Aggregieren von Microsoft Sentinel-Daten mit Zusammenfassungsregeln

Verwenden Sie Zusammenfassungsregeln in Microsoft Sentinel, um große Datenmengen im Hintergrund zu aggregieren und so für reibungslosere Sicherheitsoperationen über alle Log-Ebenen hinweg zu sorgen. Die Zusammenfassungsdaten werden in benutzerdefinierten Protokolltabellen vorkompiliert und bieten eine schnelle Abfrageleistung, einschließlich Abfragen, die auf Daten aus kostengünstigen Protokollträgern ausgeführt werden. Zusammenfassungsregeln können Ihnen dabei helfen, Ihre Daten für Folgendes zu optimieren:

• Analyse und Berichte, insbesondere über große Datensätze und Zeiträume, wie sie für Sicherheits- und Incident-Analysen, monatliche oder jährliche Geschäftsberichte usw. benötigt werden.
• Kosteneinsparungen in ausführlichen Protokollen, die Sie für so wenig oder so lange aufbewahren können, wie Sie in einer kostengünstigeren Protokollebene benötigen, und als zusammengefasste Daten nur an eine Analysetabelle für Analysen und Berichte senden.
• Sicherheit und Datenschutz durch Entfernen oder Verschleiern von Datenschutzdetails in zusammengefassten, gemeinsam nutzbaren Daten und Einschränkung des Zugriffs auf Tabellen mit Rohdaten.

Microsoft Sentinel speichert Zusammenfassungsregelergebnisse in benutzerdefinierten Tabellen mit dem Analysedatenplan . Weitere Informationen zu Datenplänen und Speicherkosten finden Sie in den Protokolltabellenplänen.

In diesem Artikel wird erläutert, wie Sie Zusammenfassungsregeln erstellen oder vordefinierte Zusammenfassungsregelvorlagen in Microsoft Sentinel bereitstellen und Beispiele für allgemeine Szenarien für die Verwendung von Zusammenfassungsregeln bereitstellen.

Important

Nach dem 31. März 2027 wird Microsoft Sentinel nicht mehr im Azure-Portal unterstützt und ist nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden auf das Defender-Portal umgeleitet und verwenden nur Microsoft Sentinel im Defender-Portal. Ab Juli 2025 werden viele neue Kunden automatisch eingebunden und zum Defender-Portal umgeleitet.

Wenn Sie Microsoft Sentinel weiterhin im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihres Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang sicherzustellen und die von Microsoft Defender angebotene einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter "Zeit zum Verschieben: Zurückstellen des Azure-Portals von Microsoft Sentinel für größere Sicherheit".

Prerequisites

So erstellen Sie Zusammenfassungsregeln in Microsoft Sentinel:

• Microsoft Sentinel muss in mindestens einem Arbeitsbereich aktiviert sein und aktiv Protokolle nutzen.

• Sie müssen mit der Berechtigungen Microsoft Sentinel-Mitwirkende auf Microsoft Sentinel zugreifen können. Weitere Informationen finden Sie unter Rollen und Berechtigungen in Microsoft Sentinel.

• Um Zusammenfassungsregeln im Microsoft Defender-Portal zu erstellen, müssen Sie zuerst Ihren Arbeitsbereich in das Defender-Portal integrieren. Weitere Informationen finden Sie unter Verbinden von Microsoft Sentinel mit dem Microsoft Defender-Portal.

Wir empfehlen Ihnen, mit der Abfrage Ihrer Zusammenfassungsregel auf der Seite Protokolle zu experimentieren, bevor Sie Ihre Regel erstellen. Stellen Sie sicher, dass die Abfrage nicht den Abfragegrenzwert erreicht oder nahe kommt, und überprüfen Sie, ob die Abfrage das beabsichtigte Schema und die erwarteten Ergebnisse erzeugt. Wenn die Abfrage nahe an den Abfragegrenzwerten liegt, sollten Sie die Verwendung eines kleineren binSize-Vorgangs in Betracht ziehen, um weniger Daten pro Intervall zu verarbeiten. Sie können die Abfrage auch anpassen, dass sie weniger Datensätze zurückgibt, oder Felder mit höherem Volumen entfernen.

Erstellen einer neuen Zusammenfassungsregel

Erstellen Sie eine neue Zusammenfassungsregel, um eine bestimmte große Menge an Daten in einer dynamischen Tabelle zu aggregieren. Konfigurieren Sie Ihre Regelhäufigkeit, um festzulegen, wie oft Ihr aggregierter Datensatz aus den Rohdaten aktualisiert wird.

