Aangepaste regels maken voor het detecteren van bedreigingen

Notitie

Azure Sentinel heet nu Microsoft Sentinel. Deze pagina's worden in de komende weken bijgewerkt. Meer informatie over recente beveiligingsverbeteringen van Microsoft.

Nadat u uw gegevensbronnen hebt verbonden met Microsoft Sentinel, maakt u aangepaste analyseregels om bedreigingen en afwijkend gedrag in uw omgeving te detecteren.

Analyseregels zoeken naar specifieke gebeurtenissen of sets gebeurtenissen in uw omgeving, waarschuwen u wanneer bepaalde drempelwaarden of voorwaarden voor gebeurtenissen zijn bereikt, incidenten genereren voor uw SOC om bedreigingen te onderzoeken en te onderzoeken en te reageren op bedreigingen met geautomatiseerde tracerings- en herstelprocessen.

Tip

Wanneer u aangepaste regels maakt, gebruikt u bestaande regels als sjablonen of verwijzingen. Door bestaande regels als basislijn te gebruiken, kunt u de meeste logica uitbouwen voordat u wijzigingen aanbrengt die nodig zijn.

  • Analyseregels maken
  • Definiëren hoe gebeurtenissen en waarschuwingen worden verwerkt
  • Definiëren hoe waarschuwingen en incidenten worden gegenereerd
  • Geautomatiseerde bedreigingsreacties voor uw regels kiezen

Een aangepaste analyseregel maken met een geplande query

  1. Selecteer Analytics in het navigatiemenu van Microsoft Sentinel.

  2. Selecteer +Maken en selecteer Geplande queryregel in de actiebalk bovenaan. Hiermee opent u de wizard Analyseregel.

    Create scheduled query

Wizard Analyseregel - tabblad Algemeen

  • Geef een unieke naam en een beschrijving op.

  • In het veld Tactieken en technieken kunt u kiezen uit categorieën aanvallen waarmee u de regel wilt classificeren. Deze zijn gebaseerd op de tactieken en technieken van het MITRE ATT&CK-framework .

    Incidenten die zijn gemaakt op basis van waarschuwingen die worden gedetecteerd door regels die zijn toegewezen aan MITRE ATT&CK-tactieken en -technieken, nemen automatisch de toewijzing van de regel over.

  • Stel de ernst van de waarschuwing zo nodig in.

  • Wanneer u de regel maakt, is de status standaard ingeschakeld , wat betekent dat deze onmiddellijk wordt uitgevoerd nadat u klaar bent met het maken ervan. Als u niet wilt dat deze onmiddellijk wordt uitgevoerd, selecteert u Uitgeschakeld en wordt de regel toegevoegd aan het tabblad Actieve regels en kunt u deze daar inschakelen wanneer u deze nodig hebt.

    Start creating a custom analytics rule

De regelquerylogica definiëren en instellingen configureren

Op het tabblad Regellogica instellen kunt u een query rechtstreeks in het veld Regelquery schrijven of de query maken in Log Analytics en deze hier kopiëren en plakken.

  • Query's worden geschreven in de Kusto-querytaal (KQL). Lees deze handige snelzoekgids voor meer informatie over KQL concepten en query's.

  • In het voorbeeld in deze schermopname wordt een query uitgevoerd op de tabel SecurityEvent om een type mislukte aanmeldingsgebeurtenissen weer te geven Windows.

    Configure query rule logic and settings

  • Hier volgt een andere voorbeeldquery, die u waarschuwt wanneer er een afwijkend aantal resources wordt gemaakt in Azure-activiteit.

    AzureActivity
    | where OperationName == "Create or Update Virtual Machine" or OperationName =="Create Deployment"
    | where ActivityStatus == "Succeeded"
    | make-series dcount(ResourceId)  default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller
    

    Belangrijk

    Het is raadzaam dat uw query gebruikmaakt van een ASIM-parser (Advanced Security Information Model) en niet een systeemeigen tabel. Dit zorgt ervoor dat de query ondersteuning biedt voor een huidige of toekomstige relevante gegevensbron in plaats van één gegevensbron.

