Arbeiten mit Analyseregeln für die Anomalieerkennung in Microsoft Sentinel

Wichtig

Benutzerdefinierte Erkennungen sind jetzt die beste Möglichkeit, neue Regeln in Microsoft Sentinel SIEM-Microsoft Defender XDR zu erstellen. Mit benutzerdefinierten Erkennungen können Sie Erfassungskosten reduzieren, unbegrenzte Echtzeiterkennungen erhalten und von der nahtlosen Integration in Defender XDR Daten, Funktionen und Wartungsaktionen mit automatischer Entitätszuordnung profitieren. Weitere Informationen finden Sie in diesem Blog.

das anpassbare Anomaliefeature von Microsoft Sentinel bietet integrierte Anomalievorlagen für sofort einsatzbereite Werte. Diese Anomalievorlagen wurden entwickelt, um mithilfe von Tausenden von Datenquellen und Millionen von Ereignissen robust zu sein, aber dieses Feature ermöglicht es Ihnen auch, Schwellenwerte und Parameter für die Anomalien auf einfache Weise innerhalb der Benutzeroberfläche zu ändern. Anomalieregeln sind standardmäßig aktiviert oder werden aktiviert, sodass sie sofort Anomalien generieren. Sie können diese Anomalien in der Tabelle Anomalien im Abschnitt Protokolle suchen und abfragen.

Wichtig

Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.

Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.

Anzeigen anpassbarer Vorlagen für Anomalieregeln

Sie finden jetzt Anomalieregeln, die in einem Raster auf der Registerkarte Anomalien auf der Seite Analyse angezeigt werden.

1. Wählen Sie für Benutzer des Microsoft Defender-Portals im Microsoft Defender Navigationsmenü Microsoft Sentinel > Configuration > Analytics aus.

   Wählen Sie für Benutzer von Microsoft Sentinel im Azure-Portal im Microsoft Sentinel Navigationsmenü die Option Analyse aus.

2. Wählen Sie auf der Seite Analyse die Registerkarte Anomalien aus.

3. Um die Liste nach einem oder mehreren der folgenden Kriterien zu filtern, wählen Sie Filter hinzufügen aus, und wählen Sie entsprechend aus.

   • Status : Gibt an, ob die Regel aktiviert oder deaktiviert ist.

   • Taktiken : Das MITRE ATT&CK-Frameworktaktiken, die von der Anomalie abgedeckt werden.

   • Techniken : Das MITRE ATT&CK-Frameworktechniken, die von der Anomalie abgedeckt werden.

   • Datenquellen : Die Art der Protokolle, die erfasst und analysiert werden müssen, damit die Anomalie definiert werden kann.

4. Wählen Sie eine Regel aus, und zeigen Sie die folgenden Informationen im Detailbereich an:

   • Beschreibung erläutert, wie die Anomalie funktioniert und welche Daten erforderlich sind.

   • Taktiken und Techniken sind die MITRE ATT&CK-Frameworktaktiken und -Techniken, die von der Anomalie abgedeckt werden.

   • Parameter sind die konfigurierbaren Attribute für die Anomalie.

   • Schwellenwert ist ein konfigurierbarer Wert, der den Grad angibt, in dem ein Ereignis ungewöhnlich sein muss, bevor eine Anomalie erstellt wird.

   • Regelhäufigkeit ist die Zeit zwischen Protokollverarbeitungsaufträgen, die die Anomalien finden.

   • Regel status gibt an, ob die Regel im Produktions- oder Flightingmodus (Stagingmodus) ausgeführt wird, wenn sie aktiviert ist.

   • Anomalieversion zeigt die Version der Vorlage an, die von einer Regel verwendet wird. Wenn Sie die Version ändern möchten, die von einer bereits aktiven Regel verwendet wird, müssen Sie die Regel neu erstellen.

Die Regeln, die im Lieferumfang von Microsoft Sentinel enthalten sind, können nicht bearbeitet oder gelöscht werden. Um eine Regel anzupassen, müssen Sie zuerst ein Duplikat der Regel erstellen und dann das Duplikat anpassen. Weitere Informationen finden Sie in den vollständigen Anweisungen.

Hinweis

Warum gibt es eine Schaltfläche Bearbeiten, wenn die Regel nicht bearbeitet werden kann?

Obwohl Sie die Konfiguration einer standardmäßigen Anomalieregel nicht ändern können, können Sie zwei Dinge tun:

1. Sie können die Regel status der Regel zwischen Produktion und Flighting umschalten.

2. Sie können Feedback zu Ihrer Erfahrung mit anpassbaren Anomalien an Microsoft senden.

Bewerten der Qualität von Anomalien

Sie können sehen, wie gut eine Anomalieregel funktioniert, indem Sie eine Stichprobe der Anomalien überprüfen, die von einer Regel während der letzten 24 Stunden erstellt wurden.

1. Wählen Sie für Benutzer von Microsoft Sentinel im Azure-Portal im Microsoft Sentinel Navigationsmenü die Option Analyse aus.

   Wählen Sie für Benutzer des Microsoft Defender-Portals im Microsoft Defender Navigationsmenü Microsoft Sentinel > Configuration > Analytics aus.

2. Wählen Sie auf der Seite Analyse die Registerkarte Anomalien aus.

3. Wählen Sie die Regel aus, die Sie bewerten möchten, und kopieren Sie ihre ID oben im Detailbereich nach rechts.

4. Wählen Sie im Microsoft Sentinel Navigationsmenü Protokolle aus.

5. Wenn oben ein Abfragekatalog angezeigt wird, schließen Sie ihn.

6. Wählen Sie im linken Bereich der Seite Protokolle die Registerkarte Tabellen aus.

7. Legen Sie den Filter Zeitbereich auf Letzte 24 Stunden fest.

8. Kopieren Sie die folgende Kusto-Abfrage, und fügen Sie sie in das Abfragefenster ein (in dem "Geben Sie Ihre Abfrage hier oder...") ein:

   Anomalies 
   | where RuleId contains "<RuleId>"
   

   Fügen Sie die oben kopierte Regel-ID anstelle von zwischen den Anführungszeichen <RuleId> ein.

