Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Im vorherigen Bereitstellungsschritt haben Sie Microsoft Sentinel, die Integritätsüberwachung und die erforderlichen Lösungen aktiviert. In diesem Artikel erfahren Sie, wie Sie die verschiedenen Arten von Microsoft Sentinel Sicherheitsinhalten konfigurieren, mit denen Sie Sicherheitsbedrohungen in Ihren Systemen erkennen, überwachen und darauf reagieren können. Dieser Artikel ist Teil des Bereitstellungshandbuchs für Microsoft Sentinel.
Konfigurieren Ihrer Sicherheitsinhalte
| Schritt | Beschreibung |
|---|---|
| Einrichten von Datenconnectors | Basierend auf den Datenquellen, die Sie bei der Planung der Bereitstellung ausgewählt haben, und nachdem Sie die relevanten Lösungen aktiviert haben, können Sie jetzt Ihre Datenconnectors installieren oder einrichten. – Wenn Sie einen vorhandenen Connector verwenden, finden Sie Ihren Connector in dieser vollständigen Liste der Datenconnectors. – Wenn Sie einen benutzerdefinierten Connector erstellen, verwenden Sie diese Ressourcen. – Wenn Sie einen Connector zum Erfassen von CEF- oder Syslog-Protokollen einrichten, überprüfen Sie diese Optionen. |
| Einrichten von Analyseregeln | Nachdem Sie Microsoft Sentinel eingerichtet haben, um Daten aus dem gesamten organization zu sammeln, können Sie mit der Verwendung von Analyseregeln beginnen, um Bedrohungen zu erkennen. Wählen Sie die Schritte aus, die Sie zum Einrichten und Konfigurieren Ihrer Analyseregeln benötigen: - Erstellen geplanter Regeln aus Vorlagen oder von Grund auf neu: Erstellen Sie Analyseregeln, um Bedrohungen und anomale Verhaltensweisen in Ihrer Umgebung zu erkennen. - Zuordnen von Datenfeldern zu Entitäten: Hinzufügen oder Ändern von Entitätszuordnungen in einer Analyseregel - Benutzerdefinierte Details in Warnungen anzeigen: Fügen Sie benutzerdefinierte Details in einer Analyseregel hinzu, oder ändern Sie sie. - Anpassen von Warnungsdetails: Überschreiben Sie die Standardeigenschaften von Warnungen mit Inhalten aus den zugrunde liegenden Abfrageergebnissen. - Exportieren und Importieren von Analyseregeln: Exportieren Sie Ihre Analyseregeln in arm-Vorlagendateien (Azure Resource Manager), und importieren Sie Regeln aus diesen Dateien. Die Exportaktion erstellt eine JSON-Datei am Downloadspeicherort Ihres Browsers, die Sie dann umbenennen, verschieben und andernfalls wie jede andere Datei verarbeiten können. - Erstellen von Analyseregeln für die Erkennung nahezu in Echtzeit (NRT): Erstellen Sie Sofort einsatzbereite Analyseregeln für die echtzeitnahe Bedrohungserkennung. Diese Art von Regel wurde so konzipiert, dass sie sehr reaktionsfähig ist, indem die Abfrage in Intervallen ausgeführt wird, die nur eine Minute voneinander entfernt sind. - Arbeiten mit Analyseregeln für die Anomalieerkennung: Arbeiten Sie mit integrierten Anomalievorlagen, die Tausende von Datenquellen und Millionen von Ereignissen verwenden, oder ändern Sie Schwellenwerte und Parameter für die Anomalien auf der Benutzeroberfläche. - Verwalten von Vorlagenversionen für Ihre geplanten Analyseregeln: Verfolgen Sie die Versionen Ihrer Analyseregelvorlagen nach, und rückgängig machen Sie aktive Regeln auf vorhandene Vorlagenversionen, oder aktualisieren Sie sie auf neue. - Behandeln der Erfassungsverzögerung in geplanten Analyseregeln: Erfahren Sie, wie sich die Erfassungsverzögerung auf Ihre geplanten Analyseregeln auswirken kann, und wie Sie sie beheben können, um diese Lücken zu schließen. |
| Einrichten von Automatisierungsregeln | Erstellen von Automatisierungsregeln Definieren Sie die Trigger und Bedingungen, die bestimmen, wann Ihre Automatisierungsregel ausgeführt wird, die verschiedenen Aktionen, die Sie ausführen lassen können, sowie die verbleibenden Features und Funktionen. |
| Einrichten von Playbooks | Ein Playbook ist eine Sammlung von Korrekturaktionen, die Sie von Microsoft Sentinel als Routine ausführen, um Ihre Reaktion auf Bedrohungen zu automatisieren und zu orchestrieren. So richten Sie Playbooks ein: – Empfohlene Playbooks überprüfen - Erstellen von Playbooks aus Vorlagen: Eine Playbookvorlage ist ein vordefinierter, getesteter und einsatzbereiter Workflow, der an Ihre Anforderungen angepasst werden kann. Vorlagen können auch als Referenz für bewährte Methoden bei der Entwicklung von Playbooks von Grund auf oder als Inspiration für neue Automatisierungsszenarien dienen. – Überprüfen Sie diese Schritte zum Erstellen eines Playbooks. |
| Einrichten von Arbeitsmappen |
Arbeitsmappen bieten eine flexible Canvas für die Datenanalyse und die Erstellung umfangreicher visueller Berichte in Microsoft Sentinel. Arbeitsmappenvorlagen ermöglichen Es Ihnen, schnell Einblicke in Ihre Daten zu erhalten, sobald Sie eine Datenquelle verbinden. So richten Sie Arbeitsmappen ein: – Überprüfen häufig verwendeter Microsoft Sentinel Arbeitsmappen - Verwenden vorhandener Arbeitsmappenvorlagen, die mit gepackten Lösungen verfügbar sind - Erstellen benutzerdefinierter Arbeitsmappen für Ihre Daten |
| Einrichten von Watchlists |
Watchlists ermöglichen es Ihnen, Daten aus einer Datenquelle, die Sie mit den Ereignissen in Ihrer Microsoft Sentinel Umgebung bereitstellen, zu korrelieren. So richten Sie Watchlists ein: - Erstellen von Watchlists - Erstellen von Abfragen oder Erkennungsregeln mit Watchlists: Abfragen von Daten in einer beliebigen Tabelle anhand von Daten aus einer Watchlist, indem Sie die Watchlist als Tabelle für Joins und Nachschlagevorgänge behandeln. Wenn Sie eine Watchlist erstellen, definieren Sie den SearchKey. Der Suchschlüssel ist der Name einer Spalte in Ihrer Watchlist, die Sie als Verknüpfung mit anderen Daten oder als häufiges Suchobjekt verwenden möchten. |
Nächste Schritte
In diesem Artikel haben Sie erfahren, wie Sie die verschiedenen Typen von Microsoft Sentinel Sicherheitsinhalten konfigurieren.