Überwachen der Integrität und Überwachen der Integrität Ihrer Analyseregeln

Um eine umfassende, unterbrechungsfreie und manipulationsfreie Bedrohungserkennung in Ihrem Microsoft Sentinel-Dienst sicherzustellen, sollten Sie die Integrität und Integrität Ihrer Analyseregeln nachverfolgen. Sorgen Sie dafür, dass sie optimal funktionieren, indem Sie ihre Ausführungserkenntnisse überwachen, die Integritäts- und Überwachungsprotokolle abfragen und manuelle erneute Ausführung verwenden, um Ihre Regeln zu testen und zu optimieren.

Richten Sie Benachrichtigungen zu Integritäts- und Überwachungsereignissen für relevante Projektbeteiligte ein, die dann Maßnahmen ergreifen können. Definieren und senden Sie beispielsweise E-Mails oder Microsoft Teams-Nachrichten, erstellen Sie neue Tickets in Ihrem Ticketsystem usw.

In diesem Artikel wird beschrieben, wie Sie die Überwachungs- und Integritätsüberwachungsfeatures von Microsoft Sentinel verwenden, um die Integrität und Integrität Ihrer Analyseregeln innerhalb von Microsoft Sentinel nachzuverfolgen.

Informationen zu Regelerkenntnissen und der manuellen erneuten Ausführung von Regeln finden Sie unter Überwachen und Optimieren der Ausführung Ihrer geplanten Analyseregeln.

Zusammenfassung

  • Integritätsprotokolle für Microsoft Sentinel Analyseregel:

    • Dieses Protokoll erfasst Ereignisse, die die Ausführung von Analyseregeln aufzeichnen, und das Endergebnis dieser Ausführungen – ob sie erfolgreich waren oder fehlgeschlagen sind, und wenn sie fehlgeschlagen sind, warum.
    • Außerdem zeichnet das Protokoll für jede Ausführung einer Analyseregel Folgendes auf:
      • Gibt an, wie viele Ereignisse die Abfrage der Regel erfasst hat.
      • Gibt an, ob die Anzahl der Ereignisse den in der Regel definierten Schwellenwert überschritten hat, wodurch die Regel eine Warnung auslöst.

    Diese Protokolle werden in der SentinelHealth-Tabelle in Log Analytics gesammelt.

  • Überwachungsprotokolle für Microsoft Sentinel Analyseregel:

    • Dieses Protokoll erfasst Ereignisse, die Änderungen aufzeichnen, die an einer Analyseregel vorgenommen wurden, einschließlich der folgenden Details:
      • Der Name der Regel, die geändert wurde.
      • Welche Eigenschaften der Regel geändert wurden.
      • Der Status der Regeleinstellungen vor und nach der Änderung.
      • Der Benutzer oder die Identität, der die Änderung vorgenommen hat.
      • Die Quell-IP-Adresse und Datum/Uhrzeit der Änderung.
      • ... und mehr.

    Diese Protokolle werden in der SentinelAudit-Tabelle in Log Analytics gesammelt.

Verwenden der Datentabellen SentinelHealth und SentinelAudit

Um Überwachungs- und Integritätsdaten aus den zuvor beschriebenen Tabellen abzurufen, müssen Sie zunächst das Feature Microsoft Sentinel Integrität für Ihren Arbeitsbereich aktivieren. Weitere Informationen finden Sie unter Aktivieren der Überwachung und Integritätsüberwachung für Microsoft Sentinel.

Sobald das Integritätsfeature aktiviert ist, wird die SentinelHealth-Datentabelle beim ersten Erfolgs- oder Fehlerereignis erstellt, das für Ihre Automatisierungsregeln und Playbooks generiert wird.

Grundlegendes zu SentinelHealth- und SentinelAudit-Tabellenereignissen

Die SentinelHealth-Tabelle protokolliert die folgenden Arten von Integritätsereignissen für Analyseregel:

  • Ausführung einer geplanten Analyseregel.
  • Ausführen der NRT-Analyseregel.

