Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Benutzerdefinierte Erkennungen sind jetzt die beste Möglichkeit, neue Regeln in Microsoft Sentinel SIEM-Microsoft Defender XDR zu erstellen. Mit benutzerdefinierten Erkennungen können Sie Erfassungskosten reduzieren, unbegrenzte Echtzeiterkennungen erhalten und von der nahtlosen Integration in Defender XDR Daten, Funktionen und Wartungsaktionen mit automatischer Entitätszuordnung profitieren. Weitere Informationen finden Sie in diesem Blog.
die Analyseregeln von Microsoft Sentinel nahezu in Echtzeit bieten sofort eine sofort einsatzbereite Bedrohungserkennung. Diese Art von Regel wurde so konzipiert, dass sie sehr reaktionsfähig ist, indem die Abfrage in Intervallen ausgeführt wird, die nur eine Minute voneinander entfernt sind.
Derzeit haben diese Vorlagen eine begrenzte Anwendung, wie unten beschrieben, aber die Technologie entwickelt sich schnell und wächst.
Wichtig
Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.
Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.
Anzeigen von Regeln nahezu in Echtzeit (NRT)
Erweitern Sie im Microsoft Defender Navigationsmenü Microsoft Sentinel und dann Konfiguration. Wählen Sie Analytics aus.
Filtern Sie auf dem Bildschirm Analyse bei ausgewählter Registerkarte Aktive Regeln die Liste nach NRT-Vorlagen :
Wählen Sie Filter hinzufügen und dann Regeltyp aus der Filterliste aus.
Wählen Sie in der resultierenden Liste NRT aus. Wählen Sie dann Übernehmen aus.
Erstellen von NRT-Regeln
Sie erstellen NRT-Regeln auf die gleiche Weise wie reguläre Analyseregeln für geplante Abfragen:
Erweitern Sie im Microsoft Defender Navigationsmenü Microsoft Sentinel und dann Konfiguration. Wählen Sie Analytics aus.
Wählen Sie auf der Aktionsleiste oben im Raster +Erstellen und dann NRT-Abfrageregel aus. Dadurch wird der Analyseregel-Assistent geöffnet.
Befolgen Sie die Anweisungen des Analyseregel-Assistenten.
Die Konfiguration von NRT-Regeln ist in den meisten Fällen mit der Konfiguration geplanter Analyseregeln identisch.
Sie können auf mehrere Tabellen und Watchlists in Ihrer Abfragelogik verweisen.
Sie können alle Warnungsanreicherungsmethoden verwenden: Entitätszuordnung, benutzerdefinierte Details und Warnungsdetails.
Sie können auswählen, wie Warnungen in Incidents gruppiert und eine Abfrage unterdrückt werden soll, wenn ein bestimmtes Ergebnis generiert wurde.
Sie können Antworten auf Warnungen und Vorfälle automatisieren.
Sie können die Regelabfrage über mehrere Arbeitsbereiche hinweg ausführen.
Aufgrund der Art und der Einschränkungen von NRT-Regeln sind die folgenden Features geplanter Analyseregeln im Assistenten jedoch nicht verfügbar :
- Die Abfrageplanung ist nicht konfigurierbar, da Abfragen automatisch einmal pro Minute mit einem Lookbackzeitraum von einer Minute ausgeführt werden.
- Der Warnungsschwellenwert ist irrelevant, da immer eine Warnung generiert wird.
- Die Konfiguration der Ereignisgruppierung ist jetzt in begrenztem Umfang verfügbar. Sie können festlegen, dass eine NRT-Regel für jedes Ereignis eine Warnung für bis zu 30 Ereignisse generiert. Wenn Sie diese Option auswählen und die Regel zu mehr als 30 Ereignissen führt, werden für die ersten 29 Ereignisse Warnungen mit einem einzelnen Ereignis generiert, und eine 30. Warnung fasst alle Ereignisse im Resultset zusammen.
Darüber hinaus sollte Ihre Abfrage aufgrund der Größenbeschränkungen der Warnungen anweisungen verwenden
project, um nur die erforderlichen Felder aus Ihrer Tabelle einzuschließen. Andernfalls werden die informationen, die Sie anzeigen möchten, möglicherweise abgeschnitten.
Nächste Schritte
In diesem Dokument haben Sie erfahren, wie Sie Analyseregeln nahezu in Echtzeit (NRT) in Microsoft Sentinel erstellen.
- Erfahren Sie mehr über Analyseregeln nahezu in Echtzeit (NRT) in Microsoft Sentinel.
- Erkunden Sie andere Analyseregeltypen.