Freigeben über


Anzeigen benutzerdefinierter Ereignisdetails in Microsoft Sentinel-Warnungen

Analyseregeln für geplante Abfragen analysieren Ereignisse aus mit Microsoft Sentinel verbundenen Datenquellen und erzeugen Warnungen, wenn die Inhalte dieser Ereignisse aus Sicherheitssicht bedeutsam sind. Diese Warnungen werden weiter analysiert, gruppiert, nach den verschiedenen Microsoft Sentinel-Engines gefiltert und in Incidents zusammengefasst, die die Aufmerksamkeit eines SOC-Analysten garantieren. Wenn dem Analyst der Incident anzeigt wird, sind jedoch nur die Eigenschaften der Komponentenwarnungen sofort erkennbar. Den eigentlichen Inhalt (die in den Ereignissen enthaltenen Informationen) anzuzeigen, ist ein bisschen komplizierter.

Mit dem Feature zu benutzerdefinierten Details im Analyseregel-Assistenten können Sie Ereignisdaten in den Warnungen anzeigen, die aus diesen Ereignissen erstellt wurden, indem die Ereignisdaten Teil der Warnungseigenschaften werden. Dadurch wird der Ereignisinhalt in Ihren Incidents sofort sichtbar, sodass Sie deutlich schneller und effizienter selektieren, untersuchen, schlussfolgern und antworten können.

Das unten beschriebene Verfahren ist Teil des Assistenten zum Erstellen von Analyseregeln. Es wird hier separat beschrieben, um das Szenario für das Hinzufügen oder Ändern von benutzerdefinierten Details in einer vorhandenen Analyseregel zu erläutern.

Wichtig

Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Anzeigen von benutzerdefinierten Ereignisdetails

  1. Geben Sie die Analyseseite im Portal ein, über die Sie auf Microsoft Sentinel zugreifen:

    Wählen Sie im Microsoft Sentinel Navigationsmenü im Abschnitt Konfiguration die Option Analytics aus.

  2. Wählen Sie eine geplante Abfrageregel aus, und klicken Sie auf Bearbeiten. Oder erstellen Sie eine neue Regel, indem Sie oben auf dem Bildschirm auf Erstellen und Geplante Abfrageregel klicken.

  3. Klicken Sie auf die Registerkarte Regellogik festlegen.

  4. Erweitern Sie im Abschnitt Warnungsanreicherung den Bereich Benutzerdefinierte Details.

    Suchen und Auswählen der benutzerdefinierten Details

  5. Fügen Sie im nun aufgeklappten Bereich Custom details (Benutzerdefinierte Details) Schlüssel-Wert-Paare entsprechend der Details hinzu, die Sie anzeigen möchten:

    1. Geben Sie in das Feld Schlüssel einen beliebigen Namen ein, der in Warnungen als Feldname erscheinen wird.

    2. Wählen Sie im Feld Wert aus der Dropdownliste den Ereignisparameter aus, den Sie in den Warnungen anzeigen möchten. Diese Liste wird mit Werten befüllt, die den Feldern in den Tabellen entsprechen, für die die Abfrageregel erstellt wird.

      Hinzufügen benutzerdefinierter Details

  6. Klicken Sie auf Neu hinzufügen, um weitere Details anzuzeigen, und wiederholen Sie die letzten Schritte zum Definieren von Schlüssel-Wert-Paaren.

    Wenn Sie Ihre Meinung ändern oder einen Fehler gemacht haben, können Sie ein benutzerdefiniertes Detail entfernen, indem Sie auf das Papierkorbsymbol neben der Dropdownliste Wert für dieses Detail klicken.

  7. Wenn Sie alle benutzerdefinierten Details angegeben haben, klicken Sie auf die Registerkarte Überprüfen und erstellen. Klicken Sie nach erfolgreicher Regelüberprüfung auf Speichern.

    Hinweis

    Diensteinschränkungen

    • Sie können bis zu 20 benutzerdefinierte Details in einer Analyseregel definieren. Jedes benutzerdefinierte Detail kann bis zu 50 Werte enthalten.

    • Die kombinierte Größenbeschränkung für alle benutzerdefinierten Details und deren Werte in einer einzigen Warnung beträgt 2 KB. Werte, die diesen Grenzwert überschreiten, werden verworfen.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie mithilfe von Microsoft Sentinel-Analyseregeln benutzerdefinierte Details in Warnungen anzeigen. Weitere Informationen über Microsoft Sentinel finden Sie in den folgenden Artikeln: