Überwachen und Optimieren der Ausführung Ihrer geplanten Analyseregeln
Um sicherzustellen, dass die Bedrohungserkennung von Microsoft Sentinel Ihre Umgebung vollständig abdeckt, nutzen Sie die Tools zur Ausführungsverwaltung. Diese Tools bestehen aus Erkenntnissen zur Ausführung Ihrer geplanten Analyseregeln, die auf den Integritäts- und Überwachungsdaten von Microsoft Sentinel basieren, und einer Möglichkeit, frühere Ausführungen von Regeln für bestimmte Zeitfenster zu Test- und/oder Problembehandlungszwecken manuell auszuführen.
Wichtig
Die Erkenntnisse zu Microsoft Sentinel-Analyseregeln und die manuelle Wiederholung befinden sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Zusammenfassung
Es gibt zwei Tools zur Ausführungsverwaltung für geplante Analyseregeln: integrierte Erkenntnis zu geplanten Regeln sowie die Möglichkeit, geplante Regeln bei Bedarf erneut auszuführen.
Auf der Seite Analysen wird der Bereich Erkenntnisse als weitere Registerkarte im Detailbereich neben der Registerkarte Info angezeigt. Der BereichErkenntnisse enthält Informationen zu den Aktivitäten und Ergebnissen einer Regel. Beispiele: Fehlgeschlagene Ausführungen, häufigste Integritätsprobleme, Anzahl von Warnungen im Laufe der Zeit und Abschlussklassifizierungen von Vorfällen, die von der Regel erstellt wurden. Diese Erkenntnisse helfen Ihren Sicherheitsanalysten, potenzielle Probleme oder Fehlkonfigurationen mit Analyseregeln zu identifizieren. Außerdem ermöglichen sie es ihnen, Regelfehler zu erkennen und zu beheben und Regelkonfigurationen zu optimieren, um eine bessere Leistung und höhere Genauigkeit zu erzielen.
Auf der Seite Analysen können Sie Analyseregeln bei Bedarf erneut ausführen. Diese Funktion bietet Flexibilität und Kontrolle bei der Überprüfung der Wirksamkeit der Regeln. Dies kann in Regeleinschränkungs-, Test-, Validierungs und anderen Szenarien nützlich sein. Die Flexibilität zum Initiieren manueller Wiederholungen kann effiziente Sicherheitsvorgänge unterstützen, eine effektive Reaktion auf Vorfälle ermöglichen und die allgemeinen Erkennungs- und Reaktionsmöglichkeiten des Systems verbessern.
Anwendungsfälle und Vorteile erneuter Regelausführung
Hier sind einige Szenarien aufgeführt, die von der Wiederholung bestimmter Ausführungen von Analyseregeln profitieren können:
Regeleinschränkung und -optimierung: Analyseregeln erfordern möglicherweise regelmäßige Anpassungen und Optimierungen basierend auf der sich entwickelnden Bedrohungslandschaft und den sich ändernden Anforderungen der Organisation. Durch manuelles erneutes Ausführen von Regeln können Ihre Analysten die Auswirkungen von Regeländerungen bewerten und ihre Wirksamkeit überprüfen, bevor Sie sie in einer Produktionsumgebung bereitstellen.
Testen und Überprüfen: Wenn Sie neue Analyseregeln einführen, wichtige Änderungen an vorhandenen Regeln vornehmen oder neue Incidentplaybooks entwickeln, ist es wichtig, ihre Leistung und Genauigkeit gründlich zu testen. Mithilfe der manuellen erneuten Ausführung können Sie verschiedene Szenarien simulieren (einschließlich des automatisierten End-to-End-Flows bei Vorfällen) und die Regeln mit einem konsistenten Satz von Dateneingaben überprüfen. Dieser Prozess stellt sicher, dass die Regeln die erwarteten Warnungen generieren, ohne übermäßig viele falsch positive Ergebnisse zu erzeugen.
