the component or activity identified by the rule
  • Aanbevolen acties: aanvullende acties die reageren op een waarschuwingRecommended actions—additional actions that responders might take in response to an alert

RegelfrequentieRule frequency

Wanneer u een nieuwe regel op te slaan, wordt deze uitgevoerd en gecontroleerd op overeenkomsten uit de afgelopen 30 dagen met gegevens.When you save a new rule, it runs and checks for matches from the past 30 days of data. De regel wordt vervolgens opnieuw uitgevoerd met vaste intervallen, met een terugslagduur op basis van de frequentie die u kiest:The rule then runs again at fixed intervals, applying a lookback duration based on the frequency you choose:

  • Elke 24 uur : wordt elke 24 uur uitgevoerd en controleert gegevens uit de afgelopen 30 dagenEvery 24 hours—runs every 24 hours, checking data from the past 30 days
  • Elke 12 uur : wordt elke 12 uur uitgevoerd en controleert gegevens uit de afgelopen 24 uurEvery 12 hours—runs every 12 hours, checking data from the past 24 hours
  • Elke 3 uur : wordt elke 3 uur uitgevoerd en controleert gegevens uit de afgelopen 6 uurEvery 3 hours—runs every 3 hours, checking data from the past 6 hours
  • Elk uur: wordt elk uur uitgevoerd en de gegevens van de afgelopen 2 uur worden gecontroleerdEvery hour—runs hourly, checking data from the past 2 hours

Wanneer u een regel bewerkt, worden deze uitgevoerd met de toegepaste wijzigingen in de volgende run time die is gepland op basis van de frequentie die u hebt ingesteld.When you edit a rule, it will run with the applied changes in the next run time scheduled according to the frequency you set.

Tip

De tijdfilters in de query overeenkomen met de duur van de terugblik.Match the time filters in your query with the lookback duration. Resultaten buiten de terugblikduur worden genegeerd.Results outside of the lookback duration are ignored.

Selecteer de frequentie die overeenkomt met hoe nauw u detecties wilt controleren.Select the frequency that matches how closely you want to monitor detections. Houd rekening met de capaciteit van uw organisatie om op de waarschuwingen te reageren.Consider your organization's capacity to respond to the alerts.

3. Kies de beïnvloede entiteiten.3. Choose the impacted entities.

Identificeer de kolommen in de queryresultaten waar u de belangrijkste beïnvloede of beïnvloede entiteit verwacht te vinden.Identify the columns in your query results where you expect to find the main affected or impacted entity. Een query kan bijvoorbeeld adressen van afzender SenderFromAddress (of SenderMailFromAddress ) en geadresseerde RecipientEmailAddress () retourneren.For example, a query might return sender (SenderFromAddress or SenderMailFromAddress) and recipient (RecipientEmailAddress) addresses. Door te bepalen welke van deze kolommen de belangrijkste beïnvloede entiteit vertegenwoordigt, kan de service relevante waarschuwingen, correlerende incidenten en doelreactieacties aggregeren.Identifying which of these columns represent the main impacted entity helps the service aggregate relevant alerts, correlate incidents, and target response actions.

U kunt slechts één kolom selecteren voor elk entiteitstype (postvak, gebruiker of apparaat).You can select only one column for each entity type (mailbox, user, or device). Kolommen die niet door uw query worden geretourneerd, kunnen niet worden geselecteerd.Columns that are not returned by your query can't be selected.

4. Geef acties op.4. Specify actions.

Uw aangepaste detectieregel kan automatisch acties uitvoeren op apparaten, bestanden of gebruikers die door de query worden geretourneerd.Your custom detection rule can automatically take actions on devices, files, or users that are returned by the query.

Acties op apparatenActions on devices

Deze acties worden toegepast op apparaten in de DeviceId kolom van de queryresultaten:These actions are applied to devices in the DeviceId column of the query results:

Acties op bestandenActions on files

Wanneer geselecteerd, kunt u ervoor kiezen om de actie Quarantainebestand toe te passen op bestanden in SHA1 de , of kolom van de InitiatingProcessSHA1 SHA256 InitiatingProcessSHA256 queryresultaten.When selected, you can choose to apply the Quarantine file action on files in the SHA1, InitiatingProcessSHA1, SHA256, or InitiatingProcessSHA256 column of the query results. Met deze actie wordt het bestand van de huidige locatie verwijderd en wordt een kopie in quarantaine geplaatst.This action deletes the file from its current location and places a copy in quarantine.

