Anzeigen benutzerdefinierter Ereignisdetails in Microsoft Sentinel-Warnungen

Einführung

Analyseregeln für geplante Abfragen analysieren Ereignisse aus mit Microsoft Sentinel verbundenen Datenquellen und erzeugen Warnungen, wenn die Inhalte dieser Ereignisse aus Sicherheitssicht bedeutsam sind. Diese Warnungen werden weiter analysiert, gruppiert, nach den verschiedenen Microsoft Sentinel-Engines gefiltert und in Incidents zusammengefasst, die die Aufmerksamkeit eines SOC-Analysten garantieren. Wenn dem Analyst der Incident anzeigt wird, sind jedoch nur die Eigenschaften der Komponentenwarnungen sofort erkennbar. Den eigentlichen Inhalt (die in den Ereignissen enthaltenen Informationen) anzuzeigen, ist ein bisschen komplizierter.

Mit dem Feature zu benutzerdefinierten Details im Analyseregel-Assistenten können Sie Ereignisdaten in den Warnungen anzeigen, die aus diesen Ereignissen erstellt wurden, indem die Ereignisdaten Teil der Warnungseigenschaften werden. Dadurch wird der Ereignisinhalt in Ihren Incidents sofort sichtbar, sodass Sie deutlich schneller und effizienter selektieren, untersuchen, schlussfolgern und antworten können.

Das unten beschriebene Verfahren ist Teil des Assistenten zum Erstellen von Analyseregeln. Es wird hier separat beschrieben, um das Szenario für das Hinzufügen oder Ändern von benutzerdefinierten Details in einer vorhandenen Analyseregel zu erläutern.

Anzeigen von benutzerdefinierten Ereignisdetails

  1. Wählen Sie im Navigationsmenü von Microsoft Sentinel die Optionen Analytik.

  2. Wählen Sie eine geplante Abfrageregel aus, und klicken Sie auf Bearbeiten. Oder erstellen Sie eine neue Regel, indem Sie oben auf dem Bildschirm auf Erstellen und Geplante Abfrageregel klicken.

  3. Klicken Sie auf die Registerkarte Regellogik festlegen.

  4. Erweitern Sie im Abschnitt Warnungsanreicherung den Bereich Benutzerdefinierte Details.

    Suchen und Auswählen der benutzerdefinierten Details

  5. Fügen Sie im nun aufgeklappten Bereich Custom details (Benutzerdefinierte Details) Schlüssel-Wert-Paare entsprechend der Details hinzu, die Sie anzeigen möchten:

    1. Geben Sie in das Feld Schlüssel einen beliebigen Namen ein, der in Warnungen als Feldname erscheinen wird.

    2. Wählen Sie im Feld Wert aus der Dropdownliste den Ereignisparameter aus, den Sie in den Warnungen anzeigen möchten. Diese Liste wird mit Werten befüllt, die den Feldern in den Tabellen entsprechen, für die die Abfrageregel erstellt wird.

      Hinzufügen benutzerdefinierter Details

  6. Klicken Sie auf Neu hinzufügen, um weitere Details anzuzeigen, und wiederholen Sie die letzten Schritte zum Definieren von Schlüssel-Wert-Paaren.

    Wenn Sie Ihre Meinung ändern oder einen Fehler gemacht haben, können Sie ein benutzerdefiniertes Detail entfernen, indem Sie auf das Papierkorbsymbol neben der Dropdownliste Wert für dieses Detail klicken.

  7. Wenn Sie alle benutzerdefinierten Details angegeben haben, klicken Sie auf die Registerkarte Überprüfen und erstellen. Klicken Sie nach erfolgreicher Regelüberprüfung auf Speichern.

    Hinweis

    Diensteinschränkungen

    • Sie können bis zu 20 benutzerdefinierte Details in einer Analyseregel definieren.

    • Die Größenbeschränkung für alle benutzerdefinierten Details beträgt insgesamt 2 KB.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie mithilfe von Microsoft Sentinel-Analyseregeln benutzerdefinierte Details in Warnungen anzeigen. Weitere Informationen über Microsoft Sentinel finden Sie in den folgenden Artikeln: