Freigeben über

Bedrohungserkennung in Microsoft Sentinel

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Nachdem Sie Microsoft Sentinel eingerichtet haben, um Daten aus der gesamten Organisation zu sammeln, müssen Sie ständig alle diese Daten durchsuchen, um Sicherheitsbedrohungen für Ihre Umgebung zu erkennen. Für diese Aufgabe stellt Microsoft Sentinel Regeln zur Bedrohungserkennung bereit, die regelmäßig ausgeführt werden und die die erfassten Daten abfragen und analysieren, um Bedrohungen zu erkennen. Diese Regeln kommen in einigen verschiedenen Varianten und werden gemeinsam als Analyseregeln bezeichnet.

Diese Regeln generieren Warnungen , wenn sie feststellen, wonach sie suchen. Warnungen enthalten Informationen zu den erkannten Ereignissen, z. B. entitäten (Benutzer, Geräte, Adressen und andere Elemente). Warnungen werden aggregiert und mit Vorfällen – Falldateien – korreliert, die Sie zuweisen und untersuchen können, um das vollständige Ausmaß der erkannten Bedrohung zu erlernen und entsprechend zu reagieren. Sie können auch vordefinierte, automatisierte Antworten in die eigene Konfiguration der Regeln integrieren.

Sie können diese Regeln ganz neu erstellen, indem Sie den integrierten Analyseregel-Assistenten verwenden. Microsoft empfiehlt Ihnen jedoch dringend, das umfangreiche Array von Analyseregelvorlagen zu nutzen, die Ihnen über die vielen Lösungen für Microsoft Sentinel im Inhaltshub zur Verfügung stehen. Diese Vorlagen sind vorkonfigurierte Prototypen und wurden von den Teams aus Sicherheitsexperten und -analysten auf der Grundlage ihrer Kenntnisse über bekannten Bedrohungen, häufig verwendete Angriffsvektoren und Eskalationsketten verdächtiger Aktivitäten entworfen. Sie aktivieren Regeln aus diesen Vorlagen, um die gesamte Umgebung automatisch nach allen Aktivitäten zu durchsuchen, die verdächtig erscheinen. Viele Vorlagen können so angepasst werden, dass gemäß Ihren Anforderungen nach bestimmten Arten von Ereignissen gesucht oder gefiltert werden kann.

In diesem Artikel erfahren Sie, wie Microsoft Sentinel Bedrohungen erkennt und was als Nächstes geschieht.

Wichtig

Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Typen von Analyseregeln

Sie können die Analyseregeln und Vorlagen anzeigen, die ihnen auf der Seite " Analyse " im Menü "Konfiguration " in Microsoft Sentinel zur Verfügung stehen. Die derzeit aktiven Regeln sind auf einer Registerkarte und Vorlagen zum Erstellen neuer Regeln auf einer anderen Registerkarte sichtbar. Auf einer dritten Registerkarte werden Anomalien angezeigt, ein spezieller Regeltyp, der weiter unten in diesem Artikel beschrieben wird.

Um mehr Regelvorlagen zu finden, als derzeit angezeigt werden, wechseln Sie zum Inhaltshub in Microsoft Sentinel, um die zugehörigen Produktlösungen oder eigenständigen Inhalte zu installieren. Analyseregelvorlagen sind mit fast jeder Produktlösung im Inhaltshub verfügbar.

Die folgenden Arten von Analyseregeln und Regelvorlagen sind in Microsoft Sentinel verfügbar:

Neben den oben genannten Regeltypen gibt es weitere spezielle Vorlagentypen, die jeweils eine Instanz einer Regel mit eingeschränkten Konfigurationsoptionen erstellen können:

Geplante Regeln

Bei weitem die am häufigsten verwendete Art von Analyseregeln sind geplante Regeln, die auf Kusto-Abfragen beruhen, die für regelmäßige Intervalle konfiguriert sind und Rohdaten aus einem definierten "Lookback"-Zeitraum untersuchen. Wenn die Anzahl der von der Abfrage erfassten Ergebnisse den in der Regel konfigurierten Schwellenwert überschreitet, erzeugt die Regel eine Warnung.

Die Abfragen in geplanten Regelvorlagen wurden von Sicherheits- und Data Science-Experten entweder von Microsoft oder vom Anbieter der Lösung geschrieben, die die Vorlage bereitstellt. Abfragen können komplexe statistische Vorgänge für ihre Zieldaten ausführen und dabei Baselines und Ausreißer in Ereignisgruppen anzeigen.