1. Öffnen Sie den Assistenten für Zusammenfassungsregeln:

   • Wählen Sie im Defender-Portal die Microsoft Sentinel-Konfigurationszusammenfassungsregeln >>aus.

   • Wählen Sie im Azure-Portal im Microsoft Sentinel-Navigationsmenü unter "Konfiguration" die Option "Zusammenfassungsregeln" aus. Beispiel:

     

2. Wählen Sie +Erstellen aus , und geben Sie die folgenden Details ein:

   • Name. Geben Sie einen aussagekräftigen Namen für Ihre Regel ein.

   • Description. Geben Sie optional eine Beschreibung ein.

   • Zieltabelle. Definieren Sie die benutzerdefinierte Protokolltabelle, in der Ihre Daten aggregiert werden:

     • Wenn Sie Vorhandene benutzerdefinierte Protokolltabelle wählen, wählen Sie die Tabelle, die Sie verwenden möchten.

     • Wenn Sie Neue benutzerdefinierte Protokolltabelle wählen, geben Sie einen aussagekräftigen Namen für Ihre Tabelle ein. Ihr vollständiger Tabellenname verwendet die folgende Syntax: <tableName>_CL.

3. Es wird empfohlen, die Diagnoseeinstellungen "SummaryLogs " in Ihrem Arbeitsbereich zu aktivieren, um Sichtbarkeit für historische Runen und Fehler zu erhalten. Wenn die Diagnoseeinstellungen für "SummaryLogs " nicht aktiviert sind, werden Sie aufgefordert, sie im Bereich "Diagnoseeinstellungen " zu aktivieren.

   Wenn "SummaryLogs "-Diagnoseeinstellungen bereits aktiviert sind, Aber Sie die Einstellungen ändern möchten, wählen Sie "Erweiterte Diagnoseeinstellungen konfigurieren" aus. Wenn Sie zur Seite des Assistenten für Zusammenfassungsregeln zurückkehren, wählen Sie unbedingt Aktualisieren, um Ihre Einstellungsdetails zu aktualisieren.

   Important

   Die Diagnoseeinstellung "SummaryLogs" hat zusätzliche Kosten. Weitere Informationen dazu finden Sie unter Diagnoseeinstellungen in Azure Monitor.

4. Wählen Sie Weiter: Festlegen der Zusammenfassungslogik >, um fortzufahren.

5. Geben Sie auf der Seite Zusammenfassungslogik festlegen Ihre Zusammenfassungsabfrage ein. Um beispielsweise Daten aus der Google Cloud Platform zusammenzufassen, sollten Sie Folgendes eingeben:

   GCPAuditLogs
   | where ServiceName == 'pubsub.googleapis.com'
   | summarize count() by Severity
   

   Weitere Informationen finden Sie unter Beispielszenarien für Zusammenfassungsregeln und Kusto Query Language (KQL) in Azure Monitor.

6. Wählen Sie "Vorschau"-Ergebnisse aus, um ein Beispiel für die Daten anzuzeigen, die Sie mit der konfigurierten Abfrage sammeln.

7. Definieren Sie im Abfrageplanungsbereich die folgenden Details:

   • Wie oft soll die Regel ausgeführt werden
   • Gibt an, ob die Regel mit einer beliebigen Verzögerung (in Minuten) ausgeführt werden soll.
   • Gibt an, wann die Regel ausgeführt werden soll.

   Zeiten, die in der Planung definiert sind, basieren auf der Spalte timegenerated in Ihren Daten.

8. Wählen Sie Weiter: Überprüfen und erstellen >>Speichern aus, um die Zusammenfassungsregel abzuschließen.

Vorhandene Zusammenfassungsregeln werden auf der Seite " Zusammenfassungsregeln " aufgelistet, auf der Sie den Regelstatus überprüfen können. Wählen Sie für jede Regel das Optionsmenü am Ende der Zeile aus, um eine der folgenden Aktionen auszuführen:

• Zeigen Sie die aktuellen Daten der Regel auf der Protokollseite an, als ob Sie die Abfrage sofort ausführen würden.
• Anzeigen des Ausführungsverlaufs für die ausgewählte Regel
• Deaktivieren oder aktivieren Sie die Regel.
• Bearbeiten der Regelkonfiguration

Um eine Regel zu löschen, wählen Sie die Regelzeile aus, und wählen Sie dann " Löschen" in der Symbolleiste oben auf der Seite aus.

Note

Azure Monitor unterstützt auch das Erstellen von Zusammenfassungsregeln über die API oder eine ARM-Vorlage (Azure Resource Monitor). Weitere Informationen finden Sie unter Erstellen oder Aktualisieren einer Zusammenfassungsregel.

