Teilen über


Konfigurieren von Microsoft Sentinel-Inhalten

Im vorherigen Bereitstellungsschritt haben Sie Microsoft Sentinel, die Integritätsüberwachung und die erforderlichen Lösungen aktiviert. In diesem Artikel erfahren Sie, wie Sie die verschiedenen Arten von Microsoft Sentinel-Sicherheitsinhalten konfigurieren, mit denen Sie Sicherheitsbedrohungen in Ihren Systemen erkennen, überwachen und darauf reagieren können. Dieser Artikel gehört zum Bereitstellungsleitfaden für Microsoft Sentinel.

Konfigurieren der Sicherheitsinhalte

Schritt BESCHREIBUNG
Einrichten von Datenconnectors Basierend auf den Datenquellen, die Sie bei der Planung der Bereitstellung ausgewählt haben können Sie nach dem Aktivieren der relevanten Lösungen jetzt Ihre Datenconnectors installieren oder einrichten.

- Wenn Sie einen vorhandenen Connector verwenden, suchen Sie Ihren Connector in der vollständigen Liste der Datenconnectors.
- Wenn Sie einen benutzerdefinierten Connector erstellen, verwenden Sie diese Ressourcen.
- Wenn Sie einen Connector zum Erfassen von CEF- oder Syslog-Protokollen einrichten, sehen Sie sich diese Optionen an.
Einrichten von Analyseregeln Nachdem Sie Microsoft Sentinel eingerichtet haben, um Daten aus der gesamten Organisation zu sammeln, können Sie mit der Verwendung von Analyseregeln zur Bedrohungserkennung beginnen. Wählen Sie die Schritte aus, die Sie zum Einrichten und Konfigurieren Ihrer Analyseregeln benötigen:

– Erstellen Sie geplante Regeln aus Vorlagen oder von Grund auf neu: Erstellen Sie Analyseregeln, um Bedrohungen und ungewöhnliche Verhaltensweisen in Ihrer Umgebung zu erkennen.
- Zuordnen von Datenfeldern zu Entitäten: Fügen Sie in einer Analyseregel Entitätszuordnungen hinzu, oder ändern Sie diese.
- Anzeigen benutzerdefinierter Details in Warnungen: Fügen Sie benutzerdefinierte Details in einer Analyseregel hinzu, oder ändern Sie diese.
- Anpassen von Warnungsdetails: Überschreiben Sie die Standardeigenschaften von Warnungen mit Inhalten aus den zugrunde liegenden Abfrageergebnissen.
- Exportieren und Importieren von Analyseregeln: Exportieren Sie Ihre Analyseregeln in ARM-Vorlagendateien (Azure Resource Manager), und importieren Sie Regeln aus diesen Dateien. Die Exportaktion erstellt eine JSON-Datei am Downloadspeicherort Ihres Browsers, die Sie dann umbenennen, verschieben und auch sonst wie jede andere Datei behandeln können.
- Erstellen von Regeln zur Erkennungsanalyse nahezu in Echtzeit (Near Real Time, NRT): Erstellen Sie NRT-Analyseregeln für die vorkonfigurierte minutengenau Bedrohungserkennung. Diese Art von Regel wurde so konzipiert, dass sie extrem reaktionsschnell ist, indem sie ihre Abfrage in Abständen von nur einer Minute durchführt.
- Arbeiten mit Analyseregeln für die Anomalieerkennung: Arbeiten Sie mit integrierten Anomalievorlagen, die Tausende von Datenquellen und Millionen von Ereignissen verwenden, oder ändern Sie Schwellenwerte und Parameter für die Anomalien auf der Benutzeroberfläche.
- Verwalten von Vorlagenversionen für Ihre geplanten Analyseregeln: Verfolgen Sie die Versionen Ihrer Analyseregelvorlagen nach, und setzen Sie aktive Regeln auf vorhandene Vorlagenversionen zurück, oder aktualisieren Sie sie auf neue.
- Behandeln von Erfassungsverzögerungen in geplanten Analyseregeln: Erfahren Sie, wie sich die Erfassungsverzögerung auf Ihre geplanten Analyseregeln auswirken kann, und wie Sie sie behandeln können, um diese Lücken zu schließen.
Einrichten von Automatisierungsregeln Erstellen von Automatisierungsregeln Definieren Sie die Trigger und Bedingungen, die die Ausführung Ihrer Automatisierungsregel bestimmen, sowie die verschiedenen Aktionen, die Sie von der Regel ausführen lassen können, und die übrigen Merkmale und Funktionalitäten.
Einrichten von Playbooks Ein Playbook ist eine Sammlung von Wartungsaktionen, die Sie in Microsoft Sentinel routinemäßig ausführen, um Ihre Reaktion auf Bedrohungen zu automatisieren und zu orchestrieren. So richten Sie Playbooks ein:

– Siehe Empfohlenen Playbooks
- Erstellen von Playbooks auf der Grundlage von Vorlagen: Eine Playbookvorlage ist ein vorgefertigter, getesteter und gebrauchsfertiger Workflow, der an Ihre Bedürfnisse angepasst werden kann. Vorlagen können auch als Referenz für bewährte Methoden bei der Entwicklung vollkommen neuer Playbooks oder als Anregung für neue Automatisierungsszenarien dienen.
- Sehen Sie sich diese Schritte zum Erstellen eines Playbooks an.
Einrichten von Arbeitsmappen Arbeitsmappen bieten einen flexiblen Bereich für die Datenanalyse und die Erstellung umfassender visueller Berichte innerhalb von Microsoft Sentinel. Mit Arbeitsmappenvorlagen können Sie schnell Einblicke in Ihre Daten gewinnen, sobald Sie eine Verbindung mit einer Datenquelle herstellen. So richten Sie Arbeitsmappen ein

– Siehe Häufig verwendete Microsoft Sentinel-Arbeitsmappen
- Verwenden vorhandener Arbeitsmappenvorlagen, die mit Paketlösungen verfügbar sind
- Erstellen benutzerdefinierter Arbeitsmappen für Ihre Daten
Einrichten von Watchlists Mit Watchlists können Sie Daten aus einer Datenquelle korrelieren, die Sie mit den Ereignissen in Ihrer Microsoft Sentinel-Umgebung bereitstellen. So richten Sie Watchlists ein

- Erstellen von Watchlists
- Erstellen von Abfragen oder Erkennungsregeln mit Watchlists: Sie können für die Daten einer Tabelle eine Abfrage für die Daten aus einer Watchlist durchführen, indem Sie die Watchlist für Verknüpfungs- und Suchvorgänge wie eine Tabelle behandeln. Wenn Sie eine Watchlist erstellen, definieren Sie den SearchKey. Der Suchschlüssel ist der Name einer Spalte in Ihrer Watchlist, die Sie als Verknüpfung (Join) mit anderen Daten oder als häufiges Suchobjekt verwenden möchten.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie die verschiedenen Arten von Microsoft Sentinel-Sicherheitsinhalten konfigurieren.