Anpassen von Warnungsdetails in Microsoft Sentinel
In diesem Artikel wird erläutert, wie Sie die Standardeigenschaften von Warnungen mit Inhalten aus den zugrunde liegenden Abfrageergebnissen überschreiben.
Beim Erstellen einer geplanten Analyseregel legen Sie im ersten Schritt einen Namen und eine Beschreibung für die Regel fest. Darüber hinaus weisen Sie einen Schweregrad und MITRE ATT&CK-Taktiken zu. Alle Warnungen, die von einer bestimmten Regel generiert werden, und alle dadurch erstellten Vorfälle übernehmen ohne Berücksichtigung des jeweiligen Inhalts einer bestimmten Instanz der Warnung den Namen, die Beschreibung, den Schweregrad und die Taktiken, die in der Regel definiert sind.
Mit dem Feature Warnungsdetails können Sie diese und andere Standardeigenschaften von Warnungen außer Kraft setzen. Dazu haben Sie die beiden folgenden Möglichkeiten:
Erstellen Sie benutzerdefinierte Variablennamen und Beschreibungen für Ihre Warnungen. Sie können Felder in der Abfrageausgabe Ihrer Warnung auswählen und deren Inhalt ggf. in den Namen oder die Beschreibung einer Instanz der Warnung einfügen. Wenn das ausgewählte Feld in einer bestimmten Instanz keinen Wert aufweist, werden die auf der ersten Seite des Assistenten angegebenen Standardwerte als Warnungsdetails für die betreffende Instanz verwendet.
Passen Sie Schweregrad, Taktiken und andere Eigenschaften einer bestimmten Instanz einer Warnung (siehe vollständige Liste der Eigenschaften weiter unten) mit den Werten der relevanten Felder in der Abfrageausgabe an. Wenn die ausgewählten Felder leer sind oder Werte aufweisen, die nicht mit dem Felddatentyp übereinstimmen, werden die jeweiligen Warnungseigenschaften auf die zugehörigen Standardwerte zurückgesetzt. (Für Taktiken und Schweregrad wurden diese auf der ersten Seite des Assistenten angegeben.)
Wichtig
- Einige Anpassungsmöglichkeiten für Warnungsdetails (weiter unten aufgeführt) befinden sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
- Microsoft Sentinel ist in der Unified Security Operations Platform von Microsoft im Microsoft Defender-Portal allgemein verfügbar. Für die Vorschau ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Führen Sie die unten beschriebenen Schritte aus, um das Feature „Warnungsdetails“ zu verwenden. Diese Schritte sind Bestandteil des Assistenten zum Erstellen von Analyseregeln. Sie werden hier jedoch unabhängig davon behandelt, um das Hinzufügen oder Ändern von Warnungsdetails in einer vorhandenen Analyseregel zu veranschaulichen.
Anpassen von Warnungsdetails
Geben Sie die Analyseseite im Portal ein, über die Sie auf Microsoft Sentinel zugreifen:
Wählen Sie im Microsoft Sentinel Navigationsmenü im Abschnitt Konfiguration die Option Analytics aus.
Wählen Sie eine geplante Abfrageregel und dann Bearbeiten aus. Oder erstellen Sie eine neue Regel, indem Sie oben im Bildschirm Erstellen > Geplante Abfrageregel auswählen.
Wählen Sie die Registerkarte Regellogik festlegen aus.
Erweitern Sie im Abschnitt Warnungsanreicherung den Bereich Warnungsdetails.
Fügen Sie im nun erweiterten Abschnitt Warnungsdetails Freitext mit den entsprechenden Eigenschaften für die Details, die Sie in der Warnung anzeigen möchten:
Geben Sie im Feld Format des Warnungsnamens den Text ein, der als Name der Warnung (Warnungstext) angezeigt werden soll, und fügen Sie in doppelten geschweiften Klammern alle Felder der Abfrageausgabe ein, die Teil des Warnungstexts sein sollen.
Beispiel:
Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.
Gehen Sie beim Feld Format der Warnungsbeschreibung genauso vor.
Hinweis
Aktuell sind Sie auf jeweils drei Parameter in den Feldern Format des Warnungsnamens und Format der Warnungsbeschreibung beschränkt.
