Erstellen und Verwalten benutzerdefinierter Erkennungsregeln

Hinweis

Sie möchten Microsoft 365 Defender ausprobieren? Erfahren Sie mehr darüber, wie Sie Microsoft 365 Defender bewerten und pilotieren können.

Gilt für:

  • Microsoft 365 Defender

Benutzerdefinierte Erkennungsregeln sind Regeln, die Sie mit erweiterten Huntingabfragen entwerfen und optimieren können. Mit diesen Regeln können Sie verschiedene Ereignisse und Systemzustände proaktiv überwachen, einschließlich vermuteter Sicherheitsverletzungsaktivitäten und falsch konfigurierter Endpunkte. Sie können festlegen, dass sie in regelmäßigen Abständen ausgeführt werden, Warnungen generieren und bei Übereinstimmungen Rekonstruktionsmaßnahmen ergreifen.

Erforderliche Berechtigungen zum Verwalten von benutzerdefinierten Erkennungen

Um benutzerdefinierte Erkennungen zu verwalten, muss Ihnen eine der folgenden Rollen zugewiesen werden:

  • Sicherheitseinstellungen (verwalten): Benutzer mit dieser Microsoft 365 Defender-Berechtigung können Sicherheitseinstellungen im Microsoft 365 Defender-Portal verwalten.

  • Sicherheitsadministrator: Benutzer mit dieser Azure Active Directory-Rolle können Sicherheitseinstellungen im Microsoft 365 Defender-Portal und in anderen Portalen und Diensten verwalten.

  • Sicherheitsoperator: Benutzer mit dieser Azure Active Directory-Rolle können Warnungen verwalten und haben globalen schreibgeschützten Zugriff auf sicherheitsbezogene Features, einschließlich aller Informationen im Microsoft 365 Defender-Portal. Diese Rolle ist für die Verwaltung benutzerdefinierter Erkennungen nur ausreichend, wenn die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Microsoft Defender for Endpoint deaktiviert ist. Wenn Sie RBAC konfiguriert haben, benötigen Sie auch die Berechtigung Zum Verwalten von Sicherheitseinstellungen für Defender für Endpunkt.

Sie können auch benutzerdefinierte Erkennungen verwalten, die für Daten aus bestimmten Microsoft 365 Defender Lösungen gelten, wenn Sie über Entsprechende Berechtigungen verfügen. Wenn Sie nur über Verwaltungsberechtigungen für Microsoft 365 Defender für Office verfügen, können Sie für instance benutzerdefinierte Erkennungen mithilfe von Tabellen, aber nicht Identity mit Email Tabellen erstellen.

Um die erforderlichen Berechtigungen zu verwalten, kann ein globaler Administrator :

  • Weisen Sie die Rolle Sicherheitsadministrator oder Sicherheitsoperator in Microsoft 365 Admin Center unter Rollen>Sicherheitsadministrator zu.
  • Überprüfen Sie die RBAC-Einstellungen auf Microsoft Defender for Endpoint in Microsoft 365 Defender unter Einstellungen>Berechtigungen>Rollen. Wählen Sie die entsprechende Rolle aus, um die Berechtigung Sicherheitseinstellungen verwalten zuzuweisen.

Hinweis

Um benutzerdefinierte Erkennungen zu verwalten, benötigen Sicherheitsoperatoren die Berechtigung Sicherheitseinstellungen verwalten in Microsoft Defender for Endpoint, wenn RBAC aktiviert ist.

Erstellen einer benutzerdefinierten Erkennungsregel

1. Vorbereiten der Abfrage

Wechseln Sie im Microsoft 365 Defender-Portal zu Erweiterte Suche, und wählen Sie eine vorhandene Abfrage aus, oder erstellen Sie eine neue Abfrage. Wenn Sie eine neue Abfrage verwenden, führen Sie die Abfrage aus, um Fehler zu identifizieren und mögliche Ergebnisse zu verstehen.

Wichtig

Um zu verhindern, dass der Dienst zu viele Warnungen zurückgibt, ist jede Regel bei ihrer Ausführung auf das Generieren von nur 100 Warnungen beschränkt. Optimieren Sie vor dem Erstellen einer Regel Ihre Abfrage, um Warnungen für normale Alltagsaktivitäten zu vermeiden.

