Share via

Erhalten Sie Optimierungsempfehlungen für Ihre Analyseregeln in Microsoft Sentinel

  • Artikel

Wichtig

Die Erkennungsoptimierung befindet sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Die Feinabstimmung von Regeln für die Bedrohungserkennung in Ihrem SIEM kann ein schwieriger, langwieriger und kontinuierlicher Prozess sein, bei dem ein Ausgleich zwischen der Maximierung Ihrer Bedrohungserkennung und der Minimierung der Fehlalarmrate erfolgt. Microsoft Sentinel vereinfacht und optimiert diesen Prozess mithilfe von Maschinen-Lernen, um Milliarden von Signalen aus Ihren Datenquellen sowie Ihre Reaktionen auf Vorfälle im Laufe der Zeit zu analysieren, Muster ableiten und Ihnen umsetzbare Empfehlungen und Erkenntnisse bereitzustellen, die Ihren Optimierungsaufwand erheblich verringern und ihnen ermöglichen, sich auf das Erkennen und Reagieren auf tatsächliche Bedrohungen zu konzentrieren.

Optimierungsempfehlungen und Erkenntnisse sind jetzt in Ihre Analyseregeln integriert. In diesem Artikel wird erläutert, was diese Erkenntnisse zeigen und wie Sie die Empfehlungen implementieren können.

Anzeigen von Regeleinblicken und Optimierungsempfehlungen

Um festzustellen, ob Microsoft Sentinel Optimierungsempfehlungen für ihre Analyseregeln hat, wählen Sie im Navigationsmenü von Microsoft Sentinel Analytics aus.

Alle Regeln mit Empfehlungen zeigen ein Glühbirnensymbol an, wie hier gezeigt:

Screenshot: Liste der Analyseregeln mit Empfehlungsindikator.

Bearbeiten Sie die Regel, um die Empfehlungen zusammen mit den anderen Erkenntnissen anzuzeigen. Sie werden zusammen auf der Registerkarte Regellogik festlegen des Assistenten für Analyseregel unterhalb der Anzeige Ergebnissimulation angezeigt.

Screenshot der Optimierung von Erkenntnissen in der Analyseregel.

Arten von Erkenntnissen

Die Ansicht Optimierungserkenntnisse besteht aus mehreren Bereichen, in denen Sie scrollen oder wischen können. Jeder Bereich zeigt Ihnen etwas anderes an. Der Zeitraum – 14 Tage – für den die Erkenntnisse angezeigt werden, findet sich oben im Rahmen.

  1. Im ersten Erkenntnisbereich werden einige statistische Informationen angezeigt: die durchschnittliche Anzahl von Warnungen pro Vorfall, die Anzahl der offenen Vorfälle und die Anzahl geschlossener Vorfälle, gruppiert nach Klassifizierung (wirkliche Bedrohung/Fehlalarm). Diese Erkenntnis hilft Ihnen dabei, die Last für diese Regel zu erkennen und zu verstehen, ob eine Optimierung erforderlich ist, z. B. ob die Gruppierungseinstellungen angepasst werden sollten.

    Screenshot: Einblicke in die Regeleffizienz.

    Diese Erkenntnis ist das Ergebnis einer Log Analytics-Abfrage. Wenn Sie Durchschnittliche Warnungen pro Vorfall auswählen, gelangen Sie zur Abfrage in Log Analytics, welche diese Erkenntnis erzeugt hat. Wenn Sie Vorfälle Öffnen auswählen, gelangen Sie zum Blatt Vorfälle.

  2. Im zweiten Erkenntnisbereich wird empfohlen, eine Liste der auszuschließenden Einheiten zu erstellen. Diese Einheiten sind in hohem Maße mit Vorfällen korreliert, die Sie geschlossen und als Fehlalarm klassifiziert haben. Wählen Sie das Pluszeichen neben jeder aufgelisteten Einheit aus, um sie bei zukünftigen Ausführungen dieser Regel aus der Abfrage auszuschließen.

    Screenshot der Empfehlung zum Ausschluss von Einheiten.

    Diese Empfehlung wird von den erweiterten Data Science- und Maschinen-Lernen-Modellen von Microsoft erstellt. Die Einbeziehung dieses Bereichs in die Anzeige Optimierungserkenntnisse hängt davon ab, ob irgendwelche Empfehlungen anzuzeigen sind.

  3. Im dritten Erkenntnisbereich werden die vier am häufigsten angezeigten zugeordneten Einheiten für alle Warnungen angezeigt, die von dieser Regel erzeugt werden. Die Zuordnung der Einheiten muss für die Regel konfiguriert werden, damit diese Erkenntnis Ergebnisse liefert. Diese Erkenntnis kann Ihnen dabei helfen, sich aller Einheiten bewusst zu werden, die "das Rampenlicht für sich beanspruchen"" und die Aufmerksamkeit von anderen weg lenken. Möglicherweise möchten Sie diese Einheiten separat in einer anderen Regel behandeln, oder Sie entscheiden, dass es sich um Fehlalarm oder anderweitige Irritation handelt, und sie von der Regel ausschließen.

    Screenshot: Einblicke in die wichtigsten Einheiten.

    Diese Erkenntnis ist das Ergebnis einer Log Analytics-Abfrage. Wenn Sie eine der Einheiten auswählen, gelangen Sie zur Abfrage in Log Analytics, die den Einblick erzeugt hat.

Nächste Schritte

Weitere Informationen finden Sie unter