Freigeben über


Erstellen einer geplanten Analyseregel aus Vorlagen

Geplante Regeln sind der bei weitem am häufigsten verwendete Typ von Analyseregeln. Sie basieren auf Kusto-Abfragen, die so konfiguriert sind, dass sie in regelmäßigen Abständen ausgeführt werden und Rohdaten aus einem definierten Rückblickzeitraum untersuchen. Diese Abfragen können komplexe statistische Vorgänge für ihre Zieldaten ausführen und dabei Baselines und Ausreißer in Ereignisgruppen anzeigen. Wenn die Anzahl der von der Abfrage erfassten Ergebnisse den in der Regel konfigurierten Schwellenwert überschreitet, erzeugt die Regel eine Warnung.

Microsoft stellt Ihnen eine Vielzahl von Analyseregelvorlagen über die zahlreichen Lösungen im Inhaltshub zur Verfügung und empfiehlt Ihnen dringend, sie zum Erstellen Ihrer Regeln zu verwenden. Die Abfragen in Vorlagen für geplante Regeln werden von Sicherheits- und Data Science-Experten von Microsoft oder vom Anbieter der Lösung geschrieben, der die Vorlage bereitstellt.

In diesem Artikel erfahren Sie, wie Sie mithilfe einer Vorlage eine geplante Analyseregel erstellen.

Wichtig

Microsoft Sentinel ist in der Unified Security Operations Platform von Microsoft im Microsoft Defender-Portal allgemein verfügbar. Für die Vorschau ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Anzeigen vorhandener Analyseregeln

Um die installierten Analyseregeln in Microsoft Sentinel anzuzeigen, wechseln Sie zur Seite Analysen. Auf der Registerkarte Regelvorlagen werden alle installierten Regelvorlagen angezeigt. Weitere Regelvorlagen finden Sie im Inhaltshub in Microsoft Sentinel, um die zugehörigen Produktlösungen oder eigenständigen Inhalte zu installieren.

  1. Wählen Sie im Microsoft Sentinel-Navigationsmenü im Abschnitt Konfiguration die Option Analysen aus.

  2. Wählen Sie auf dem Bildschirm Analysen die Registerkarte Regelvorlagen aus.

  3. Wenn Sie die Liste nach geplanten Vorlagen filtern möchten:

    1. Wählen Sie Filter hinzufügen aus, und wählen Sie Regeltyp aus der Liste der Filter aus.

    2. Wählen Sie in der resultierenden Liste Geplant aus. Wählen Sie anschließend Anwenden.

    Screenshot: Vorlagen für geplante Analyseregeln im Microsoft Azure-Portal

Erstellen einer Regel aus einer Vorlage

In diesem Verfahren wird beschrieben, wie Sie eine Analyseregel aus einer Vorlage erstellen.

Wählen Sie im Microsoft Sentinel Navigationsmenü im Abschnitt Konfiguration die Option Analytics aus.

  1. Wählen Sie auf dem Bildschirm Analysen die Registerkarte Regelvorlagen aus.

  2. Wählen Sie einen Vorlagennamen und dann im Detailbereich die Schaltfläche Regel erstellen aus, um eine neue aktive Regel auf Grundlage dieser Vorlage zu erstellen.

    Jede Vorlage enthält eine Liste der erforderlichen Datenquellen. Wenn Sie die Vorlage öffnen, werden die Datenquellen automatisch auf Verfügbarkeit überprüft. Wenn eine Datenquelle nicht aktiviert ist, ist die Schaltfläche Regel erstellen möglicherweise deaktiviert, oder es wird eine entsprechende Meldung angezeigt.

    Screenshot: Vorschaubereich für Analyseregeln

  3. Der Assistent zum Erstellen von Regeln wird geöffnet. Alle Details werden automatisch ausgefüllt.

  4. Durchlaufen Sie die Registerkarten des Assistenten, und passen Sie die Logik und andere Regeleinstellungen nach Möglichkeit an Ihre spezifischen Anforderungen an.

    Wenn Sie am Ende des Regelerstellungs-Assistenten angelangt sind, erstellt Microsoft Sentinel die Regel. Die neue Regel wird auf der Registerkarte Aktive Regeln angezeigt.

    Wiederholen Sie den Vorgang, um weitere Regeln zu erstellen. Ausführlichere Informationen zum Anpassen der Regeln im Assistenten zum Erstellen von Regeln finden Sie unter Erstellen einer benutzerdefinierten Analyseregel von Grund auf.

Tipp

  • Stellen Sie sicher, dass Sie alle Regeln, die den verbundenen Datenquellen zugeordnet sind, aktivieren, um eine vollständige Sicherheitsabdeckung für Ihre Umgebung zu gewährleisten. Die effizienteste Möglichkeit zum Aktivieren von Analyseregeln besteht direkt auf der Seite des Datenconnectors, auf der alle zugehörigen Regeln aufgelistet sind. Weitere Informationen finden Sie unter Herstellen einer Verbindung zu Datenquellen.

  • Sie können auch Regeln per API und PowerShell an Microsoft Sentinel pushen, obwohl dies zusätzlichen Aufwand mit sich bringt.

    Wenn Sie die API oder PowerShell verwenden, müssen Sie die Regeln zunächst in JSON exportieren, bevor Sie die Regeln aktivieren. Eine API oder PowerShell kann hilfreich sein, wenn Sie Regeln in mehreren Instanzen von Microsoft Sentinel mit identischen Einstellungen in jeder Instanz aktivieren.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie geplante Analyseregeln aus Vorlagen in Microsoft Sentinel erstellen.