Weitere Informationen finden Sie unter SentinelHealth-Tabellenspaltenschema.

Die SentinelAudit-Tabelle protokolliert die folgenden Arten von Überwachungsereignissen für Analyseregeln:

  • Erstellen oder Aktualisieren einer Analyseregel
  • Analyseregel wurde gelöscht.

Weitere Informationen finden Sie unter SentinelAudit-Tabellenspaltenschema.

Ausführen von Abfragen zum Erkennen von Integritäts- und Integritätsproblemen

Um optimale Ergebnisse zu erzielen, erstellen Sie Ihre Abfragen auf den vordefinierten Funktionen für diese Tabellen _SentinelHealth() und _SentinelAudit(), anstatt die Tabellen direkt abfragen zu müssen. Diese Funktionen behalten die Abwärtskompatibilität Ihrer Abfragen bei, wenn Änderungen am Schema der Tabellen vorgenommen werden.

Im ersten Schritt filtern Sie die Tabellen nach Daten im Zusammenhang mit Analyseregeln. Verwenden Sie den SentinelResourceType -Parameter.

_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"

Wenn Sie möchten, können Sie die Liste nach einer bestimmten Art von Analyseregel weiter filtern. Verwenden Sie hierfür den SentinelResourceKind Parameter.

| where SentinelResourceKind == "Scheduled"

# OR

| where SentinelResourceKind == "NRT"

Hier sind einige Beispielabfragen, die Ihnen den Einstieg erleichtern:

  • Regeln finden, die "autodisabled" sind:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Reason == "The analytics rule is disabled and was not executed."

  • Zählen Sie die Regeln und Ausführungen, die erfolgreich waren oder nicht erfolgreich waren, aus folgenden Gründen:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason

  • Regellöschaktivität suchen:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| where Description =="Analytics rule deleted"

  • Suchen sie die Aktivität für Regeln anhand des Regelnamens und aktivitätsnamens:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| summarize Count= count() by RuleName=SentinelResourceName, Activity=Description

  • Suchen Sie die Aktivität für Regeln anhand des Aufrufersnamens (die Identität, die die Aktivität ausgeführt hat):

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| extend Caller= tostring(ExtendedProperties.CallerName)
| summarize Count = count() by Caller, Activity=Description

Weitere Informationen zu den folgenden Elementen, die in den vorherigen Beispielen verwendet wurden, finden Sie in der Kusto-Dokumentation:

Weitere Informationen zu KQL finden Sie unter übersicht über Kusto-Abfragesprache (KQL).

Weitere Ressourcen:

Geplante Regeln

Wenn eine Zeitplanregel fehlschlägt, wird sie fünfmal im selben Fenster wiederholt. Die Regel überspringt das Fenster nicht und verpasst eine Warnung, solange einer der sechs Versuche erfolgreich ist.

Ein Fehler bei einem der sechs Versuche weist auf eine Verzögerung beim Auslösen der Warnung hin. Die folgende Abfrage berechnet die genaue Verzögerung:

_SentinelHealth()
| where SentinelResourceType == @"Analytics Rule" 
| where SentinelResourceKind == "Scheduled"
| extend startTime = todatetime(ExtendedProperties["QueryStartTimeUTC"]), executionStart = todatetime(ExtendedProperties["executionStart"])
| extend delay = datetime_diff('minute', startTime, executionStart)

Verwenden Sie die folgende Abfrage, um nach vollständigen Fehlern zu suchen (d. a. ein Fenster, das übersprungen wurde):

_SentinelHealth()| where SentinelResourceType == @"Analytics Rule" 
| where SentinelResourceKind == "Scheduled"
| where Status != "Success"
| extend startTime = tostring(ExtendedProperties["QueryStartTimeUTC"])
| summarize failuresByStartTime = count() by startTime, SentinelResourceId
| where failuresByStartTime == 6
| summarize count() by SentinelResourceId