Bereitstellen vorgefertigter Zusammenfassungsregelvorlagen

Zusammenfassungsregelvorlagen sind vordefinierte Zusammenfassungsregeln, die Sie as-is bereitstellen oder an Ihre Anforderungen anpassen können.

So stellen Sie eine Zusammenfassungsregelvorlage bereit

1. Öffnen Sie den Inhaltshub , und filtern Sie den Inhaltstyp nach Zusammenfassungsregeln , um die verfügbaren Zusammenfassungsregelvorlagen anzuzeigen.

   

2. Wählen Sie eine Zusammenfassungsregelvorlage aus.

   Ein Bereich mit Informationen zur Zusammenfassungsregelvorlage wird geöffnet, in dem Felder wie Beschreibung, Zusammenfassungsabfrage und Zieltabelle angezeigt werden.

   

3. Wählen Sie "Installieren" aus, um die Vorlage zu installieren.

4. Wählen Sie auf der Seite "Zusammenfassungsregeln" die Registerkarte "Vorlagen" und dann die von Ihnen installierte Zusammenfassungsregel aus.

   

5. Wählen Sie "Erstellen" aus, um den Assistenten für Zusammenfassungsregeln zu öffnen, in dem alle Felder vorgefüllt sind.

6. Gehen Sie durch den Zusammenfassungsregel-Assistenten und wählen Sie "Speichern" aus, um die Zusammenfassungsregel anzuwenden.

   Weitere Informationen zum Assistenten für Zusammenfassungsregeln finden Sie unter Erstellen einer neuen Zusammenfassungsregel.

Beispiel für Zusammenfassungsregelszenarien in Microsoft Sentinel

In diesem Abschnitt werden gängige Szenarien für die Erstellung von Zusammenfassungsregeln in Microsoft Sentinel sowie unsere Empfehlungen für die Konfiguration der einzelnen Regeln erläutert. Weitere Informationen und Beispiele finden Sie unter Zusammenfassen von Erkenntnissen aus Rohdaten in einer Hilfstabelle zu einer Analysetabelle in Microsoft Sentinel und Log-Quellen zur Verwendung bei der Aufnahme von Hilfsprotokollen.

Schnelles Auffinden einer schädlichen IP-Adresse in Ihrem Netzwerkdatenverkehr

Szenario: Sie sind ein Bedrohungssucher, und eines der Ziele Ihres Teams besteht darin, in den letzten 90 Tagen alle Fälle zu identifizieren, in dem eine böswillige IP-Adresse in den Netzwerkdatenverkehrsprotokollen von einem aktiven Vorfall interagiert hat.

Herausforderung: Microsoft Sentinel nimmt derzeit pro Tag mehrere Terabyte Netzwerkprotokolle ein. Sie müssen sie schnell durchgehen, um Übereinstimmungen mit der bösartigen IP-Adresse zu finden.

Lösung: Wir empfehlen die Verwendung von Zusammenfassungsregeln, um Folgendes auszuführen:

1. Erstellen Sie ein zusammenfassendes Dataset für jede IP-Adresse, die mit dem Incident in Verbindung steht, einschließlich der SourceIP, DestinationIP, MaliciousIP, RemoteIP, die jeweils wichtige Attribute auflisten, wie z. B. IPType, FirstTimeSeen, und LastTimeSeen.

   Mit dem zusammenfassenden Dataset können Sie schnell nach einer bestimmten IP-Adresse suchen und den Zeitbereich eingrenzen, in dem die IP-Adresse gefunden wurde. Dies ist selbst dann möglich, wenn die gesuchten Ereignisse mehr als 90 Tage alt sind und damit außerhalb des Aufbewahrungszeitraums des Arbeitsbereichs liegen.

   In diesem Beispiel konfigurieren Sie die Zusammenfassung so, dass sie täglich ausgeführt wird, so dass die Abfrage jeden Tag neue zusammenfassende Datasets hinzufügt, bis sie abläuft.

2. Erstellen Sie eine Analyseregel, die weniger als zwei Minuten lang auf dem zusammengefassten Dataset läuft und schnell den spezifischen Zeitbereich ermittelt, in dem die bösartige IP-Adresse mit dem Unternehmensnetzwerk interagiert hat.

   Stellen Sie sicher, dass Sie Ausführungsintervalle von mindestens fünf Minuten konfigurieren, um unterschiedliche Größen der zusammengefassten Nutzdaten zu berücksichtigen. Dadurch wird sichergestellt, dass auch bei einer Verzögerung bei der Ereignisaufnahme keine Verluste entstehen.

