Freigeben über


Arbeit mit Analyseregeln für die Anomalieerkennung in Microsoft Sentinel

Microsoft Sentinels anpassbare Anomaliefunktion bietet integrierte Anomalievorlagen für sofortigen Nutzen sofort nach der Installation. Diese Anomalievorlagen wurden anhand von Tausenden von Datenquellen und Millionen von Ereignissen entwickelt, sodass sie stabil ausgelegt sind. Mit diesem Feature können Sie jedoch auch problemlos Schwellenwerte und Parameter für Anomalien über die Benutzeroberfläche ändern. Anomalieregeln werden standardmäßig aktiviert oder aktiviert, sodass Anomalien sofort einsatzbereit generiert werden. Sie finden diese Anomalien in der Tabelle Anomalien im Abschnitt Protokolle und können sie dort abfragen.

Wichtig

Microsoft Sentinel ist auf der Unified Security Operations Platform von Microsoft im Microsoft Defender-Portal allgemein verfügbar. Für die Vorschau ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Anzeigen anpassbarer Anomalieregelvorlagen

Anomalieregeln werden jetzt in einem Raster auf der Registerkarte Anomalien auf der Seite Analyse angezeigt.

  1. Wählen Sie für Benutzer von Microsoft Sentinel im Azure-Portal Analytics aus dem Microsoft Sentinel-Navigationsmenü aus.

    Wählen Sie für Benutzer des Microsoft Defender-Portals Microsoft Sentinel > Konfiguration > Analytics aus dem Microsoft Defender-Navigationsmenü aus.

  2. Wählen Sie auf der Seite Analyse die Registerkarte Anomalien aus.

  3. Wenn Sie die Liste nach einem oder mehreren der folgenden Kriterien filtern möchten, wählen Sie Filter hinzufügen und dann entsprechend aus.

    • Status: Zeigt an, ob die Regel aktiviert oder deaktiviert ist.

    • Taktiken – die von der Anomalie abgedeckten MITRE ATT&CK-Framework-Taktiken.

    • Techniken – die von der Anomalie abgedeckten MITRE ATT&CK-Frameworktechniken.

    • Datenquellen: Bezieht sich auf den Protokolltyp, der erfasst und analysiert werden muss, damit die Anomalie definiert werden kann.

  4. Wählen Sie eine Regel aus, und zeigen Sie die folgenden Informationen im Detailbereich an:

    • In der Beschreibung wird erläutert, wie die Anomalie funktioniert und welche Daten dafür erforderlich sind.

    • Taktiken und Techniken sind die MITRE ATT&CK Framework-Taktiken und -Techniken, die von der Anomalie abgedeckt werden.

    • Parameter sind die konfigurierbaren Attribute für die Anomalie.

    • Schwellenwert ist ein konfigurierbarer Wert, der das Ausmaß angibt, in dem ein Ereignis ungewöhnlich sein muss, bevor eine Anomalie erstellt wird.

    • Regelhäufigkeit bezeichnet die Zeit zwischen Protokollverarbeitungsaufträgen, mit denen die Anomalien ermittelt werden.

    • Der Regelstatus gibt an, ob die Regel, wenn sie aktiviert ist, im (Staging-)Modus Produktion oder Flighting ausgeführt wird.

    • Unter Anomaly version (Anomalieversion) wird die Version der Vorlage angezeigt, die von einer Regel verwendet wird. Wenn Sie die Version ändern möchten, die von einer bereits aktiven Regel verwendet wird, müssen Sie die Regel neu erstellen.

Die Regeln, die sofort einsatzbereit im Lieferumfang von Microsoft Sentinel enthalten sind, können nicht bearbeitet oder gelöscht werden. Zum Anpassen einer Regel müssen Sie zuerst ein Duplikat der Regel erstellen und das Duplikat dann anpassen. Vollständige Anweisungen

Hinweis

Warum gibt es eine Schaltfläche „Bearbeiten“, wenn die Regel nicht bearbeitet werden kann?

Obwohl Sie die Konfiguration einer sofort einsatzbereiten Anomalieregel nicht ändern können, können Sie zwei Dinge tun:

  1. Sie können beim Regelstatus der Regel zwischen Produktion und Flighting wechseln.

  2. Sie können Feedback bezüglich Ihrer Erfahrungen mit anpassbaren Anomalien an Microsoft übermitteln.

Bewerten der Qualität von Anomalien

Sie können feststellen, wie gut eine Anomalieregel funktioniert, indem Sie eine Stichprobe der Anomalien überprüfen, die im Zeitraum der letzten 24 Stunden anhand einer Regel erstellt wurden.

  1. Wählen Sie für Benutzer von Microsoft Sentinel im Azure-Portal Analytics aus dem Microsoft Sentinel-Navigationsmenü aus.

    Wählen Sie für Benutzer des Microsoft Defender-Portals Microsoft Sentinel > Konfiguration > Analytics aus dem Microsoft Defender-Navigationsmenü aus.

  2. Wählen Sie auf der Seite Analyse die Registerkarte Anomalien aus.

  3. Wählen Sie die Regel aus, die Sie bewerten möchten, und kopieren Sie ihre ID oben rechts im Detailbereich.

  4. Wählen Sie im Navigationsmenü von Microsoft Sentinel die Optionen Protokolle.

  5. Wenn oben ein Abfragekatalog angezeigt wird, schließen Sie ihn.

  6. Wählen Sie im linken Bereich der Seite Protokolle die Registerkarte Tabellen aus.

  7. Legen Sie den Filter Zeitbereich auf Letzte 24 Stunden fest.

  8. Kopieren Sie die Kusto-Abfrage unten, und fügen Sie sie in das Abfragefenster ein (dort, wo der Eintrag „Type your query here or...“ [Geben Sie Ihre Abfrage hier ein, oder...] angezeigt wird):

    Anomalies 
    | where RuleId contains "<RuleId>"
    

    Fügen Sie die oben kopierte Regel-ID anstelle der <RuleId> zwischen den Anführungszeichen ein.