Diese Abfrage sucht nach geplanten Analyseregelausführungen, bei denen keine der sechs Wiederholungen erfolgreich war. Sie können einen Wiederholungsversuch identifizieren, indem Sie sich die Startzeit des Fensters der Regel ansehen, da die Wiederholungen immer die ursprüngliche Startzeit betrachten. Mit dieser Abfrage erhalten Sie die Anzahl übersprungener Fenster für jede Analyseregel. Wir gehen davon aus, dass übersprungene Fenster selten sind. Wenn Sie feststellen, dass Sie über Analyseregeln mit übersprungenen Fenstern verfügen, verwenden Sie die Abfragen, um die Fehlerursache dieser spezifischen Regeln und die Tabelle der Fehlerursachen und Risikominderungen zu verstehen, um sie zu beheben.

NRT-Regeln

Der Wiederholungsmechanismus für NRT-Regeln verhält sich anders als geplante Regeln. Wenn eine Regel nicht ausgeführt werden kann, berücksichtigt das System auch das fehlerhafte Fenster bei der nächsten Ausführung (eine Minute später). Dieses Verhalten wird bei bis zu 60 Ausfällen (eine Stunde) fortgesetzt.

Da ein Fehler einer bestimmten Ausführung nur eine Verzögerung von einer Minute widerspiegelt, sollten Sie nicht auf einzelne Fehler achten. Verwenden Sie stattdessen die folgende Abfrage, um die Verzögerung jeder Analyseregel zu überwachen:

_SentinelHealth()
| where SentinelResourceKind == "NRT"
| extend startTime = todatetime(ExtendedProperties["QueryStartTimeUTC"]), endTime = todatetime(ExtendedProperties["QueryEndTimeUTC"]), alertsCreated = toint(ExtendedProperties["AlertsGeneratedAmount"])
| where alertsCreated == 0 
| extend ruleDelay = datetime_diff('minute', endTime, startTime)
| project TimeGenerated, ruleDelay, SentinelResourceId
| render timechart

Sie können auch eine Analyseregel definieren, um Warnungen bei erheblichen Verzögerungen auszulösen (z. B. wenn eine NRT-Regel eine Verzögerung von mehr als 10 Minuten aufweist).

Status, Fehler und vorgeschlagene Schritte

Für die Ausführung der Geplanten Analyseregel oder der NRT-Analyseregel werden möglicherweise die folgenden Status und Beschreibungen angezeigt:

  • Erfolg: Die Regel wurde erfolgreich ausgeführt und generiert <n> Warnungen.

  • Erfolg: Die Regel wurde erfolgreich ausgeführt, hat aber den Schwellenwert (<n>) nicht erreicht, der zum Generieren einer Warnung erforderlich ist.

  • Fehler: Diese Beschreibungen erläutern Regelfehler und was Sie dagegen tun können.

