Problembehandlung von Analyseregeln in Microsoft Sentinel

  • Artikel

Dieser Artikel erläutert, wie Sie mit bestimmten Probleme umgehen, die bei der Ausführung geplanter Analyseregeln in Microsoft Sentinel auftreten können.

Problem: Keine Ereignisse in den Abfrageergebnissen

Wenn die Ereignisgruppe so festgelegt ist, dass eine Warnung für jedes Ereignis ausgelöst wird, können die zu einem späteren Zeitpunkt angezeigten Abfrageergebnisse fehlen oder sich von den erwarteten unterscheiden. Sie können z. B. die Ergebnisse einer Abfrage zu einem späteren Zeitpunkt anzeigen, wenn Sie einen verwandten Vorfall untersuchen, und als Teil dieser Untersuchung entscheiden Sie sich, zu den früheren Ergebnissen dieser Abfrage zurückzukehren.

Ergebnisse werden automatisch mit den Warnungen gespeichert. Wenn die Ergebnisse jedoch zu groß sind, werden keine Ergebnisse gespeichert, und beim erneuten Anzeigen der Abfrageergebnisse werden keine Daten angezeigt.

In Fällen, in denen eine Erfassungsverzögerung besteht oder die Abfrage aufgrund der Aggregation nicht deterministisch ist, könnte sich das Ergebnis der Warnung von dem Ergebnis unterscheiden, das beim manuellen Ausführen der Abfrage angezeigt würde.

Wenn eine Regel diese Einstellung zur Ereignisgruppierung aufweist, fügt Microsoft Sentinel das Feld OriginalQuery zu den Ergebnissen der Abfrage hinzu, um dieses Problem zu beheben. Hier sehen Sie eine Gegenüberstellung des vorhandenen Felds Abfrage und des neuen Felds:

Feldname Enthält Abfrage wird in diesem Feld ausgeführt
Ergebnis
Abfrage Der komprimierte Datensatz des Ereignisses, das diese Instanz der Warnung generiert hat. Das Ereignis, das diese Instanz der Warnung generiert hat;
auf 10 KB begrenzt.
OriginalQuery Die ursprüngliche Abfrage, wie in der Analyseregel geschrieben. Das letzte Ereignis in dem Zeitrahmen, in dem die Abfrage ausgeführt wird, das den von der Abfrage definierten Parametern entspricht.

Anders ausgedrückt verhält sich das Feld OriginalQuery wie das Feld Abfrage unter der Standardeinstellung für die Ereignisgruppierung.

Problem: Fehler bei der Ausführung einer geplanten Regel oder beim Hinzufügen von „AUTO DISABLED“ zum Namen

Ein Fehler bei der Ausführung einer geplanten Abfrage ist zwar selten, aber nicht ausgeschlossen. Microsoft Sentinel klassifiziert Fehler auf der Grundlage des spezifischen Fehlertyps und der Umstände, die dazu geführt haben, als vorübergehende oder dauerhafte Fehler.

Vorübergehender Fehler

Ein vorübergehender Fehler tritt aufgrund eines Umstands auf, der vorübergehend ist und sich bald wieder normalisiert, so dass die Regelausführung erfolgreich ist. Dies sind einige Beispiele für Fehler, die von Microsoft Sentinel als vorübergehend klassifiziert werden:

  • Die Ausführung einer Regelabfrage dauert zu lang und führt zu einem Timeout.
  • Es bestehen Konnektivitätsprobleme zwischen Datenquellen und Log Analytics bzw. zwischen Log Analytics und Microsoft Sentinel.
  • Alle anderen neuen und unbekannten Fehler werden als vorübergehende Fehler eingestuft.

Wenn ein vorübergehender Fehler auftritt, versucht Microsoft Sentinel weiterhin, die Regel gemäß den vordefinierten und immer kürzeren Intervallen bis zu einem bestimmten Punkt noch mal auszuführen. Danach wird die Regel nur zum nächsten geplanten Zeitpunkt wieder ausgeführt. Eine Regel wird aufgrund eines vorübergehenden Fehlers nie automatisch deaktiviert.

Dauerhafter Fehler – Regel automatisch deaktiviert

Ein dauerhafter Fehler tritt aufgrund einer Änderung der Bedingungen auf, welche die Ausführung der Regel ermöglichen und die ohne menschliches Eingreifen nicht mehr in den vorherigen Zustand zurückkehren können. Im Folgenden finden Sie einige Beispiele für Fehler, die als permanente Fehler klassifiziert werden:

  • Der Zielarbeitsbereich (auf dem die Regelabfrage ausgeführt wurde) wurde gelöscht.
  • Die Zieltabelle (auf der die Regelabfrage ausgeführt wurde) wurde gelöscht.
  • Microsoft Sentinel wurde aus dem Zielarbeitsbereich entfernt.
  • Eine von der Regelabfrage verwendete Funktion ist nicht mehr gültig. Sie wurde entweder geändert oder entfernt.
  • Berechtigungen für eine der Datenquellen der Regelabfrage wurden geändert. (siehe Beispiel).
  • Eine der Datenquellen der Regelabfrage wurde gelöscht.