Die Abfragelogik wird in der Regelkonfiguration angezeigt. Sie können die Abfragelogik und die Planungs- und Rückblickseinstellungen wie in der Vorlage definiert verwenden oder anpassen, um neue Regeln zu erstellen. Alternativ können Sie ganz neue Regeln ganz neu erstellen.

Erfahren Sie mehr über geplante Analyseregeln in Microsoft Sentinel.

Fast-Echtzeit (NRT) Regeln

NRT-Regeln sind eine begrenzte Teilmenge geplanter Regeln. Sie sollen einmal pro Minute ausgeführt werden, um Ihnen so schnell wie möglich aktuelle Informationen zur Verfügung zu stellen.

Sie funktionieren größtenteils wie geplante Regeln und werden mit einigen Einschränkungen auf ähnliche Weise konfiguriert.

Erfahren Sie mehr über die schnelle Bedrohungserkennung mit Fast-Echtzeit-Analyseregeln (NRT) in Microsoft Sentinel.

Anomalie-Regeln

Anomalieregeln verwenden maschinelles Lernen, um bestimmte Arten von Verhaltensweisen über einen bestimmten Zeitraum zu beobachten, um eine Baseline zu bestimmen. Jede Regel hat ihre eigenen Parameter und Schwellenwerte, die auf das zu analysierende Verhalten abgestimmt sind. Nach Abschluss des Beobachtungszeitraums wird die Baseline festgelegt. Wenn die Regel Verhaltensweisen beobachtet, die die in der Baseline festgelegten Grenzen überschreiten, werden diese Vorkommen als Anomalien gekennzeichnet.

Die Konfigurationen von vorkonfigurierten Regeln können zwar nicht geändert oder fein abgestimmt werden, doch Sie können eine Regel duplizieren und das Duplikat dann ändern und fein abstimmen. Führen Sie in solchen Fällen das Duplikat im Flighting-Modus und das Original gleichzeitig im Produktionsmodus aus. Vergleichen Sie dann die Ergebnisse, und wechseln Sie das Duplikat auf Produktion, sobald die Feinabstimmung Ihren Wünschen entspricht.

Anomalien deuten nicht unbedingt auf böswilliges oder gar verdächtiges Verhalten hin. Daher generieren Anomalieregeln keine eigenen Warnungen. Stattdessen erfassen sie die Ergebnisse ihrer Analyse – die erkannten Anomalien – in der Tabelle "Anomalien ". Sie können diese Tabelle abfragen, um Kontext bereitzustellen, der Ihre Erkennungen, Untersuchungen und Bedrohungssuche verbessert.

Weitere Informationen finden Sie unter Verwendung anpassbarer Anomalien zum Erkennen von Bedrohungen in Microsoft Sentinel und Arbeiten mit Anomalieerkennungsregeln in Microsoft Sentinel.

Microsoft-Sicherheitsregeln

Während geplante und NRT-Regeln automatisch Incidents für die von ihnen generierten Warnungen erstellen, erzeugen in externen Diensten generierte und in Microsoft Sentinel erfasste Warnungen keine eigenen Incidents. Mit Microsoft-Sicherheitsregeln werden aus den Warnungen, die in anderen Microsoft-Sicherheitslösungen generiert werden, in Echtzeit Microsoft Sentinel-Incidents erstellt. Sie können Microsoft-Sicherheitsvorlagen verwenden, um neue Regeln mit ähnlicher Logik zu erstellen.

Wichtig

Microsoft-Sicherheitsregeln sind nicht verfügbar , wenn Sie folgendes haben:

In diesen Szenarien erstellt Microsoft Defender XDR stattdessen die Incidents.

Alle zuvor definierten Regeln werden automatisch deaktiviert.

Weitere Informationen zur Erstellung von Microsoft-Sicherheitsvorfällen finden Sie unter "Automatisches Erstellen von Vorfällen aus Microsoft-Sicherheitswarnungen".

Threat Intelligence

Nutzen Sie die von Microsoft erzeugte Bedrohungserkennung, um Warnungen und Vorfälle mit hoher Genauigkeit mit der Microsoft Threat Intelligence Analytics-Regel zu generieren. Diese eindeutige Regel ist nicht anpassbar, gleicht aber beim Aktivieren automatisch CEF (Common Event Format)-Protokolle, Syslog-Daten oder Windows-DNS-Ereignisse mit Domänen-, IP- und URL-Bedrohungsindikatoren von Microsoft Threat Intelligence ab. Bestimmte Indikatoren enthalten weitere Kontextinformationen über MDTI (Microsoft Defender Threat Intelligence).