Acties voor gebruikersActions on users

Wanneer deze optie is geselecteerd, wordt de actie Gebruiker markeren als gecompromitteerd uitgevoerd op gebruikers in de , of kolom van de AccountObjectId InitiatingProcessAccountObjectId RecipientObjectId queryresultaten.When selected, the Mark user as compromised action is taken on users in the AccountObjectId, InitiatingProcessAccountObjectId, or RecipientObjectId column of the query results. Met deze actie wordt het risiconiveau voor gebruikers op 'hoog' in Azure Active Directory, wat het bijbehorende identiteitsbeveiligingsbeleid activeert.This action sets the users risk level to "high" in Azure Active Directory, triggering corresponding identity protection policies.

Notitie

De actie toestaan of blokkeren voor aangepaste detectieregels wordt momenteel niet ondersteund op Microsoft 365 Defender.The allow or block action for custom detection rules is currently not supported on Microsoft 365 Defender.

5. Stel het regelbereik in.5. Set the rule scope.

Stel het bereik in om op te geven welke apparaten onder de regel vallen.Set the scope to specify which devices are covered by the rule. Het bereik is van invloed op regels die apparaten controleren en hebben geen invloed op regels die alleen postvakken en gebruikersaccounts of identiteiten controleren.The scope influences rules that check devices and doesn't affect rules that check only mailboxes and user accounts or identities.

Wanneer u het bereik instelt, kunt u het volgende selecteren:When setting the scope, you can select:

  • Alle apparatenAll devices
  • Specifieke apparaatgroepenSpecific device groups

Alleen gegevens van apparaten in bereik worden opgevraagd.Only data from devices in scope will be queried. Acties worden ook alleen op die apparaten ondernomen.Also, actions will be taken only on those devices.

6. Controleer de regel en schakel deze in.6. Review and turn on the rule.

Nadat u de regel heeft beoordeeld, selecteert u Maken om deze op te slaan.After reviewing the rule, select Create to save it. De aangepaste detectieregel wordt onmiddellijk uitgevoerd.The custom detection rule immediately runs. Deze wordt opnieuw uitgevoerd op basis van de geconfigureerde frequentie om te controleren op overeenkomsten, waarschuwingen te genereren en antwoordacties uit te voeren.It runs again based on configured frequency to check for matches, generate alerts, and take response actions.

Belangrijk

Aangepaste detecties moeten regelmatig worden gecontroleerd op efficiëntie en effectiviteit.Custom detections should be regularly reviewed for efficiency and effectiveness. Als u wilt controleren of u detecties maakt die echte waarschuwingen activeren, neemt u de tijd om uw bestaande aangepaste detecties te bekijken door de stappen in Bestaande aangepaste detectieregels beheren te volgen.To make sure you are creating detections that trigger true alerts, take time to review your existing custom detections by following the steps in Manage existing custom detection rules.

U behoudt de controle over de breedheid of specificiteit van uw aangepaste detecties, zodat eventuele foutmeldingen die door aangepaste detecties worden gegenereerd, kunnen aangeven dat bepaalde parameters van de regels moeten worden gewijzigd.You maintain control over the broadness or specificity of your custom detections so any false alerts generated by custom detections might indicate a need to modify certain parameters of the rules.

Bestaande aangepaste detectieregels beherenManage existing custom detection rules

U kunt de lijst met bestaande aangepaste detectieregels bekijken, de eerdere versies controleren en de waarschuwingen bekijken die ze hebben geactiveerd.You can view the list of existing custom detection rules, check their previous runs, and review the alerts they have triggered. U kunt ook een regel op aanvraag uitvoeren en deze wijzigen.You can also run a rule on demand and modify it.

Tip

Waarschuwingen die door aangepaste detecties worden opgehaald, zijn beschikbaar via waarschuwingen en incident-API's.Alerts raised by custom detections are available over alerts and incident APIs. Zie Ondersteunde api's Microsoft 365 Defender voor meer informatie.For more information, see Supported Microsoft 365 Defender APIs.