  9. Klicken Sie auf Run (Ausführen).

Wenn Sie einige Ergebnisse haben, können Sie damit beginnen, die Qualität der Anomalien zu bewerten. Wenn es keine Ergebnisse gibt, versuchen Sie, den Zeitbereich zu erhöhen.

Erweitern Sie die Ergebnisse für jede Anomalie, und erweitern Sie dann das Feld AnomalyReasons (Anomaliegründe). Dadurch erfahren Sie, warum die Anomalie ausgelöst wurde.

Die „Plausibilität“ oder „Nützlichkeit“ einer Anomalie kann von den Bedingungen Ihrer Umgebung abhängen, aber ein häufiger Grund dafür, dass von einer Anomalieregel zu viele Anomalien erzeugt werden, besteht darin, dass der Schwellenwert zu niedrig ist.

Optimieren von Anomalieregeln

Obwohl Anomalieregeln so konzipiert sind, dass sie bei der Verwendung sofort die maximale Effektivität aufweisen, ist jede Situation einzigartig, und so müssen Anomalieregeln manchmal optimiert werden.

Da Sie eine ursprüngliche aktive Regel nicht bearbeiten können, müssen Sie eine aktive Anomalieregel zunächst duplizieren und dann die Kopie entsprechend anpassen.

Die ursprüngliche Anomalieregel wird weiterhin ausgeführt, bis Sie sie entweder deaktivieren oder löschen.

Dies ist absichtlich so angelegt, damit Sie die Möglichkeit haben, die mit der ursprünglichen Konfiguration generierten Ergebnisse mit den Ergebnissen der neuen Konfiguration zu vergleichen. Doppelte Regeln sind standardmäßig deaktiviert. Sie können nur eine einzige benutzerdefinierte Kopie einer bestimmten Anomalieregel erstellen. Versuche, eine zweite Kopie zu erstellen, schlagen fehl.

  1. Wählen Sie zum Ändern der Konfiguration einer Anomalieregel die Regel auf der Registerkarte Anomalien aus.

  2. Klicken Sie mit der rechten Maustaste auf eine beliebige Stelle in der Zeile der Regel, oder klicken Sie mit der linken Maustaste am Ende der Zeile auf die Auslassungspunkte (...), und wählen Sie dann aus dem Kontextmenü Duplizieren aus.

    In der Liste wird eine neue Regel mit den folgenden Eigenschaften angezeigt:

    • Der Regelname entspricht dem Original, wobei am Ende „-angepasst“ angehängt wird.
    • Der Regelstatus lautet Deaktiviert.
    • Der FLGT-Badge wird am Anfang der Zeile angezeigt, um anzugeben, dass sich die Regel im Flighting-Modus befindet.
  3. Um diese Regel anzupassen, wählen Sie die Regel aus, und wählen Sie Bearbeiten im Detailbereich oder aus dem Kontextmenü der Regel aus.

  4. Die Regel wird im Analyseregel-Assistenten geöffnet. Hier können Sie die Parameter der Regel und ihren Schwellenwert ändern. Die Parameter, die geändert werden können, variieren je nach Anomalietyp und Algorithmus.

    Sie können eine Vorschau der Ergebnisse Ihrer Änderungen im Bereich der Ergebnisvorschau anzeigen. Wählen Sie in der Ergebnisvorschau eine Anomalie-ID aus, um nachzuvollziehen, warum diese Anomalie vom ML-Modell identifiziert wurde.

  5. Aktivieren Sie die benutzerdefinierte Regel, um Ergebnisse zu generieren. Einige Änderungen erfordern möglicherweise, dass die Regel erneut ausgeführt wird. Daher müssen Sie warten, bis die Ausführung abgeschlossen ist, und zurückkehren, um die Ergebnisse auf der Protokollseite zu überprüfen. Die benutzerdefinierte Anomalieregel wird standardmäßig im Test-Flighting-Modus (Testmodus) ausgeführt. Die ursprüngliche Regel wird standardmäßig weiterhin im Produktionsmodus ausgeführt.

  6. Zum Vergleichen der Ergebnisse wechseln Sie zurück zu der Tabelle „Anomalien“ unter Protokolle, um die neue Regel wie zuvor zu bewerten. Verwenden Sie nur die folgende Abfrage, um stattdessen nach Anomalien zu suchen, die durch die ursprüngliche Regel sowie das Regelduplikat generiert wurden.

    Anomalies 
    | where AnomalyTemplateId contains "<RuleId>"
    

    Fügen Sie die oben aus der ursprünglichen Regel kopierte Regel-ID anstelle von <RuleId> zwischen den Anführungszeichen ein. Der Wert AnomalyTemplateId sowohl in der ursprünglichen Regel als auch in ihrem Duplikat ist identisch mit dem Wert RuleId in der ursprünglichen Regel.

Wenn Sie mit den Ergebnissen für die benutzerdefinierte Regel zufrieden sind, können Sie zurück zur Registerkarte Anomalien wechseln, auf die benutzerdefinierte Regel klicken, auf die Schaltfläche Bearbeiten klicken und auf der Registerkarte Allgemein von Test-Flighting zu Produktion wechseln. Die ursprüngliche Regel wird automatisch in Test-Flighting geändert, da Sie nicht gleichzeitig zwei Versionen derselben Regel in der Produktion verwenden können.

Nächste Schritte

In diesem Dokument haben Sie gelernt, wie Sie mit anpassbaren Anomalieerkennungs-Analyseregeln in Microsoft Sentinel arbeiten können.