In den Abfrageergebnissen erforderliche Spalten

Um eine benutzerdefinierte Erkennungsregel zu erstellen, muss die Abfrage die folgenden Spalten zurückgeben:

  • Timestamp– wird verwendet, um den Zeitstempel für generierte Warnungen festzulegen.
  • ReportId– Aktiviert Nachschlagevorgänge für die ursprünglichen Datensätze.
  • Eine der folgenden Spalten, die bestimmte Geräte, Benutzer oder Postfächer identifiziert:
    • DeviceId
    • DeviceName
    • RemoteDeviceName
    • RecipientEmailAddress
    • SenderFromAddress (Absender des Umschlags oder Return-Path-Adresse)
    • SenderMailFromAddress (Absenderadresse, die vom E-Mail-Client angezeigt wird)
    • RecipientObjectId
    • AccountObjectId
    • AccountSid
    • AccountUpn
    • InitiatingProcessAccountSid
    • InitiatingProcessAccountUpn
    • InitiatingProcessAccountObjectId

Hinweis

Unterstützung für zusätzliche Entitäten wird hinzugefügt, wenn dem schema der erweiterten Suche neue Tabellen hinzugefügt werden.

Einfache Abfragen, z. B. Abfragen, die den Operator oder summarize nicht zum Anpassen oder Aggregieren von project Ergebnissen verwenden, geben in der Regel diese allgemeinen Spalten zurück.

Es gibt verschiedene Möglichkeiten, um sicherzustellen, dass komplexere Abfragen diese Spalten zurückgeben. Wenn Sie es z. B. vorziehen, unter einer Spalte wie DeviceIdzu aggregieren und nach Entität zu zählen, können Sie trotzdem und ReportId durch Abrufen des letzten Ereignisses, das die einzelnen eindeutigen DeviceIdumfasst, zurückgebenTimestamp.

Wichtig

Vermeiden Sie das Filtern benutzerdefinierter Erkennungen mithilfe der Timestamp Spalte. Die für benutzerdefinierte Erkennungen verwendeten Daten werden basierend auf der Erkennungshäufigkeit vorab gefiltert.

Die folgende Beispielabfrage zählt die Anzahl der eindeutigen Geräte (DeviceId) mit Antivirenerkennungen und verwendet diese Anzahl, um nur die Geräte mit mehr als fünf Erkennungen zu finden. Um die neueste Timestamp und die entsprechende ReportIdzurückzugeben, wird der summarize -Operator mit der arg_max -Funktion verwendet.

DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

Tipp

Um eine bessere Abfrageleistung zu erzielen, legen Sie einen Zeitfilter fest, der der für die Regel vorgesehenen Ausführungshäufigkeit entspricht. Da die am wenigsten häufige Ausführung alle 24 Stunden erfolgt, deckt die Filterung nach dem letzten Tag alle neuen Daten ab.

2. Erstellen einer neuen Regel und Bereitstellen von Warnungsdetails

Wählen Sie mit der Abfrage im Abfrage-Editor Erkennungsregel erstellen aus, und geben Sie die folgenden Warnungsdetails an:

  • Erkennungsname – Name der Erkennungsregel; sollte eindeutig sein
  • Häufigkeit: Intervall zum Ausführen der Abfrage und Ausführen von Aktionen. Weitere Anleitungen finden Sie unten.
  • Warnungstitel – Titel, der mit warnungen angezeigt wird, die von der Regel ausgelöst werden; sollte eindeutig sein
  • Schweregrad – potenzielles Risiko der Komponente oder Aktivität, die von der Regel identifiziert wird
  • Kategorie: Von der Regel identifizierte Bedrohungskomponente oder -aktivität
  • MITRE ATT& CK-Techniken– eine oder mehrere Angriffstechniken, die von der Regel identifiziert werden, wie im MITRE ATT&CK-Framework dokumentiert. Dieser Abschnitt ist für bestimmte Warnungskategorien ausgeblendet, einschließlich Schadsoftware, Ransomware, verdächtige Aktivitäten und unerwünschter Software.
  • Beschreibung – weitere Informationen zur Komponente oder Aktivität, die von der Regel identifiziert wird
  • Empfohlene Aktionen– zusätzliche Aktionen, die Antwortgeber als Reaktion auf eine Warnung ausführen können