    Beschreibung Sanierung
    Beim Ausführen der Abfrage ist ein interner Serverfehler aufgetreten.
    Timeout für die Abfrageausführung.
    Eine Tabelle, auf die in der Abfrage verwiesen wird, wurde nicht gefunden. Vergewissern Sie sich, dass die relevante Datenquelle verbunden ist.
    Beim Ausführen der Abfrage ist ein semantischer Fehler aufgetreten. Versuchen Sie, die Analyseregel zurückzusetzen, indem Sie sie bearbeiten und speichern (ohne Einstellungen zu ändern).
    Eine von der Abfrage aufgerufene Funktion wird mit einem reservierten Wort benannt. Entfernen Sie die Funktion, oder benennen Sie sie um.
    Beim Ausführen der Abfrage ist ein Syntaxfehler aufgetreten. Versuchen Sie, die Analyseregel zurückzusetzen, indem Sie sie bearbeiten und speichern (ohne Einstellungen zu ändern).
    Der Arbeitsbereich ist nicht vorhanden.
    Diese Abfrage verwendet zu viele Systemressourcen und wurde an der Ausführung gehindert. Überprüfen und optimieren Sie die Analyseregel. Lesen Sie unsere Kusto-Abfragesprache Übersicht und die Dokumentation zu bewährten Methoden.
    Eine von der Abfrage aufgerufene Funktion wurde nicht gefunden. Überprüfen Sie, ob in Ihrem Arbeitsbereich alle Funktionen vorhanden sind, die von der Abfrage aufgerufen werden.
    Der in der Abfrage verwendete Arbeitsbereich wurde nicht gefunden. Vergewissern Sie sich, dass alle Arbeitsbereiche in der Abfrage vorhanden sind.
    Sie haben keine Berechtigungen zum Ausführen dieser Abfrage. Versuchen Sie, die Analyseregel zurückzusetzen, indem Sie sie bearbeiten und speichern (ohne Einstellungen zu ändern).
    Sie verfügen nicht über Zugriffsberechtigungen für eine oder mehrere der Ressourcen in der Abfrage.
    Die Abfrage verweist auf einen Speicherpfad, der nicht gefunden wurde.
    Der Abfrage wurde der Zugriff auf einen Speicherpfad verweigert.
    In diesem Arbeitsbereich sind mehrere Funktionen mit demselben Namen definiert. Entfernen Sie die redundante Funktion, oder benennen Sie sie um, und setzen Sie die Regel zurück, indem Sie sie bearbeiten und speichern.
    Diese Abfrage hat kein Ergebnis zurückgegeben.
    Mehrere Resultsets in dieser Abfrage sind nicht zulässig.
    Abfrageergebnisse enthalten inkonsistente Anzahl von Feldern pro Zeile.
    Die Ausführung der Regel wurde aufgrund langer Datenerfassungszeiten verzögert.
    Die Ausführung der Regel wurde aufgrund temporärer Probleme verzögert.
    Die Warnung wurde aufgrund vorübergehender Probleme nicht angereichert.
    Die Warnung wurde aufgrund von Problemen mit der Entitätszuordnung nicht angereichert.
    < Anzahl> -Entitäten wurden aufgrund des Grenzwerts für die Warnungsgröße von 32 KB im Warnungsnamen>< gelöscht.
    < Anzahl> Entitäten wurden aufgrund von Problemen mit der Entitätszuordnung im Warnungsnamen>< verworfen.
    Die Abfrage hat zu <Zahlenereignissen> geführt, die das maximal zulässige Limit> der < Ergebnisse für <Regeltypregeln> mit warnungsbasierter Ereignisgruppierungskonfiguration überschreitet. Warnungen pro Zeile wurden für die ersten <Limit-1-Ereignisse> generiert, und eine zusätzliche aggregierte Warnung wurde generiert, um alle Ereignisse zu berücksichtigen.
    - <number> = Anzahl der von der Abfrage zurückgegebenen Ereignisse
    - <limit> = derzeit 150 Warnungen für geplante Regeln, 30 für NRT-Regeln
    - <Regeltyp> = Geplant oder NRT

Verwenden der Arbeitsmappe "Überwachung und Integritätsüberwachung"

  1. Um die Arbeitsmappe in Ihrem Arbeitsbereich verfügbar zu machen, installieren Sie die Arbeitsmappenlösung aus dem Microsoft Sentinel Inhaltshub:

    1. Wählen Sie im Microsoft Sentinel Portal im Menü Inhaltsverwaltung die Option Inhaltshub (Vorschau) aus.

    2. Geben Sie im Inhaltshubintegrität in die Suchleiste ein, und wählen Sie in den Ergebnissen unter Arbeitsmappenlösungen unter Eigenständig die Option Integrität & Überwachung aus.

      Screenshot: Auswahl der Arbeitsmappe

    3. Wählen Sie im Detailbereich Installieren und dann Speichern aus, das an seiner Stelle angezeigt wird.

  2. Wenn die Lösung angibt, dass sie installiert ist, wählen Sie im Menü Bedrohungsverwaltung die Option Arbeitsmappen aus.

    Screenshot der Anzeige, dass die Arbeitsmappenlösung für die Analyseintegrität über den Inhaltshub installiert ist.

  3. Wählen Sie im Arbeitsmappenkatalog die Registerkarte Vorlagen aus, geben Sie integrität in die Suchleiste ein, und wählen Sie aus den Ergebnissen Analytics Health & Audit aus.