   Beispiel:

   let csl_columnmatch=(column_name: string) {
   summarized_CommonSecurityLog
   | where isnotempty(column_name)
   | extend
       Date = format_datetime(TimeGenerated, "yyyy-MM-dd"),
       IPaddress = column_ifexists(column_name, ""),
       FieldName = column_name
   | extend IPType = iff(ipv4_is_private(IPaddress) == true, "Private", "Public")
   | where isnotempty(IPaddress)
   | project Date, TimeGenerated, IPaddress, FieldName, IPType, DeviceVendor
   | summarize count(), FirstTimeSeen = min(TimeGenerated), LastTimeSeen = min(TimeGenerated) by Date, IPaddress, FieldName, IPType, DeviceVendor
   };
   union csl_columnmatch("SourceIP")
       , csl_columnmatch("DestinationIP") 
       , csl_columnmatch("MaliciousIP")
       , csl_columnmatch("RemoteIP")
   // Further summarization can be done per IPaddress to remove duplicates per day on larger timeframe for the first run
   | summarize make_set(FieldName), make_set(DeviceVendor) by IPType, IPaddress
   

3. Führen Sie eine anschließende Suche oder Korrelation mit anderen Daten durch, um den Angriffsverlauf zu vervollständigen.

Generieren von Warnmeldungen bei Übereinstimmung von Bedrohungsdaten mit Netzwerkdaten

Generieren Sie Warnungen bei Übereinstimmungen von Bedrohungsdaten mit verrauschten, umfangreichen Netzwerkdaten mit geringem Sicherheitswert.

Szenario: Sie müssen eine Analyseregel für Firewallprotokolle erstellen, um Domänennamen im System abzugleichen, die mit einer Liste der Domänennamen der Bedrohungserkennung besucht wurden.

Bei den meisten Datenquellen handelt es sich um Rohprotokolle, die verrauscht und umfangreich sind, aber einen geringeren Sicherheitswert haben, einschließlich IP-Adressen, Azure Firewall-Datenverkehr, Fortigate-Datenverkehr und so weiter. Das Gesamtvolumen beträgt etwa 1 TB pro Tag.

Herausforderung: Das Erstellen separater Regeln erfordert mehrere Logik-Apps, die zusätzlichen Einrichtungs- und Wartungsaufwand und Kosten erfordern.

Lösung: Wir empfehlen die Verwendung von Zusammenfassungsregeln, um Folgendes auszuführen:

1. Erstellen einer Zusammenfassungsregel:

   1. Erweitern Sie Ihre Abfrage, um Schlüsselfelder zu extrahieren, z. B. die Quelladresse, die Zieladresse und den Zielport aus der tabelle CommonSecurityLog_CL , die der CommonSecurityLog mit dem Hilfsplan ist.

   2. Führen Sie eine interne Suche mit den aktiven Threat Intelligence-Indikatoren durch, um Übereinstimmungen mit unserer Quelladresse zu identifizieren. So können Sie Ihre Daten mit bekannten Bedrohungen abgleichen.

   3. Projektrelevante Informationen, einschließlich der generierten Zeit, der Art der Aktivität und aller schädlichen Quell-IPs, zusammen mit den Details des Ziels. Legen Sie die Häufigkeit fest, mit der die Abfrage ausgeführt werden soll, und die Zieltabelle, z. B. "MaliciousIPDetection" . Die Ergebnisse in dieser Tabelle befinden sich auf der Analyseebene und werden entsprechend belastet.

2. Erstellen einer Warnung:

   Erstellen einer Analyseregel in Microsoft Sentinel, die basierend auf Ergebnissen aus der Tabelle "MaliciousIPDetection" Warnungen ausgibt. Dieser Schritt ist entscheidend für die proaktive Bedrohungserkennung und die Reaktion auf Vorfälle.

Zusammenfassungsregel:

CommonSecurityLog_CL​
| extend sourceAddress = tostring(parse_json(Message).sourceAddress), destinationAddress = tostring(parse_json(Message).destinationAddress), destinationPort = tostring(parse_json(Message).destinationPort)​
| lookup kind=inner (ThreatIntelligenceIndicator | where Active == true ) on $left.sourceAddress == $right.NetworkIP​
| project TimeGenerated, Activity, Message, DeviceVendor, DeviceProduct, sourceMaliciousIP =sourceAddress, destinationAddress, destinationPort

Verwandte Inhalte

• Aggregieren von Daten im Log Analytics-Arbeitsbereich mit Zusammenfassungsregeln
• Kosten planen und die Preise und Abrechnung von Microsoft Sentinel verstehen
• Protokollquellen für die Erfassung von Hilfsprotokollen
• Einschränkungen von Zusammenfassungsregeln