Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Benutzerdefinierte Erkennungen sind jetzt die beste Möglichkeit, neue Regeln in Microsoft Sentinel SIEM-Microsoft Defender XDR zu erstellen. Mit benutzerdefinierten Erkennungen können Sie Erfassungskosten reduzieren, unbegrenzte Echtzeiterkennungen erhalten und von der nahtlosen Integration in Defender XDR Daten, Funktionen und Wartungsaktionen mit automatischer Entitätszuordnung profitieren. Weitere Informationen finden Sie in diesem Blog.
Nachdem Sie Microsoft Sentinel eingerichtet haben, um Daten aus dem gesamten organization zu sammeln, müssen Sie diese Daten ständig durchsuchen, um Sicherheitsbedrohungen für Ihre Umgebung zu erkennen. Um diese Aufgabe auszuführen, stellt Microsoft Sentinel Regeln zur Bedrohungserkennung bereit, die regelmäßig ausgeführt werden, abfragen die gesammelten Daten und analysieren sie, um Bedrohungen zu erkennen. Diese Regeln sind in verschiedenen Varianten verfügbar und werden zusammen als Analyseregeln bezeichnet.
Diese Regeln generieren Warnungen , wenn sie das finden, wonach sie suchen. Warnungen enthalten Informationen zu den erkannten Ereignissen, z. B. zu den beteiligten Entitäten (Benutzer, Geräte, Adressen und andere Elemente). Warnungen werden aggregiert und mit Incidents (Falldateien) korreliert, die Sie zuweisen und untersuchen können, um das gesamte Ausmaß der erkannten Bedrohung zu ermitteln und entsprechend zu reagieren. Sie können auch vordefinierte, automatisierte Antworten in die eigene Konfiguration der Regeln integrieren.
Sie können diese Regeln mit dem integrierten Analyseregel-Assistenten von Grund auf neu erstellen. Microsoft empfiehlt Ihnen jedoch dringend, die vielzahl von Analyseregelvorlagen zu nutzen, die Ihnen über die vielen Lösungen für Microsoft Sentinel zur Verfügung stehen, die im Inhaltshub bereitgestellt werden. Bei diesen Vorlagen handelt es sich um vorgefertigte Regelprototypen, die von Teams von Sicherheitsexperten und Analysten basierend auf ihrem Wissen über bekannte Bedrohungen, häufige Angriffsvektoren und Eskalationsketten verdächtiger Aktivitäten entworfen wurden. Sie aktivieren Regeln aus diesen Vorlagen, um automatisch in Ihrer Umgebung nach Aktivitäten zu suchen, die verdächtig erscheinen. Viele der Vorlagen können angepasst werden, um nach bestimmten Ereignistypen zu suchen oder sie entsprechend Ihren Anforderungen herauszufiltern.
Dieser Artikel hilft Ihnen zu verstehen, wie Microsoft Sentinel Bedrohungen erkennt und was als Nächstes geschieht.
Wichtig
Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.
Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.
Typen von Analyseregeln
Sie können die Analyseregeln und Vorlagen anzeigen, die Sie verwenden können, auf der Seite Analyse des Menüs Konfiguration in Microsoft Sentinel. Die derzeit aktiven Regeln werden auf einer Registerkarte und Vorlagen zum Erstellen neuer Regeln auf einer anderen Registerkarte angezeigt. Auf einer dritten Registerkarte werden Anomalien angezeigt, ein spezieller Regeltyp, der weiter unten in diesem Artikel beschrieben wird.
Um mehr Regelvorlagen zu finden, als derzeit angezeigt werden, wechseln Sie zum Inhaltshub in Microsoft Sentinel, um die zugehörigen Produktlösungen oder eigenständigen Inhalte zu installieren. Analyseregelvorlagen sind für nahezu jede Produktlösung im Inhaltshub verfügbar.
Die folgenden Arten von Analyseregeln und Regelvorlagen sind in Microsoft Sentinel verfügbar:
Neben den oben genannten Regeltypen gibt es einige weitere spezialisierte Vorlagentypen, die jeweils eine instance einer Regel mit eingeschränkten Konfigurationsoptionen erstellen können:
- Threat Intelligence
- Erweiterte mehrstufige Angriffserkennung ("Fusion")
- Machine Learning-Verhaltensanalysen (ML)
Geplante Regeln
Geplante Regeln basieren auf Kusto-Abfragen, die so konfiguriert sind, dass sie in regelmäßigen Abständen ausgeführt werden und Rohdaten aus einem definierten "Lookback"-Zeitraum untersuchen. Wenn die Anzahl der von der Abfrage erfassten Ergebnisse den in der Regel konfigurierten Schwellenwert überschreitet, erzeugt die Regel eine Warnung.
Die Abfragen in geplanten Regelvorlagen wurden von Sicherheits- und Data Science-Experten geschrieben, entweder von Microsoft oder vom Anbieter der Lösung, die die Vorlage bereitstellt. Abfragen können komplexe statistische Vorgänge für ihre Zieldaten ausführen, wodurch Baselines und Ausreißer in Ereignisgruppen offengelegt werden.