Untersuchung von Vorfällen: Im Falle eines Sicherheitsvorfalls oder verdächtiger Aktivitäten möchten Ihre Analysten möglicherweise zusätzliche Details aus bereits generierten Warnungen gewinnen. Dazu können sie die Regel aktualisieren und in bestimmten Ausführungsintervallen (bis zu sieben Tage zurück in die Vergangenheit) erneut ausführen, um zusätzliche Informationen zu sammeln und verknüpfte Ereignisse zu identifizieren. Die manuelle erneute Ausführung ermöglicht es Ihren Analysten, eingehende Untersuchungen durchzuführen und eine umfassende Abdeckung sicherzustellen.
Compliance und Überwachung: Einige regulatorische Anforderungen oder interne Richtlinien erfordern möglicherweise eine regelmäßige oder bedarfsgesteuerte erneute Ausführung von Analyseregeln, um eine kontinuierliche Überwachung und Compliance nachzuweisen. Durch die manuelle erneute Ausführung können diese Verpflichtungen erfüllt werden, indem sichergestellt wird, dass Regeln konsistent angewendet und entsprechende Warnungen generiert werden.
Voraussetzungen
Um die Tools zur Ausführungsverwaltung verwenden zu können, müssen Sie das Integritäts- und Überwachungsfeature von Microsoft Sentinel und insbesondere die Integritätsüberwachung von Analyseregeln aktiviert haben. Erfahren Sie, wie Sie das Integritäts und Überwachungsfeature aktivieren.
Anzeigen von Erkenntnissen zu Analyseregeln
Um diese Tools zu nutzen, untersuchen Sie zunächst die Erkenntnisse zu einer bestimmten Regel.
Klicken Sie im Microsoft Sentinel-Navigationsmenü auf Analytics.
Suchen und wählen Sie eine Regel (Geplant oder NRT) aus, für die Sie die Erkenntnisse sehen möchten.
Wählen Sie im Detailbereich die Registerkarte Erkenntnisse aus.
Wenn Sie die Registerkarte Erkenntnisse auswählen, wird die Zeitrahmenauswahl angezeigt. Wählen Sie einen Zeitrahmen aus, oder belassen es beim Standard (die letzten 24 Stunden).
Im Bereich Erkenntnisse werden derzeit vier Arten von Erkenntnissen angezeigt. Auf jede Erkenntnis folgt ein Alle anzeigen-Link, der Sie zur Seite Protokolle führt und die Abfrage, die die Erkenntnis erzeugt hat, sowie die vollständigen Rohergebnisse anzeigt. Hier sind die Erkenntnisse:
Fehlgeschlagene Ausführungen zeigt eine Liste der fehlerhaften Ausführungen dieser Regel im angegebenen Zeitrahmen an. Dieser Erkenntnis folgt auch ein Link zum Bereich Regelausführungen, in dem eine Liste aller Ausführungszeiten der Regel angezeigt wird. Hier können Sie auch bestimmte Ausführungen der Regel wiederholen.
Häufigste Integritätsprobleme zeigt eine Liste der häufigsten Integritätsprobleme für diese Regel im angegebenen Zeitrahmen an. Dieser Erkenntnis folgt auch ein Ausführungen anzeigen-Link, der Sie zur Seite Protokolle führt, auf der eine Abfrage aller Zeiten angezeigt wird, zu der die Regel ausgeführt wurde.
Warnungsdiagramm zeigt ein Diagramm der Anzahl von Warnungen, die von dieser Regel im angegebenen Zeitrahmen generiert wurden.
Klassifizierung der Vorfälle zeigt eine Zusammenfassung der Klassifizierung geschlossener Vorfälle, die von dieser Regel im angegebenen Zeitrahmen erstellt wurden.
Erneutes Ausführen von Analyseregeln
Es gibt mehrere Szenarien, die dazu führen können, dass Sie eine Regel erneut ausführen möchten.
