Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Benutzerdefinierte Erkennungen sind jetzt die beste Möglichkeit, neue Regeln in Microsoft Sentinel SIEM-Microsoft Defender XDR zu erstellen. Mit benutzerdefinierten Erkennungen können Sie Erfassungskosten reduzieren, unbegrenzte Echtzeiterkennungen erhalten und von der nahtlosen Integration in Defender XDR Daten, Funktionen und Wartungsaktionen mit automatischer Entitätszuordnung profitieren. Weitere Informationen finden Sie in diesem Blog.
In diesem Artikel wird erläutert, wie Sie mit bestimmten Problemen umgehen, die bei der Ausführung geplanter Analyseregeln in Microsoft Sentinel auftreten können.
Problem: In Abfrageergebnissen werden keine Ereignisse angezeigt.
Wenn die Ereignisgruppierung so festgelegt ist, dass eine Warnung für jedes Ereignis ausgelöst wird, scheinen die zu einem späteren Zeitpunkt angezeigten Abfrageergebnisse zu fehlen oder anders als erwartet zu sein. Beispielsweise können Sie die Ergebnisse einer Abfrage zu einem späteren Zeitpunkt anzeigen, wenn Sie einen verwandten Vorfall untersuchen, und im Rahmen dieser Untersuchung beschließen Sie, zu den früheren Ergebnissen dieser Abfrage zurückzukehren.
Ergebnisse werden automatisch mit den Warnungen gespeichert. Wenn die Ergebnisse jedoch zu groß sind, werden keine Ergebnisse gespeichert, und beim erneuten Anzeigen der Abfrageergebnisse werden keine Daten angezeigt.
In Fällen, in denen eine Erfassungsverzögerung vorliegt oder die Abfrage aufgrund der Aggregation nicht deterministisch ist, kann sich das Ergebnis der Warnung von dem Ergebnis unterscheiden, das beim manuellen Ausführen der Abfrage angezeigt wird.
Um dieses Problem zu beheben, fügt Microsoft Sentinel den Ergebnissen der Abfrage das Feld OriginalQuery hinzu, wenn eine Regel über diese Ereignisgruppierungseinstellung verfügt. Hier sehen Sie einen Vergleich des vorhandenen Abfragefelds und des neuen Felds:
| Feldname | Enthält | Ausführen der Abfrage in diesem Feld führt zu... |
|---|---|---|
| Query | Der komprimierte Datensatz des Ereignisses, das diesen instance der Warnung generiert hat. | Das Ereignis, das diese instance der Warnung generiert hat; auf 10 KB beschränkt. |
| OriginalQuery | Die ursprüngliche Abfrage, wie in der Analyseregel geschrieben. | Das neueste Ereignis in dem Zeitrahmen, in dem die Abfrage ausgeführt wird, das den von der Abfrage definierten Parametern entspricht. |
Anders ausgedrückt: Das Feld OriginalQuery verhält sich wie das Abfragefeld unter der Standardeinstellung für die Ereignisgruppierung.
Problem: Eine geplante Regel konnte nicht ausgeführt werden oder wird angezeigt, wenn dem Namen AUTO DISABLED hinzugefügt wurde.
Es kommt selten vor, dass eine geplante Abfrageregel nicht ausgeführt werden kann, aber es kann vorkommen. Microsoft Sentinel klassifiziert Fehler im Voraus entweder als vorübergehend oder dauerhaft, basierend auf dem spezifischen Typ des Fehlers und den Umständen, die dazu geführt haben.
Vorübergehender Fehler
Ein vorübergehender Fehler tritt aufgrund eines vorübergehenden Umstands auf und kehrt bald zum Normalzustand zurück, an dem die Ausführung der Regel erfolgreich ist. Beispiele für Fehler, die Microsoft Sentinel als vorübergehend eingestuft werden:
- Die Ausführung einer Regelabfrage dauert zu lange, und es tritt ein Zeitüberschreitung auf.
- Konnektivitätsprobleme zwischen Datenquellen und Log Analytics oder zwischen Log Analytics und Microsoft Sentinel.
- Jeder andere neue und unbekannte Fehler wird als vorübergehend betrachtet.
Im Falle eines vorübergehenden Fehlers versucht Microsoft Sentinel, die Regel nach vorgegebenen und immer größer werdenden Intervallen bis zu einem bestimmten Punkt erneut auszuführen. Danach wird die Regel nur zum nächsten geplanten Zeitpunkt erneut ausgeführt. Eine Regel wird aufgrund eines vorübergehenden Fehlers nie automatisch deaktiviert.
Dauerhafter Fehler – Regel automatisch deaktiviert
Ein dauerhafter Fehler tritt aufgrund einer Änderung der Bedingungen auf, die die Ausführung der Regel ermöglichen, die ohne menschliches Eingreifen nicht zu ihrem früheren status zurückkehren kann. Im Folgenden sind einige Beispiele für Fehler aufgeführt, die als dauerhaft klassifiziert sind:
- Der Zielarbeitsbereich (in dem die Regelabfrage ausgeführt wurde) wurde gelöscht.
- Die Zieltabelle (für die die Regelabfrage ausgeführt wurde) wurde gelöscht.