Weitere Informationen zum Aktivieren dieser Regel finden Sie unter Verwenden von übereinstimmenden Analysen zum Erkennen von Bedrohungen.
Weitere Informationen zu MDTI finden Sie unter "Was ist Microsoft Defender Threat Intelligence".

Erweiterte Erkennung von mehrstufigen Angriffen (Fusion)

Microsoft Sentinel verwendet das Fusion-Korrelationsmodul mit seinen skalierbaren Machine Learning-Algorithmen, um erweiterte Multistage-Angriffe zu erkennen, indem viele Warnungen mit niedriger Genauigkeit und Ereignissen in mehreren Produkten in High-Fidelity- und Umsetzbaren Vorfällen korreliert werden. Die Erweiterte Mehretappenangriffserkennungsregel ist standardmäßig aktiviert. Da die Logik ausgeblendet und daher nicht anpassbar ist, kann es nur eine Regel mit dieser Vorlage geben.

Die Fusion-Engine kann auch Warnungen korrelieren, die durch geplante Analyseregeln erzeugt werden, mit Warnungen von anderen Systemen, was zu High-Fidelity-Vorfällen führt.

Wichtig

Der Regeltyp " Erweiterte Multistage-Angriffserkennung" ist nicht verfügbar , wenn Sie folgendes haben:

In diesen Szenarien erstellt Microsoft Defender XDR stattdessen die Incidents.

Einige der Fusion-Erkennungsvorlagen befinden sich derzeit in der VORSCHAU (unter Erweiterte Erkennung mehrstufiger Angriffe in Microsoft Sentinel sehen Sie, welche das sind). Weitere rechtliche Bestimmungen, die für Azure Previews gelten, finden Sie in den ergänzenden Nutzungsbedingungen für Azure Previews , die für Azure-Features gelten, die sich in der Betaversion, der Vorschau oder auf andere Weise noch nicht in der allgemeinen Verfügbarkeit befinden.

Machine Learning (ML) Behavior Analytics

Nutzen Sie die proprietären Maschinellen Lernalgorithmen von Microsoft, um hochwertige Warnungen und Vorfälle mit den Regeln von ML Behavior Analytics zu generieren. Diese eindeutigen Regeln (derzeit in der Vorschau) können nicht angepasst werden, aber wenn diese aktiviert sind, erkennen Sie bestimmte anomale SSH- und RDP-Anmeldeverhalten basierend auf IP- und Geolocation- und Benutzerverlaufsinformationen.

Zugriffsberechtigungen für Analyseregeln

Wenn Sie eine Analyseregel erstellen, wird ein Zugriffsberechtigungstoken auf die Regel angewendet und zusammen mit ihr gespeichert. Dieses Token stellt sicher, dass die Regel auf den Arbeitsbereich zugreifen kann, der die von der Regel abgefragten Daten enthält, und dass dieser Zugriff auch dann beibehalten wird, wenn die Erstellenden der Regel den Zugriff auf diesen Arbeitsbereich verlieren.

Es gibt jedoch eine Ausnahme: Wenn eine Regel für den Zugriff auf Arbeitsbereiche in anderen Abonnements oder Mandanten erstellt wird (z. B. im Fall eines MSSP), ergreift Microsoft Sentinel zusätzliche Sicherheitsmaßnahmen, um nicht autorisierten Zugriff auf Kundendaten zu verhindern. Bei diesen Arten von Regeln werden die Anmeldeinformationen des Benutzenden, der die Regel erstellt hat, auf die Regel anstelle eines unabhängigen Zugriffstokens angewendet, sodass die Regel nicht mehr funktioniert, wenn der Benutzende keinen Zugriff mehr auf das andere Abonnement oder den anderen Mandanten hat.

Wenn Sie Microsoft Sentinel in einem abonnement- oder mandantenübergreifenden Szenario betreiben, funktionieren alle von diesem Benutzer erstellten Regeln nicht mehr, wenn einer Ihrer Analysten oder Techniker den Zugriff auf einen bestimmten Arbeitsbereich verliert. Sie erhalten in dieser Situation Systemüberwachungsnachricht mit dem Betreff „unzureichender Zugriff auf Ressource“, und die Regel wird automatisch deaktiviert, nachdem eine bestimmte Anzahl von Fehlern aufgetreten ist.

Exportieren von Regeln in eine ARM-Vorlage

Sie können Ihre Regel ganz einfach in eine Azure Resource Manager (ARM)-Vorlage exportieren , wenn Sie Ihre Regeln als Code verwalten und bereitstellen möchten. Sie können auch Regeln aus Vorlagendateien importieren und dann auf der Benutzeroberfläche anzeigen und bearbeiten.

Nächste Schritte