Die Abfragelogik wird in der Regelkonfiguration angezeigt. Sie können die Abfragelogik und die In der Vorlage definierten Planungs- und Lookbackeinstellungen verwenden oder anpassen, um neue Regeln zu erstellen. Alternativ können Sie völlig neue Regeln von Grund auf neu erstellen.
Erfahren Sie mehr über Geplante Analyseregeln in Microsoft Sentinel.
Regeln nahezu in Echtzeit (NRT)
NRT-Regeln sind eine begrenzte Teilmenge geplanter Regeln. Sie sind so konzipiert, dass sie einmal pro Minute ausgeführt werden, um Sie so minütlich wie möglich mit Informationen zu versorgen.
Sie funktionieren größtenteils wie geplante Regeln und sind mit einigen Einschränkungen ähnlich konfiguriert.
Erfahren Sie mehr über die schnelle Bedrohungserkennung mit Analyseregeln nahezu in Echtzeit (NRT) in Microsoft Sentinel.
Anomalieregeln
Anomalieregeln verwenden maschinelles Lernen, um bestimmte Verhaltenstypen über einen bestimmten Zeitraum hinweg zu beobachten, um eine Baseline zu bestimmen. Jede Regel verfügt über eigene eindeutige Parameter und Schwellenwerte, die für das zu analysierende Verhalten geeignet sind. Nach Abschluss des Beobachtungszeitraums wird die Baseline festgelegt. Wenn die Regel Verhaltensweisen beobachtet, die die in der Baseline festgelegten Grenzen überschreiten, kennzeichnet sie diese Vorkommen als anormal.
Während die Konfigurationen von vordefinierten Regeln nicht geändert oder optimiert werden können, können Sie eine Regel duplizieren und dann das Duplikat ändern und optimieren. Führen Sie in solchen Fällen das Duplikat im Flighting-Modus und das originale gleichzeitig im Produktionsmodus aus. Vergleichen Sie dann die Ergebnisse, und schalten Sie das Duplikat in Produktion um, wenn die Optimierung nach Ihren Wünschen erfolgt.
Anomalien weisen nicht notwendigerweise auf schädliches oder sogar verdächtiges Verhalten hin. Daher generieren Anomalieregeln keine eigenen Warnungen. Stattdessen zeichnen sie die Ergebnisse ihrer Analyse – die erkannten Anomalien – in der Tabelle Anomalien auf. Sie können diese Tabelle abfragen, um Kontext bereitzustellen, der Ihre Erkennungen, Untersuchungen und Bedrohungssuche verbessert.
Weitere Informationen finden Sie unter Verwenden anpassbarer Anomalien zum Erkennen von Bedrohungen in Microsoft Sentinel und Arbeiten mit Analyseregeln für die Anomalieerkennung in Microsoft Sentinel.
Microsoft-Sicherheitsregeln
Während geplante und NRT-Regeln automatisch Incidents für die von ihnen generierten Warnungen erstellen, erstellen Warnungen, die in externen Diensten generiert und in Microsoft Sentinel erfasst werden, keine eigenen Incidents. Microsoft-Sicherheitsregeln erstellen automatisch in Echtzeit Microsoft Sentinel Incidents aus den Warnungen, die in anderen Microsoft-Sicherheitslösungen generiert werden. Sie können Microsoft-Sicherheitsvorlagen verwenden, um neue Regeln mit ähnlicher Logik zu erstellen.
Wichtig
Microsoft-Sicherheitsregeln sind nicht verfügbar , wenn Sie über Folgendes verfügen:
- Aktivierte integration von Microsoft Defender XDR Incidents oder
- Integrierte Microsoft Sentinel im Defender-Portal.
In diesen Szenarien erstellt Microsoft Defender XDR stattdessen die Incidents.
Solche Regeln, die Sie zuvor definiert haben, werden automatisch deaktiviert.
Weitere Informationen zu Microsoft-Regeln zur Erstellung von Sicherheitsvorfällen finden Sie unter Automatisches Erstellen von Incidents aus Microsoft-Sicherheitswarnungen.
Threat Intelligence
Nutzen Sie die von Microsoft erstellten Threat Intelligence- und -Bedrohungsinformationen, um Warnungen und Vorfälle mit hoher Genauigkeit mit der Microsoft Threat Intelligence Analytics-Regel zu generieren. Diese eindeutige Regel kann nicht angepasst werden, aber wenn sie aktiviert ist, entspricht sie automatisch CEF-Protokollen (Common Event Format), Syslog-Daten oder Windows DNS-Ereignisse mit Domänen-, IP- und URL-Bedrohungsindikatoren von Microsoft Threat Intelligence. Bestimmte Indikatoren enthalten mehr Kontextinformationen über MDTI (Microsoft Defender Threat Intelligence).
Weitere Informationen zum Aktivieren dieser Regel finden Sie unter Verwenden von Abgleichsanalysen zum Erkennen von Bedrohungen.