    Screenshot der Auswahl der Arbeitsmappe

  4. Wählen Sie im Detailbereich Speichern aus, um eine bearbeitbare und verwendbare Kopie der Arbeitsmappe zu erstellen. Wenn die Kopie erstellt wird, wählen Sie Gespeicherte Arbeitsmappe anzeigen aus.

  5. Nachdem Sie sich in der Arbeitsmappe befinden, wählen Sie zuerst das Abonnement und den Arbeitsbereich aus, das Sie anzeigen möchten (möglicherweise sind sie bereits ausgewählt), und definieren Sie dann timeRange , um die Daten nach Ihren Anforderungen zu filtern. Verwenden Sie die Umschaltfläche Hilfe anzeigen , um eine direkte Erklärung der Arbeitsmappe anzuzeigen.

    Screenshot der Registerkarte

Diese Arbeitsmappe enthält drei Abschnitte im Registerkartenformat:

Registerkarte „Übersicht“

Auf der Registerkarte Übersicht werden Integritäts- und Überwachungszusammenfassungen angezeigt:

  • Integritätszusammenfassungen der status von Analyseregelausführungen im ausgewählten Arbeitsbereich: Anzahl der Ausführungen, Erfolge und Fehler sowie Details zu Fehlerereignissen.
  • Überwachungszusammenfassungen von Aktivitäten für Analyseregeln im ausgewählten Arbeitsbereich: Anzahl der Aktivitäten im Zeitverlauf, Anzahl der Aktivitäten nach Typ und Anzahl von Aktivitäten unterschiedlicher Typen nach Regel.

Registerkarte "Integrität"

Auf der Registerkarte Integrität können Sie bestimmte Integritätsereignisse untersuchen.

Screenshot der Auswahl der Registerkarte

  • Filtern Sie die gesamten Seitendaten nach status (Erfolg oder Fehler) und Regeltyp (geplant oder NRT).
  • Sehen Sie sich die Trends erfolgreicher und fehlgeschlagener Regelausführungen (abhängig vom status Filter) über den ausgewählten Zeitraum an. Sie können das Trenddiagramm "zeitpinseln", um eine Teilmenge des ursprünglichen Zeitbereichs anzuzeigen. Screenshot: Ausführung der Analyseregel im Laufe der Zeit in der Arbeitsmappe
  • Filtern Sie den Rest der Seite nach Gründen.
  • Sehen Sie sich die Gesamtzahl der Ausführungen für alle Analyseregeln an, die proportional nach status in einem Kreisdiagramm angezeigt werden.
  • Es folgt eine Tabelle mit der Anzahl der eindeutigen Analyseregeln, die ausgeführt wurden, aufgeschlüsselt nach Regeltyp und status.
    • Wählen Sie einen status aus, um die verbleibenden Diagramme für diesen status zu filtern.
    • Löschen Sie den Filter, indem Sie in der oberen rechten Ecke des Diagramms das Symbol "Auswahl löschen" (es sieht wie ein "Rückgängig"-Symbol aus). Screenshot der Anzahl von Regeln, die von status und Eingabe in der Arbeitsmappe für die Analyseintegrität ausgeführt werden.
  • Sehen Sie sich die einzelnen status mit der Anzahl der möglichen Gründe für diesen status an. (Es werden nur Gründe angezeigt, die in den Ausführungen im ausgewählten Zeitrahmen dargestellt werden.)
    • Wählen Sie einen status aus, um die verbleibenden Diagramme für diesen status zu filtern.
    • Löschen Sie den Filter, indem Sie in der oberen rechten Ecke des Diagramms das Symbol "Auswahl löschen" (es sieht wie ein "Rückgängig"-Symbol aus). Screenshot der Anzahl eindeutiger Gründe nach status in der Arbeitsmappe
  • Sehen Sie sich als Nächstes eine Liste dieser Gründe mit der Anzahl der kombinierten Gesamtregelausführungen und der Anzahl der eindeutigen Regeln an, die ausgeführt wurden.
    • Wählen Sie einen Grund aus, um die folgenden Diagramme zu diesem Grund zu filtern.
    • Löschen Sie den Filter, indem Sie in der oberen rechten Ecke des Diagramms das Symbol "Auswahl löschen" (es sieht wie ein "Rückgängig"-Symbol aus). Screenshot: Regelausführungen aus einem eindeutigen Grund in der Arbeitsmappe
  • Danach ist eine Liste der eindeutigen Analyseregeln, die ausgeführt wurden, mit den neuesten Ergebnissen und Trendlinien ihrer Erfolge und Misserfolge (abhängig von den status ausgewählt, um die Liste zu filtern).
    • Wählen Sie eine Regel aus, um einen Drilldown auszuführen und eine neue Tabelle mit allen Ausführungsweisen dieser Regel (im ausgewählten Zeitrahmen) anzuzeigen.
    • Löschen Sie diese Tabelle, indem Sie in der oberen rechten Ecke des Diagramms das Symbol "Auswahl löschen" (es sieht wie ein "Rückgängig"-Symbol aus). Screenshot: Liste der einzelnen Ausgeführten Regeln mit status und Trendlinien in der Arbeitsmappe
  • Wenn Sie eine Regel in der Liste auswählen, wird eine neue Tabelle mit den Integritätsdetails für die ausgewählte Regel angezeigt. Screenshot: Liste der Ausführungen der ausgewählten Analyseregel in der Arbeitsmappe