- Microsoft Sentinel wurde aus dem Zielarbeitsbereich entfernt.
- Eine von der Regelabfrage verwendete Funktion ist nicht mehr gültig. sie wurde entweder geändert oder entfernt.
- Berechtigungen für eine der Datenquellen der Regelabfrage wurden geändert (siehe Beispiel).
- Eine der Datenquellen der Regelabfrage wurde gelöscht.
Bei einer vordefinierten Anzahl von aufeinanderfolgenden dauerhaften Fehlern desselben Typs und derselben Regel beendet Microsoft Sentinel den Versuch, die Regel auszuführen, und führt außerdem die folgenden Schritte aus:
- Deaktiviert die Regel.
- Fügt die Wörter "AUTO DISABLED" am Anfang des Namens der Regel hinzu.
- Fügt der Beschreibung der Regel den Grund für den Fehler (und die Deaktivierung) hinzu.
Sie können ganz einfach feststellen, ob regeln automatisch deaktiviert sind, indem Sie die Regelliste nach Namen sortieren. Die Regeln für die automatische Erkennung befinden sich am Anfang oder am Anfang der Liste.
SOC-Manager sollten die Regelliste regelmäßig auf das Vorhandensein automatisch zu deaktivierenden Regeln überprüfen.
Dauerhafter Fehler aufgrund von Ressourcenausgleich
Eine weitere Art dauerhafter Fehler tritt aufgrund einer nicht ordnungsgemäß erstellten Abfrage auf, die dazu führt, dass die Regel übermäßige Computerressourcen verbraucht und das Risiko besteht, dass die Leistung Ihrer Systeme beeinträchtigt wird. Wenn Microsoft Sentinel eine solche Regel identifiziert, werden die gleichen drei Schritte ausgeführt, die für die anderen Arten dauerhafter Fehler erwähnt werden: Deaktiviert die Regel, stellt dem Regelnamen "AUTO DISABLED" voran und fügt der Beschreibung den Grund für den Fehler hinzu.
Um die Regel erneut zu aktivieren, müssen Sie die Probleme in der Abfrage beheben, die dazu führen, dass sie zu viele Ressourcen verwendet. Weitere Informationen finden Sie unter:
- Bewährte Methoden für Abfragen – Kusto-Dokumentation
- Optimieren von Protokollabfragen in Azure Monitor
- Kusto-Abfragesprache Lernressourcen
Dauerhafter Fehler aufgrund des verlorenen Zugriffs zwischen Abonnements/Mandanten
Ein bestimmtes Beispiel für einen dauerhaften Fehler aufgrund einer Berechtigungsänderung für eine Datenquelle (siehe Liste) betrifft den Fall eines Microsoft-Sicherheitslösungsanbieters (MSSP) oder ein anderes Szenario, in dem Analyseregeln abonnements- oder mandantenübergreifende Abfragen durchführen.
Wenn Sie eine Analyseregel erstellen, wird ein Zugriffsberechtigungstoken auf die Regel angewendet und zusammen mit ihr gespeichert. Dieses Token stellt sicher, dass die Regel auf den Arbeitsbereich zugreifen kann, der die Tabellen enthält, auf die von der Abfrage der Regel verwiesen wird, und dass dieser Zugriff auch dann beibehalten wird, wenn der Ersteller der Regel den Zugriff auf diesen Arbeitsbereich verliert.
Es gibt jedoch eine Ausnahme: Wenn eine Regel für den Zugriff auf Arbeitsbereiche in anderen Abonnements oder Mandanten erstellt wird, z. B. was im Fall eines MSSP geschieht, ergreift Microsoft Sentinel zusätzliche Sicherheitsmaßnahmen, um nicht autorisierten Zugriff auf Kundendaten zu verhindern. Diese Arten von Regeln verfügen nicht über ein unabhängiges Zugriffstoken, sondern über die Anmeldeinformationen des Benutzers, der die Regel auf sie angewendet hat. Wenn der Benutzer keinen Zugriff mehr auf den anderen Mandanten hat, funktioniert die Regel nicht mehr.
Wenn Sie Microsoft Sentinel in einem abonnement- oder mandantenübergreifenden Szenario betreiben und einer Ihrer Analysten oder Techniker den Zugriff auf einen bestimmten Arbeitsbereich verliert, funktionieren alle von diesem Benutzer erstellten Regeln nicht mehr. Sie erhalten eine Integritätsüberwachungsmeldung bezüglich "unzureichender Zugriff auf Ressource", und die Regel wird automatisch gemäß dem zuvor beschriebenen Verfahren entfernt.
Nächste Schritte
Weitere Informationen finden Sie unter:
- Tutorial: Untersuchen von Incidents mit Microsoft Sentinel
- Navigieren und Untersuchen von Vorfällen in Microsoft Sentinel – Vorschau
- Klassifizieren und Analysieren von Daten mithilfe von Entitäten in Microsoft Sentinel
- Tutorial: Verwenden von Playbooks mit Automatisierungsregeln in Microsoft Sentinel
Lernen Sie außerdem ein Beispiel für die Verwendung benutzerdefinierter Analyseregeln beim Überwachen von Zoom mit einem benutzerdefinierten Connector.