Weitere Informationen zu MDTI finden Sie unter Was ist Microsoft Defender Threat Intelligence?
Erweiterte mehrstufige Angriffserkennung (Fusion)
Microsoft Sentinel verwendet die Fusion-Korrelations-Engine mit ihren skalierbaren Algorithmen für maschinelles Lernen, um erweiterte mehrstufige Angriffe zu erkennen, indem viele Warnungen und Ereignisse mit niedriger Genauigkeit über mehrere Produkte hinweg in hochgenaue und umsetzbare Vorfälle korreliert werden. Die Erweiterte Regel zur erkennung von mehrstufigen Angriffen ist standardmäßig aktiviert. Da die Logik ausgeblendet und daher nicht angepasst werden kann, kann es nur eine Regel mit dieser Vorlage geben.
Die Fusion-Engine kann auch Warnungen, die von geplanten Analyseregeln generiert werden, mit Warnungen aus anderen Systemen korrelieren, was zu Vorfällen mit hoher Genauigkeit führt.
Wichtig
Der Regeltyp Erweiterte mehrstufige Angriffserkennung ist nicht verfügbar , wenn Sie über Folgendes verfügen:
- Aktivierte integration von Microsoft Defender XDR Incidents oder
- Integrierte Microsoft Sentinel im Defender-Portal.
In diesen Szenarien erstellt Microsoft Defender XDR stattdessen die Incidents.
Darüber hinaus befinden sich einige der Fusion-Erkennungsvorlagen derzeit in der VORSCHAU (siehe Erweiterte erkennung von mehrstufigen Angriffen in Microsoft Sentinel, um zu sehen, welche Vorlagen vorhanden sind). Weitere rechtliche Bestimmungen, die für Azure Features gelten, die sich in beta, in der Vorschauversion oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden, finden Sie in den ergänzenden Nutzungsbedingungen für Microsoft Azure Previews.
Machine Learning-Verhaltensanalysen (ML)
Nutzen Sie die proprietären Machine Learning-Algorithmen von Microsoft, um Warnungen und Incidents mit hoher Genauigkeit mit den Ml Behavior Analytics-Regeln zu generieren. Diese eindeutigen Regeln (derzeit in der Vorschau) können nicht angepasst werden, aber wenn sie aktiviert sind, erkennen sie bestimmte anormale SSH- und RDP-Anmeldeverhalten basierend auf IP- und Geolocation- und Benutzerverlaufsinformationen.
Zugriffsberechtigungen für Analyseregeln
Wenn Sie eine Analyseregel erstellen, wird ein Zugriffsberechtigungstoken auf die Regel angewendet und zusammen mit ihr gespeichert. Dieses Token stellt sicher, dass die Regel auf den Arbeitsbereich zugreifen kann, der die von der Regel abgefragten Daten enthält, und dass dieser Zugriff auch dann beibehalten wird, wenn der Ersteller der Regel den Zugriff auf diesen Arbeitsbereich verliert.
Es gibt jedoch eine Ausnahme für diesen Zugriff: Wenn eine Regel für den Zugriff auf Arbeitsbereiche in anderen Abonnements oder Mandanten erstellt wird, z. B. was bei einem MSSP geschieht, ergreift Microsoft Sentinel zusätzliche Sicherheitsmaßnahmen, um nicht autorisierten Zugriff auf Kundendaten zu verhindern. Bei diesen Arten von Regeln werden die Anmeldeinformationen des Benutzers, der die Regel erstellt hat, auf die Regel anstelle eines unabhängigen Zugriffstokens angewendet, sodass die Regel nicht mehr funktioniert, wenn der Benutzer keinen Zugriff mehr auf das andere Abonnement oder den anderen Mandanten hat.
Wenn Sie Microsoft Sentinel in einem abonnement- oder mandantenübergreifenden Szenario betreiben und einer Ihrer Analysten oder Techniker den Zugriff auf einen bestimmten Arbeitsbereich verliert, funktionieren alle von diesem Benutzer erstellten Regeln nicht mehr. In diesem Fall erhalten Sie eine Integritätsüberwachungsmeldung bezüglich "unzureichender Zugriff auf Ressource", und die Regel wird automatisch deaktiviert , nachdem sie eine bestimmte Anzahl von Fällen fehlgeschlagen ist.
Exportieren von Regeln in eine ARM-Vorlage
Sie können Ihre Regel problemlos in eine arm-Vorlage (Azure Resource Manager) exportieren, wenn Sie Ihre Regeln als Code verwalten und bereitstellen möchten. Sie können auch Regeln aus Vorlagendateien importieren, um sie auf der Benutzeroberfläche anzuzeigen und zu bearbeiten.
Nächste Schritte
Erfahren Sie mehr über geplante Analyseregeln in Microsoft Sentinel und Schnelle Bedrohungserkennung mit Analyseregeln nahezu in Echtzeit (NRT) in Microsoft Sentinel.
Weitere Regelvorlagen finden Sie unter Ermitteln und Verwalten von Microsoft Sentinel sofort einsatzbereiten Inhalten.