Regelhäufigkeit

Wenn Sie eine neue Regel speichern, wird sie ausgeführt und sucht nach Übereinstimmungen aus den Daten der letzten 30 Tage. Die Regel wird dann in festen Intervallen erneut ausgeführt, wobei eine Lookbackdauer basierend auf der von Ihnen gewählten Häufigkeit angewendet wird:

  • Alle 24 Stunden – wird alle 24 Stunden ausgeführt, wobei Daten der letzten 30 Tage überprüft werden.
  • Alle 12 Stunden – wird alle 12 Stunden ausgeführt, wobei Daten aus den letzten 48 Stunden überprüft werden
  • Alle 3 Stunden – wird alle 3 Stunden ausgeführt, wobei Daten aus den letzten 12 Stunden überprüft werden.
  • Stündlich ausgeführt, wobei Daten aus den letzten vier Stunden überprüft werden.
  • Continuous (NRT) – wird kontinuierlich ausgeführt und überprüft Daten von Ereignissen, während sie in Quasi-Echtzeit gesammelt und verarbeitet werden.

Hinweis

Wenn Sie die kontinuierliche Häufigkeit auswählen, stellen Sie sicher, dass die Abfrage nur auf eine Tabelle verweist und einen Operator aus der Liste der unterstützten KQL-Operatoren verwendet. Sie können keine Unions oder Joins verwenden. Der externaldata Operator wird nicht unterstützt.

Wenn Sie eine Regel bearbeiten, wird sie mit den angewendeten Änderungen in der nächsten Laufzeit ausgeführt, die gemäß der von Ihnen festgelegten Häufigkeit geplant wurde. Die Regelhäufigkeit basiert auf dem Ereigniszeitstempel und nicht auf der Erfassungszeit.

Tipp

Passen Sie die Zeitfilter in Ihrer Abfrage der Lookbackdauer an. Ergebnisse außerhalb der Lookbackdauer werden ignoriert.

Wählen Sie die Häufigkeit aus, die der Überwachung von Erkennungen entspricht. Berücksichtigen Sie die Kapazität Ihrer organization, um auf die Warnungen zu reagieren.

Tabellen, die fortlaufende Häufigkeit (NRT) unterstützen

Erkennungen in Quasi-Echtzeit werden für die folgenden Tabellen unterstützt:

  • AlertEvidence
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • UrlClickEvents

Hinweis

Nur Spalten, die allgemein verfügbar sind, können fortlaufende Häufigkeit (NRT) unterstützen.

3. Auswählen der betroffenen Entitäten

Identifizieren Sie die Spalten in den Abfrageergebnissen, in denen Sie erwarten, die wichtigste betroffene Entität vorzufinden. Beispielsweise kann eine Abfrage Absenderadressen (SenderFromAddress oder SenderMailFromAddress) und Empfängeradressen (RecipientEmailAddress) zurückgeben. Die Identifizierung, welche dieser Spalten die wichtigste betroffene Entität darstellt, hilft dem Dienst, relevante Warnungen zu aggregieren, Vorfälle zu korrelieren und Rekonstruktionsmaßnahmen zu ergreifen.

Sie können für jeden Entitätstyp (Postfach, Benutzer oder Gerät) nur eine Spalte auswählen. Spalten, die nicht von der Abfrage zurückgegeben werden, können nicht ausgewählt werden.

4. Angeben von Aktionen

Ihre benutzerdefinierte Erkennungsregel kann automatisch Aktionen für Geräte, Dateien, Benutzer oder E-Mails ausführen, die von der Abfrage zurückgegeben werden.

Screenshot: Aktionen für benutzerdefinierte Erkennungen im Microsoft 365 Defender-Portal

Aktionen auf Geräten

Diese Aktionen werden auf Geräte in der DeviceId-Spalte der Abfrageergebnisse angewendet:

Aktionen auf Dateien

  • Wenn diese Option ausgewählt ist, kann die Aktion Zulassen/Blockieren auf die Datei angewendet werden. Blockierende Dateien sind nur zulässig, wenn Sie über Berechtigungen zum Korrigieren von Dateien verfügen und die Abfrageergebnisse eine Datei-ID identifiziert haben, z. B. sha1. Sobald eine Datei blockiert ist, werden auch andere Instanzen derselben Datei auf allen Geräten blockiert. Sie können steuern, auf welche Gerätegruppe die Blockierung angewendet wird, aber nicht auf bestimmte Geräte.

