Typen von Analyseregeln
Mithilfe von Microsoft Sentinel Analytics-Regeln können Sie Benachrichtigungen und Warnungen konfigurieren, die auf Daten aus den mit Microsoft Sentinel verbundenen Quellen basieren. Durch diese Warnungen wird sichergestellt, dass das SOC-Team von Contoso über eine Bedrohung informiert wird und angemessen reagieren kann, um zu verhindern, dass die Bedrohung Ihre Unternehmensressourcen erreicht.
Typen von Analyseregeln
Sie können mithilfe der von Microsoft Sentinel Analytics bereitgestellten integrierten Analyseregeln nach potenziellen Bedrohungen suchen, darunter die folgenden Typen:
Anomalie
Fusion
Microsoft Security
Machine Learning (ML) Behavior Analytics
Scheduled Alerts
NRT-Regeln (Near Real Time, Quasi-Echtzeit)
Threat Intelligence
Anomalie
Anomaliewarnungen dienen der Information und identifizieren anomales Verhalten.
Fusion
Microsoft Sentinel nutzt die Korrelations-Engine von Fusion mit ihren skalierbaren Algorithmen für maschinelles Lernen, um komplexe, mehrstufige Angriffe zu erkennen. Die Engine korreliert viele Warnungen und Ereignisse mit niedriger Zuverlässigkeit über mehrere Produkte hinweg zu Vorfällen mit hoher Zuverlässigkeit und Handlungsrelevanz. Fusion ist standardmäßig aktiviert. Da die Logik ausgeblendet und daher nicht anpassbar ist, können Sie nur eine Regel mit dieser Vorlage erstellen.
Die Fusion-Engine kann auch Warnungen, die von geplanten Analyseregeln generiert werden, mit denen anderer Systeme korrelieren, was zu Vorfällen mit hoher Zuverlässigkeit führt.
Die Fusion-Erkennung ist in Microsoft Sentinel standardmäßig aktiviert. Microsoft aktualisiert ständig die Fusion-Erkennungsszenarien für die Erkennung von Bedrohungen. Zum Zeitpunkt der Erstellung dieses Artikels müssen Sie für die Anomalie- und Fusion-Erkennung die folgenden Datenconnectors konfigurieren:
Standardmäßige Erkennung von Anomalien
Warnungen von Microsoft-Produkten
Microsoft Entra ID-Schutz
Microsoft Defender für Cloud
Microsoft Defender für IoT
- Microsoft Defender XDR
Microsoft Defender for Cloud-Apps
Microsoft Defender für den Endpunkt
Microsoft Defender for Identity
Microsoft Defender für Office 365
Warnungen aus geplanten Analyseregeln, sowohl integriert als auch von Ihren Sicherheitsanalyst*innen erstellt. Analyseregeln müssen Kill Chain-Informationen (Taktiken) und Entitätszuordnungsinformationen enthalten, um von Fusion verwendet werden zu können.
Einige der üblichen Angriffserkennungsszenarien, die Fusion-Warnungen identifizieren, sind u. a.:
Datenexfiltration. Erkannte verdächtige Aktivitäten, wie z. B. eine verdächtige Weiterleitungsregel im Microsoft 365-Postfach, nach einer verdächtigen Anmeldung beim Microsoft Entra-Konto können auf ein kompromittiertes Benutzerkonto hinweisen.
Datenvernichtung. Eine anormale Anzahl eindeutiger Dateien, die nach einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto gelöscht wurden, kann darauf hindeuten, dass ein kompromittiertes Benutzerkonto zum Vernichten von Daten verwendet wurde.
Denial of Service. Eine signifikante Anzahl von Azure-VMs, die nach einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto gelöscht wurden, kann ein Hinweis auf ein kompromittiertes Benutzerkonto sein, das zur Vernichtung der Ressourcen des Unternehmens eingesetzt werden kann.
Lateral Movement: Eine signifikante Anzahl von Identitätswechselaktionen, die nach einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto auftraten, kann auf ein kompromittiertes Benutzerkonto hinweisen, das für schädliche Zwecke genutzt wurde.
Ransomware. Nach einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto kann ein ungewöhnliches Verhalten des Benutzers zur Verschlüsselung von Daten eine Warnung zu einem Ransomware-Angriff auslösen.
Hinweis
Weitere Informationen zur Fusion-Technologie in Microsoft Sentinel finden Sie unter Erweiterte Erkennung von mehrstufigen Angriffen in Microsoft Sentinel.
Microsoft Security
Sie können Microsoft-Sicherheitslösungen, die mit Microsoft Sentinel verbunden sind, so konfigurieren, dass sie automatisch Incidents anhand aller Warnungen erstellen, die im verbundenen Dienst generiert werden.
Sie können z. B. konfigurieren, dass Contoso gewarnt wird, wenn ein*e Benutzer*in, der bzw. die als Bedrohung mit hohem Risiko eingestuft wurde, versucht, sich anzumelden und auf Unternehmensressourcen zuzugreifen.
Sie können die folgenden Sicherheitslösungen so konfigurieren, dass ihre Warnungen an Microsoft Sentinel übergeben werden:
Microsoft Defender for Cloud Apps
Microsoft Defender für Server
Microsoft Defender für IoT
Microsoft Defender for Identity
Microsoft Defender für Office 365
Microsoft Entra ID-Schutz
Microsoft Defender für den Endpunkt
Hinweis
Microsoft vereinigt in seinen Sicherheitsprodukten Terminologie aus den Bereichen SIEM (Security Information And Event Management) und XDR (Extended Detection And Response).
Sie können diese Warnungen nach Schweregrad und nach einem bestimmten Text filtern, der im Namen der Warnung enthalten ist.
ML Behavior Analytics
Microsoft Sentinel Analytics umfasst integrierte durch maschinelles Lernen gestützte Verhaltensanalyseregeln. Sie können diese integrierten Regeln weder bearbeiten noch die Regeleinstellungen überprüfen. Diese Regeln verwenden Microsoft-Algorithmen für maschinelles Lernen, um verdächtige Aktivitäten zu erkennen. Algorithmen für maschinelles Lernen korrelieren mehrere untergeordnete Incidents in einem übergeordneten Sicherheitsincident. Diese Korrelation erspart Stunden, die Sie sonst damit verbringen würden, zahlreiche Warnungen aus verschiedenen Produkten manuell zu analysieren und zu korrelieren. Die von den Analyseregeln verwendeten Algorithmen für maschinelles Lernen tragen ebenfalls dazu bei, die unwichtigen Informationen in Warnungen zu reduzieren, indem sie wichtige Daten schnell erfassen und verbinden.
Beispielsweise können sich auf maschinellem Lernen stützende Verhaltensanalyseregeln anormale SSH-Anmeldedaten (Secure Shell Protocol) oder eine RDP-Anmeldeaktivität (Remotedesktopprotokoll) erkennen.
Scheduled Alerts
Analyseregeln mit geplanten Warnungen können am stärksten angepasst werden. Sie können mithilfe von Kusto Query Language (KQL) einen eigenen Ausdruck definieren, um die Sicherheitsereignisse zu filtern. Außerdem können Sie einen Zeitplan für die Ausführung der Regel einrichten.