Im Fall einer vordefinierten Anzahl aufeinanderfolgender dauerhafter Fehler mit demselben Typ und derselben Regel versucht Microsoft Sentinel nicht mehr, die Regel auszuführen und führt stattdessen die folgenden Schritte aus:

  1. Die Regel wird deaktiviert.
  2. Die Wörter AUTO DISABLED werden am Anfang des Regelnamens hinzugefügt.
  3. Der Grund für den Fehler (und die Deaktivierung) wird der Regelbeschreibung hinzugefügt.

Sie können das Vorhandensein von automatisch deaktivierten Regeln leicht erkennen, indem Sie die Regelliste nach Namen sortieren. Die automatisch deaktivierten Regeln befinden sich ganz oben oder nahe am Anfang der Liste.

SOC-Manager sollten sicherstellen, dass die Regelliste regelmäßig auf das Vorhandensein automatisch deaktivierter Regeln überprüft wird.

Dauerhafter Fehler aufgrund von hoher Ressourcenauslastung

Eine andere Art von dauerhaftem Fehler tritt aufgrund einer nicht ordnungsgemäß erstellten Abfrage auf, die dazu führt, dass die Regel übermäßig viele Computerressourcen verbraucht und die Gefahr besteht, dass die Leistung Ihrer Systeme beeinträchtigt wird. Wenn Microsoft Sentinel eine solche Regel identifiziert, werden die gleichen drei Schritte ausgeführt wie bei den anderen Typen dauerhafter Fehler – deaktivieren der Regel, voranstellen von „AUTO DISABLED“ beim Regelnamen und Hinzufügen der Fehlerursache zur Beschreibung.

Um die Regel erneut zu aktivieren, müssen Sie die Probleme in der Abfrage beheben, die dazu führen, dass zu viele Ressourcen verwendet werden. In den folgenden Artikeln finden Sie bewährte Methoden zum Optimieren Ihrer Kusto-Abfragen:

Weitere hilfreiche Informationen finden Sie außerdem unter Nützliche Ressourcen für die Arbeit mit der Kusto-Abfragesprache in Microsoft Sentinel.

Dauerhafter Fehler aufgrund des verlorenen Zugriffs über Abonnements/Mandanten hinweg

Ein besonderes Beispiel dafür, wann ein dauerhafter Fehler aufgrund einer Änderung der Berechtigungen für eine Datenquelle auftreten könnte (siehe die Liste), betrifft den Fall eines Microsoft Security-Dienstanbieters (Microsoft Security Solution Provider, MSSP) – oder jedes andere Szenario, bei dem Analyseregeln über Abonnements oder Mandanten hinweg abgefragt werden.

Wenn Sie eine Analyseregel erstellen, wird ein Zugriffsberechtigungstoken auf die Regel angewendet und zusammen mit ihr gespeichert. Dieses Token stellt sicher, dass die Regel auf den Arbeitsbereich zugreifen kann, der die von der Abfrage der Regel referenzierten Tabellen enthält, und dass dieser Zugriff auch dann beibehalten wird, wenn der Ersteller der Regel den Zugriff auf diesen Arbeitsbereich verliert.

Es gibt jedoch eine Ausnahme: Wenn eine Regel für den Zugriff auf Arbeitsbereiche in anderen Abonnements oder Mandanten erstellt wird, z. B. was im Fall eines MSSP geschieht, ergreift Microsoft Sentinel zusätzliche Sicherheitsmaßnahmen, um nicht autorisierten Zugriff auf Kundendaten zu verhindern. Diese Arten von Regeln verfügen über die Anmeldeinformationen des Benutzers, der die angewendete Regel erstellt hat, anstelle eines unabhängigen Zugriffstokens. Wenn der Benutzer keinen Zugriff mehr auf den anderen Mandanten hat, funktioniert die Regel nicht mehr.

Wenn Sie Microsoft Sentinel in einem abonnement- oder mandantenübergreifenden Szenario betreiben und einer Ihrer Analysten oder Techniker den Zugriff auf einen bestimmten Arbeitsbereich verliert, funktionieren alle von diesem Benutzer erstellten Regeln nicht mehr. Sie erhalten eine Systemüberwachungsmeldung bezüglich „unzureichender Zugriff auf Ressource“, und die Regel wird gemäß dem vorgängig beschriebenen Verfahren automatisch deaktiviert.

Nächste Schritte

Weitere Informationen finden Sie unter

Erfahren Sie außerdem anhand eines Beispiels, wie benutzerdefinierte Analyseregeln bei der Überwachung von Zoom mit einem benutzerdefinierten Connector eingesetzt werden.