  • Wenn diese Option ausgewählt ist, kann die Aktion Datei isolieren auf Dateien in der SHA1Spalte , InitiatingProcessSHA1, SHA256oder InitiatingProcessSHA256 der Abfrageergebnisse angewendet werden. Diese Aktion löscht die Datei vom aktuellen Speicherort und platziert eine Kopie in Quarantäne.

Aktionen für Benutzer

  • Wenn diese Option ausgewählt ist, wird die Aktion Benutzer als kompromittiert markieren für Benutzer in der AccountObjectId, InitiatingProcessAccountObjectId, oder RecipientObjectId Spalte der Abfrageergebnisse ausgeführt. Diese Aktion legt die Benutzerrisikostufe in Azure Active Directory auf "hoch" fest, wodurch entsprechende Identitätsschutzrichtlinien ausgelöst werden.

  • Wählen Sie Benutzer deaktivieren aus, um die Anmeldung eines Benutzers vorübergehend zu verhindern.

  • Wählen Sie Kennwortzurücksetzung erzwingen aus, um den Benutzer aufzufordern, sein Kennwort in der nächsten Anmeldesitzung zu ändern.

Sowohl die Optionen Benutzer deaktivieren als auch Kennwortzurücksetzung erzwingen erfordern die Benutzer-SID, die sich in den Spalten AccountSid, InitiatingProcessAccountSid, RequestAccountSidund OnPremSidbefinden.

Weitere Informationen zu Benutzeraktionen finden Sie unter Wartungsaktionen in Microsoft Defender for Identity.

Aktionen für E-Mails

  • Wenn die benutzerdefinierte Erkennung E-Mail-Nachrichten ergibt, können Sie In Postfachordner verschieben auswählen, um die E-Mail in einen ausgewählten Ordner ( junk-,posteingangs- oder gelöschte Elementordner ) zu verschieben.

  • Alternativ können Sie E-Mail löschen auswählen und dann entweder die E-Mails in Gelöschte Elemente verschieben (vorläufiges Löschen) oder die ausgewählten E-Mails dauerhaft löschen (endgültiges Löschen).

Die Spalten NetworkMessageId und RecipientEmailAddress müssen in den Ausgabeergebnissen der Abfrage vorhanden sein, um Aktionen auf E-Mail-Nachrichten anzuwenden.

5. Festlegen des Regelbereichs

Legen Sie den Bereich fest, um anzugeben, welche Geräte von der Regel abgedeckt werden. Der Bereich wirkt sich auf Regeln aus, die Geräte überprüfen, und wirkt sich nicht auf Regeln aus, die nur Postfächer und Benutzerkonten oder -identitäten überprüfen.

Wenn Sie den Bereich festlegen, können Sie Folgendes auswählen:

  • Alle Geräte
  • Bestimmte Gerätegruppen

Es werden nur Daten von Geräten im Bereich abgefragt. Außerdem werden Aktionen nur auf diesen Geräten ausgeführt.

6. Überprüfen und Aktivieren der Regel

Wählen Sie nach der Überprüfung der Regel die Option Erstellen aus, um sie zu speichern. Die benutzerdefinierte Erkennungsregel wird sofort ausgeführt. Es wird basierend auf der konfigurierten Häufigkeit erneut ausgeführt, um nach Übereinstimmungen zu suchen, Warnungen zu generieren und Rekonstruktionsmaßnahmen zu ergreifen.

Wichtig

Benutzerdefinierte Erkennungen sollten regelmäßig auf Effizienz und Effektivität überprüft werden. Um sicherzustellen, dass Sie Erkennungen erstellen, die echte Warnungen auslösen, nehmen Sie sich Zeit, ihre vorhandenen benutzerdefinierten Erkennungen zu überprüfen, indem Sie die Schritte unter Verwalten vorhandener benutzerdefinierter Erkennungsregeln ausführen.

Sie behalten die Kontrolle über die Breite oder Spezifität Ihrer benutzerdefinierten Erkennungen, sodass alle von benutzerdefinierten Erkennungen generierten falschen Warnungen auf die Notwendigkeit hinweisen können, bestimmte Parameter der Regeln zu ändern.