Um andere Standardeigenschaften außer Kraft zu setzen, wählen Sie in der Dropdownliste Warnungseigenschaft eine Warnungseigenschaft aus. Wählen Sie dann in der Dropdownliste Wert das Feld in den Abfrageergebnissen aus, dessen Inhalt Sie für die Warnungseigenschaft eintragen möchten.
Um weitere Standardeigenschaften zu außer Kraft zu setzen, wählen Sie + Neu hinzufügen aus, und wiederholen Sie den vorherigen Schritt. Die folgenden Eigenschaften können außer Kraft gesetzt werden:
Name Beschreibung AlertName String Beschreibung String AlertSeverity Einer der folgenden Werte:
- Zur Information
- Niedrig
- Mittel
- HochTaktik Einer der folgenden Werte:
- Aufklärung
- ResourceDevelopment
- InitialAccess
- Ausführung
- Persistenz
- PrivilegeEscalation
- DefenseEvasion
- CredentialAccess
- Entdeckung
- LateralMovement
- Sammlung
- Exfiltration
- CommandAndControl
- Auswirkung
- PreAttack
- ImpairProcessControl
- InhibitResponseFunctionTechniques (Vorschau) Eine Zeichenfolge, die dem folgenden regulären Ausdruck entspricht: ^T(?<Digits>\d{4})$
.
Beispiel: T1234AlertLink (Vorschau) String ConfidenceLevel (Vorschau) Einer der folgenden Werte:
- Niedrig
- Hoch
- UnbekanntConfidenceScore (Vorschau) Ganze Zahl, 0-1 (einschließlich) ExtendedLinks (Vorschau) String ProductComponentName (Vorschau) String ProductName (Vorschau)
* Siehe Hinweis in dieser TabelleString ProviderName (Vorschau) String RemediationSteps (Vorschau) String Hinweis
Wenn Sie Microsoft Sentinel in das Microsoft Defender-Portal integriert haben, passen Sie das Feld ProductName für Alarme aus Microsoft-Quellen nicht an. Dadurch werden diese Warnungen von Microsoft Defender XDR gelöscht, und es wird kein Vorfall erstellt.
Wenn Sie Ihre Meinung ändern oder einen Fehler gemacht haben, können Sie ein Warnungsdetail entfernen, indem Sie auf das Papierkorbsymbol neben Warnungseigenschaft/Wert klicken oder den freien Text in den Feldern für das Format des Warnungsnamens/der Warnungsbeschreibung löschen.
Fahren Sie mit der nächsten Registerkarte im Assistenten fort, nachdem Sie die Warnungsdetails angepasst haben, wenn Sie jetzt die Regel erstellen. Wenn Sie eine vorhandene Regel bearbeiten, wählen Sie die Registerkarte Überprüfen und erstellen aus. Wählen Sie bei einer erfolgreichen Regelüberprüfung Speichern aus.
Diensteinschränkungen
- Sie können in einer einzelnen Abfrage ein Feld mit bis zu 50 Werten überschreiben. Wenn Ihre Abfrage 50 benutzerdefinierte Werte überschreitet, werden alle benutzerdefinierten Werte verworfen, und in allen Abfrageergebnissen wird das Feld auf den Standardwert zurückgesetzt. Optimieren Sie Ihre Abfrage so, dass sie nicht mehr als 50 Werte ergibt, um sicherzustellen, dass keine benutzerdefinierten Werte verworfen werden.
- Die Größenbeschränkung für das Feld
AlertName
und alle anderen Eigenschaften, die nicht für die Auflistung gelten, beträgt 256 Byte. - Die Größenbeschränkung für das Feld
Description
und alle anderen Eigenschaften, die für die Auflistung gelten, beträgt 5 Kilobyte. - Werte, die diese Größenbeschränkungen überschreiten, werden verworfen.
Nächste Schritte
In diesem Dokument haben Sie erfahren, wie Sie Warnungsdetails in Microsoft Sentinel-Analyseregeln anpassen. Weitere Informationen über Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Erkunden Sie die anderen Möglichkeiten, um Ihre Warnungen zu bereichern:
- Unter Tutorial: Erstellen benutzerdefinierter Analyseregeln zum Erkennen von Bedrohungen können Sie sich ein Gesamtbild machen.
- Erfahren Sie mehr über Entitäten in Microsoft Sentinel.