Bestaande regels weergevenView existing rules

Als u alle bestaande aangepaste detectieregels wilt weergeven, gaat u naar Aangepaste > detecties opzoeken.To view all existing custom detection rules, navigate to Hunting > Custom detections. Op de pagina vindt u alle regels met de volgende gegevens:The page lists all the rules with the following run information:

  • Laatst uitgevoerd: wanneer een regel voor het laatst is uitgevoerd om te controleren op query's en waarschuwingen te genererenLast run—when a rule was last run to check for query matches and generate alerts
  • Status laatst uitgevoerd: of een regel is uitgevoerdLast run status—whether a rule ran successfully
  • Volgende run: de volgende geplande runNext run—the next scheduled run
  • Status, ongeacht of een regel is ingeschakeld of uitgeschakeldStatus—whether a rule has been turned on or off

Regeldetails weergeven, regel wijzigen en regel uitvoerenView rule details, modify rule, and run rule

Als u uitgebreide informatie over een aangepaste detectieregel wilt weergeven, gaat u naar Op zoek naar aangepaste > detecties en selecteert u vervolgens de naam van de regel.To view comprehensive information about a custom detection rule, go to Hunting > Custom detections and then select the name of rule. U kunt vervolgens algemene informatie over de regel bekijken, inclusief de status en het bereik van de regel.You can then view general information about the rule, including information its run status and scope. De pagina bevat ook de lijst met geactiveerde waarschuwingen en acties.The page also provides the list of triggered alerts and actions.

Pagina Met details van aangepaste detectieregelCustom detection rule details page
Details van aangepaste detectieregelCustom detection rule details

U kunt ook de volgende acties uitvoeren op de regel op deze pagina:You can also take the following actions on the rule from this page:

  • Uitvoeren: voer de regel onmiddellijk uit.Run—run the rule immediately. Hiermee wordt ook het interval voor de volgende run opnieuw ingesteld.This also resets the interval for the next run.
  • Bewerken: wijzig de regel zonder de query te wijzigenEdit—modify the rule without changing the query
  • Query wijzigen: bewerk de query in geavanceerde zoekopdrachtenModify query—edit the query in advanced hunting
  • In- en uit- / Uitschakelen :de regel inschakelen of stoppen met uitvoerenTurn on / Turn off—enable the rule or stop it from running
  • Verwijderen: schakel de regel uit en verwijder dezeDelete—turn off the rule and remove it

Getriggerde waarschuwingen weergeven en beherenView and manage triggered alerts

Ga in het scherm Met regeldetails (Op zoek naar aangepaste > detecties > [regelnaam] naar Geactiveerde waarschuwingen , waarin de waarschuwingen worden weergegeven die worden gegenereerd door overeenkomsten met de regel.In the rule details screen (Hunting > Custom detections > [Rule name]), go to Triggered alerts, which lists the alerts generated by matches to the rule. Selecteer een waarschuwing om gedetailleerde informatie over de waarschuwing weer te geven en de volgende acties uit te voeren:Select an alert to view detailed information about it and take the following actions:

  • De waarschuwing beheren door de status en classificatie in te stellen (waar of onwaar)Manage the alert by setting its status and classification (true or false alert)
  • De waarschuwing koppelen aan een incidentLink the alert to an incident
  • Voer de query uit die de waarschuwing bij geavanceerd zoeken heeft geactiveerdRun the query that triggered the alert on advanced hunting

Acties controlerenReview actions

Ga in het scherm Met regeldetails (Op zoek naar aangepaste > detecties > [regelnaam] naar Geactiveerde acties , waarin de acties worden vermeld die zijn gemaakt op basis van overeenkomsten met de regel.In the rule details screen (Hunting > Custom detections > [Rule name]), go to Triggered actions, which lists the actions taken based on matches to the rule.

Tip

Als u snel informatie wilt weergeven en actie wilt ondernemen voor een item in een tabel, gebruikt u de selectiekolom [✓] links van de tabel.To quickly view information and take action on an item in a table, use the selection column [✓] at the left of the table.

Notitie

Sommige kolommen in dit artikel zijn mogelijk niet beschikbaar in Microsoft Defender voor Eindpunt.Some columns in this article might not be available in Microsoft Defender for Endpoint. Schakel de Microsoft 365 Defender in om te zoeken naar bedreigingen met behulp van meer gegevensbronnen.Turn on Microsoft 365 Defender to hunt for threats using more data sources. U kunt uw geavanceerde zoekwerkstromen verplaatsen van Microsoft Defender voor Eindpunt naar Microsoft 365 Defender door de stappen in Geavanceerde zoekquery's migreren uit Microsoft Defender voor Eindpunt te volgen.You can move your advanced hunting workflows from Microsoft Defender for Endpoint to Microsoft 365 Defender by following the steps in Migrate advanced hunting queries from Microsoft Defender for Endpoint.

Zie ookSee also