Verwalten vorhandener benutzerdefinierter Erkennungsregeln

Sie können die Liste der vorhandenen benutzerdefinierten Erkennungsregeln anzeigen, ihre vorherigen Ausführungen überprüfen und die ausgelösten Warnungen überprüfen. Sie können eine Regel auch bei Bedarf ausführen und ändern.

Tipp

Warnungen, die von benutzerdefinierten Erkennungen ausgelöst werden, sind über Warnungen und Incident-APIs verfügbar. Weitere Informationen finden Sie unter Unterstützte Microsoft 365 Defender-APIs.

Anzeigen vorhandener Regeln

Um alle vorhandenen benutzerdefinierten Erkennungsregeln anzuzeigen, navigieren Sie zu Hunting Custom detection rules .To view all existing custom detection rules, navigate to hunting>custom detection rules. Auf der Seite werden alle Regeln mit den folgenden Ausführungsinformationen aufgeführt:

  • Letzte Ausführung– Wann wurde eine Regel zuletzt ausgeführt, um nach Abfrageergebnissen zu suchen und Warnungen zu generieren.
  • Letzte Ausführung status – ob eine Regel erfolgreich ausgeführt wurde
  • Nächste Ausführung – die nächste geplante Ausführung
  • Status : Gibt an, ob eine Regel aktiviert oder deaktiviert wurde.

Anzeigen von Regeldetails, Ändern einer Regel und Ausführen einer Regel

Um umfassende Informationen zu einer benutzerdefinierten Erkennungsregel anzuzeigen, wechseln Sie zu HuntingCustom detection rules (Benutzerdefinierte Erkennungsregelnsuchen),> und wählen Sie dann den Namen der Regel aus. Anschließend können Sie allgemeine Informationen zur Regel anzeigen, einschließlich Informationen, deren Ausführung status und Umfang. Die Seite enthält ebenfalls die Liste der ausgelösten Warnungen und Aktionen.

Detailseite der benutzerdefinierten Erkennungsregel im Microsoft 365 Defender-Portal

Auf dieser Seite können Sie ebenfalls die folgenden Aktionen für die Regel ausführen:

  • Ausführen: Führen Sie die Regel sofort aus. Dadurch wird auch das Intervall für die nächste Ausführung zurückgesetzt.
  • Bearbeiten – Ändern der Regel, ohne die Abfrage zu ändern
  • Abfrage ändern – Bearbeiten der Abfrage in der erweiterten Suche
  • Aktivieren / Deaktivieren – Aktivieren oder Beenden der Ausführung der Regel
  • Löschen – Deaktivieren und Entfernen der Regel

Anzeigen und Verwalten ausgelöster Warnungen

Wechseln Sie im Bildschirm mit den Regeldetails (Hunting>Custom detections[Rule name]) zu Ausgelöste Warnungen, in dem die von Übereinstimmungen > mit der Regel generierten Warnungen aufgelistet werden. Wählen Sie eine Warnung aus, um detaillierte Informationen dazu anzuzeigen, und führen Sie die folgenden Aktionen aus:

  • Verwalten Sie die Warnung durch das Festlegen von deren Status und Klassifizierung (wahre oder falsche Warnung)
  • Verknüpfen Sie die Warnung mit einem Vorfall
  • Führen Sie die Abfrage aus, die die Warnung bei der erweiterten Bedrohungssuche ausgelöst hat

Überprüfen von Aktionen

Wechseln Sie im Bildschirm mit den Regeldetails (Hunting>Custom detections[Rule name]) zu Ausgelöste Aktionen, in dem die ausgeführten Aktionen basierend auf Übereinstimmungen > mit der Regel aufgelistet werden.

Tipp

Verwenden Sie die Auswahlspalte [✓] auf der linken Seite der Tabelle, um Informationen schnell anzuzeigen und Maßnahmen für ein Element in einer Tabelle auszuführen.

Hinweis

Einige Spalten in diesem Artikel sind in Microsoft Defender for Endpoint möglicherweise nicht verfügbar. Aktivieren Sie Microsoft 365 Defender, um mithilfe weiterer Datenquellen nach Bedrohungen zu suchen. Sie können Ihre workflows für die erweiterte Suche von Microsoft Defender for Endpoint auf Microsoft 365 Defender verschieben, indem Sie die Schritte unter Migrieren erweiterter Suchabfragen von Microsoft Defender for Endpoint ausführen.

Siehe auch