Eine Regel konnte aufgrund einer temporären Bedingung, die auf normal zurückgesetzt wurde, oder aufgrund einer Fehlkonfiguration nicht ausgeführt werden. Nachdem Sie die Fehlkonfiguration korrigiert oder die Bedingung repariert haben, möchten Sie die Regel möglicherweise im selben Zeitfenster (d. h. auf dieselben Daten) wie bei der fehlerhaften Ausführung erneut anwenden, um Lücken in der Abdeckung zu verringern.
Eine Regel konnte erfolgreich ausgeführt werden, die generierten Warnungen lieferten aber nicht genügend Informationen. In diesem Fall können Sie die Regel bearbeiten, um weitere Informationen bereitzustellen, sei es durch Ändern der Abfrage oder der Anreicherungseinstellungen. Anschließend können Sie die Regel im gleichen Zeitfenster (d. h. für dieselben Daten) wie bei der ursprünglichen Ausführung, für die Sie weitere Informationen wünschen, erneut ausführen.
Möglicherweise experimentieren Sie mit dem Schreiben oder Bearbeiten einer Regel und möchten sehen, wie sich unterschiedliche Einstellungen auf die Warnungen auswirken, die die Regel generiert. Für einen gültigen Vergleich möchten Sie die Regel im gleichen Zeitfenster erneut ausführen.
Sie können eine Regel folgendermaßen erneut ausführen:
Wählen Sie auf der Seite Analysen auf der Symbolleiste im oberen Bereich die Option Regelausführungen (Vorschau) aus. Der Bereich Regelausführung wird geöffnet.
Sie können auch zum Bereich Regelausführungen gelangen, indem Sie auf der Registerkarte Erkenntnisse aus der Anzeige Fehlgeschlagene Ausführungen die Option Regeln erneut ausführen auswählen (siehe oben).
Wählen Sie die Regelausführungen aus, die Sie entsprechend dem Zeitfenster, in dem sie wie in der Spalte Ausführungszeit angezeigt ursprünglich ausgeführt wurden, erneut ausführen wollen. Sie können mehrere Regelausführungen auswählen.
Wählen Sie Erneute Ausführung aus. Es werden Benachrichtigungen angezeigt, die den Fortschritt der Anforderungen anzeigen, und dass die Regeln für die Ausführung zur Warteschlange hinzugefügt wurden.
Wählen Sie Aktualisieren aus, um den aktualisierten Status der Regelausführungen anzuzeigen. Sie werden sehen, dass Ihre Anforderungen unter ihnen mit dem Status In Bearbeitung (und schließlich mit dem Status Erfolg) angezeigt werden. Außerdem werden sie mit dem Typ Vom Benutzer ausgelöst anstatt Systemseitig ausgelöst angezeigt.
Sie werden auch feststellen, dass die Ausführungszeit Ihrer angeforderten erneuten Ausführungen mit der Ausführung der ursprünglichen, vom System ausgelösten Ausführung identisch ist, und nicht der Ausführungszeit der erneuten Ausführung entspricht. Dies geschieht, um Sie darüber zu informieren, auf welches Zeitfenster Ihre erneute Ausführung verweist.
Sie können nur vom System ausgelöste Regelausführungen erneut wiedergeben, nicht benutzerseitig ausgelöste.
Wählen Sie Vollständige Details anzeigen am Ende der Zeile einer beliebigen Regelausführung aus, um die vollständigen, unformatierten Details im Bildschirm Protokolle anzuzeigen.
Nächste Schritte
- Überwachen und Überprüfen Sie die Integrität Ihrer Analyseregeln.
- Erfahren Sie mehr über die Überprüfung und Systemüberwachung in Microsoft Sentinel.
- Aktivieren der Überprüfung und Systemüberwachung in Microsoft Sentinel.
- Weitere Informationen finden Sie in den SentinelHealth- und SentinelAudit-Tabellenschemata.