Registerkarte "Überwachung"

Auf der Registerkarte Überwachung können Sie einen Drilldown zu bestimmten Überwachungsereignissen ausführen.

Screenshot der Auswahl der Registerkarte

  • Filtern Sie die Gesamten Seitendaten nach Überwachungsregeltyp (geplant/Fusion).
  • Sehen Sie sich die Trends der überwachten Aktivität für Analyseregeln im ausgewählten Zeitraum an. Sie können das Trenddiagramm "zeitpinseln", um eine Teilmenge des ursprünglichen Zeitbereichs anzuzeigen. Screenshot der Trendüberwachungsaktivität in der Arbeitsmappe
  • Sehen Sie sich die Anzahl der überwachten Ereignisse an, aufgeschlüsselt nach Aktivität und Regeltyp.
    • Wählen Sie eine Aktivität aus, um die folgenden Diagramme für diese Aktivität zu filtern.
    • Löschen Sie den Filter, indem Sie in der oberen rechten Ecke des Diagramms das Symbol "Auswahl löschen" (es sieht wie ein "Rückgängig"-Symbol aus). Screenshot der Anzahl von Überwachungsereignissen nach Aktivität und Typ in der Arbeitsmappe
  • Sehen Sie sich die Anzahl der überwachten Ereignisse anhand des Regelnamens an.
    • Wählen Sie einen Regelnamen aus, um die folgende Tabelle für diese Regel zu filtern und eine neue Tabelle mit allen Aktivitäten für diese Regel (im ausgewählten Zeitrahmen) anzuzeigen. (Siehe nach dem folgenden Screenshot.)
    • Löschen Sie den Filter, indem Sie in der oberen rechten Ecke des Diagramms das Symbol "Auswahl löschen" (es sieht wie ein "Rückgängig"-Symbol aus). Screenshot: Überwachte Ereignisse nach Regelname und Aufrufer in der Arbeitsmappe
  • Sehen Sie sich die Anzahl der überwachten Ereignisse nach Aufrufer an (die Identität, die die Aktivität ausgeführt hat).
  • Wenn Sie im vorherigen Diagramm einen Regelnamen ausgewählt haben, wird eine weitere Tabelle mit den überwachten Aktivitäten für diese Regel angezeigt. Wählen Sie den Wert aus, der als Link in der Spalte ExtendedProperties angezeigt wird, um einen Seitenbereich zu öffnen, in dem die an der Regel vorgenommenen Änderungen angezeigt werden. Screenshot der Überwachungsaktivität für die ausgewählte Regel in der Arbeitsmappe

Nächste Schritte

  • Last updated on