9. Wählen Sie Ausführen aus.

Wenn Sie einige Ergebnisse haben, können Sie mit der Bewertung der Qualität der Anomalien beginnen. Wenn keine Ergebnisse vorliegen, versuchen Sie, den Zeitbereich zu erhöhen.

Erweitern Sie die Ergebnisse für jede Anomalie, und erweitern Sie dann das Feld AnomalyReasons . Dadurch erfahren Sie, warum die Anomalie ausgelöst wurde.

Die "Angemessenheit" oder "Nützlichkeit" einer Anomalie kann von den Bedingungen Ihrer Umgebung abhängen, aber ein häufiger Grund für eine Anomalieregel, die zu viele Anomalien erzeugt, ist, dass der Schwellenwert zu niedrig ist.

Optimieren von Anomalieregeln

Während Anomalieregeln für maximale Effektivität entwickelt werden, ist jede Situation einzigartig, und manchmal müssen Anomalieregeln optimiert werden.

Da Sie eine ursprüngliche aktive Regel nicht bearbeiten können, müssen Sie zuerst eine aktive Anomalieregel duplizieren und dann die Kopie anpassen.

Die ursprüngliche Anomalieregel wird so lange ausgeführt, bis Sie sie entweder deaktivieren oder löschen.

Dies ist beabsichtigt, um Ihnen die Möglichkeit zu geben, die von der ursprünglichen Konfiguration generierten Ergebnisse mit der neuen zu vergleichen. Doppelte Regeln sind standardmäßig deaktiviert. Sie können nur eine benutzerdefinierte Kopie einer bestimmten Anomalieregel erstellen. Versuche, eine zweite Kopie zu erstellen, schlagen fehl.

1. Um die Konfiguration einer Anomalieregel zu ändern, wählen Sie die Regel aus der Liste auf der Registerkarte Anomalien aus.

2. Klicken Sie mit der rechten Maustaste auf eine beliebige Stelle in der Zeile der Regel, oder klicken Sie mit der linken Maustaste auf die Auslassungspunkte (...) am Ende der Zeile, und wählen Sie dann im Kontextmenü Duplizieren aus.

   Eine neue Regel wird in der Liste mit den folgenden Merkmalen angezeigt:

   • Der Regelname ist identisch mit dem ursprünglichen, wobei " – Angepasst" am Ende angefügt wird.
   • Die status der Regel lautet Deaktiviert.
   • Der FLGT-Badge wird am Anfang der Zeile angezeigt, um anzugeben, dass sich die Regel im Flighting-Modus befindet.

3. Um diese Regel anzupassen, wählen Sie die Regel aus, und wählen Sie bearbeiten im Detailbereich oder im Kontextmenü der Regel aus.

4. Die Regel wird im Analyseregel-Assistenten geöffnet. Hier können Sie die Parameter der Regel und ihren Schwellenwert ändern. Die Parameter, die geändert werden können, variieren je nach Anomalietyp und Algorithmus.

   Sie können eine Vorschau der Ergebnisse Ihrer Änderungen im Ergebnisvorschaubereich anzeigen. Wählen Sie in der Ergebnisvorschau eine Anomalie-ID aus, um zu sehen, warum das ML-Modell diese Anomalie identifiziert.

5. Aktivieren Sie die benutzerdefinierte Regel, um Ergebnisse zu generieren. Einige Ihrer Änderungen erfordern möglicherweise, dass die Regel erneut ausgeführt wird. Daher müssen Sie warten, bis sie abgeschlossen ist, und zurückkehren, um die Ergebnisse auf der Protokollseite zu überprüfen. Die benutzerdefinierte Anomalieregel wird standardmäßig im Flighting-Modus (Testmodus) ausgeführt. Die ursprüngliche Regel wird weiterhin standardmäßig im Produktionsmodus ausgeführt.

6. Um die Ergebnisse zu vergleichen, wechseln Sie zurück zur Tabelle Anomalien in Protokollen , um die neue Regel wie zuvor zu bewerten. Verwenden Sie stattdessen nur die folgende Abfrage, um nach Anomalien zu suchen, die von der ursprünglichen Regel sowie der duplizierten Regel generiert wurden.

   Anomalies 
   | where AnomalyTemplateId contains "<RuleId>"
   

   Fügen Sie die Regel-ID, die Sie aus der ursprünglichen Regel kopiert haben, anstelle von zwischen den Anführungszeichen <RuleId> ein. Der Wert von AnomalyTemplateId in den ursprünglichen und doppelten Regeln ist identisch mit dem Wert von RuleId in der ursprünglichen Regel.

Wenn Sie mit den Ergebnissen für die benutzerdefinierte Regel zufrieden sind, können Sie zur Registerkarte Anomalien zurückkehren, die angepasste Regel auswählen, die Schaltfläche Bearbeiten auswählen und auf der Registerkarte Allgemein von Flighting in Production wechseln. Die ursprüngliche Regel wird automatisch in Flighting geändert, da Sie nicht zwei Versionen derselben Regel gleichzeitig in der Produktion verwenden können.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie mit anpassbaren Analyseregeln für die Anomalieerkennung in Microsoft Sentinel arbeiten.

• Rufen Sie hintergrundinformationen zu anpassbaren Anomalien ab.
• Zeigen Sie die verfügbaren Anomalietypen in Microsoft Sentinel an.
• Erkunden Sie andere Analyseregeltypen.