    Notitie

    Best practices voor regelquery's:

    • De querylengte moet tussen 1 en 10.000 tekens lang zijn en mag geen 'search *' of ''union * bevatten. U kunt door de gebruiker gedefinieerde functies gebruiken om de beperking van de querylengte te overwinnen.

    • Het gebruik van ADX-functies voor het maken van Azure Data Explorer query's in het Log Analytics-queryvenster wordt niet ondersteund.

    • Wanneer u de bag_unpack functie in een query gebruikt, mislukt de query als u de kolommen projecteert als velden met behulp van 'project field1' en de kolom niet bestaat. Als u dit wilt voorkomen, moet u de kolom als volgt projecteren :

      • project field1 = column_ifexists("field1","")

Waarschuwingsverrijking

  • Gebruik de sectie Entiteitstoewijzingsconfiguratie om parameters van uw queryresultaten toe te wijzen aan door Microsoft Sentinel herkende entiteiten. Entiteiten verrijken de uitvoer van de regels (waarschuwingen en incidenten) met essentiële informatie die fungeert als bouwstenen van onderzoekende processen en herstelacties die volgen. Dit zijn ook de criteria waarmee u waarschuwingen kunt groeperen in incidenten op het tabblad Incidentinstellingen .

    Meer informatie over entiteiten in Microsoft Sentinel.

    Zie Gegevensvelden toewijzen aan entiteiten in Microsoft Sentinel voor volledige instructies voor entiteitstoewijzing, samen met belangrijke informatie over beperkingen en compatibiliteit met eerdere versies.

  • Gebruik de sectie Aangepaste detailsconfiguratie om items voor gebeurtenisgegevens uit uw query te extraheren en deze weer te geven in de waarschuwingen die door deze regel worden geproduceerd, zodat u direct inzicht krijgt in uw waarschuwingen en incidenten.

    Meer informatie over het weergeven van aangepaste details in waarschuwingen en de volledige instructies.

  • Gebruik de configuratiesectie Waarschuwingsgegevens om de presentatiedetails van de waarschuwing aan te passen aan de werkelijke inhoud ervan. Met waarschuwingsdetails kunt u bijvoorbeeld het IP-adres of de accountnaam van een aanvaller weergeven in de titel van de waarschuwing zelf, zodat deze in uw incidentenwachtrij wordt weergegeven, zodat u een veel rijker en duidelijker beeld krijgt van uw bedreigingslandschap.

    Zie de volledige instructies voor het aanpassen van uw waarschuwingsgegevens.

Notitie

De groottelimiet voor een volledige waarschuwing is 64 kB.

  • Waarschuwingen die groter zijn dan 64 kB, worden afgekapt. Als entiteiten worden geïdentificeerd, worden ze één voor één toegevoegd aan de waarschuwing totdat de waarschuwingsgrootte 64 kB bereikt en alle resterende entiteiten uit de waarschuwing worden verwijderd.

  • De andere waarschuwingsverrijkingen dragen ook bij aan de grootte van de waarschuwing.

  • Als u de grootte van de waarschuwing wilt verkleinen, gebruikt u de project-away operator in uw query om overbodige velden te verwijderen. (Houd ook rekening met de project operator als er slechts een paar velden zijn die u moet behouden.)

Drempelwaarde voor het plannen van query's en waarschuwingen

  • Stel in de sectie Queryplanning de volgende parameters in:

    Set query schedule and event grouping

    • Stel elke uitvoeringsquery in om te bepalen hoe vaak de query wordt uitgevoerd, net zo vaak als elke 5 minuten of zo zelden als elke 14 dagen.

    • Stel opzoekgegevens uit de laatste keer in om de tijdsperiode te bepalen van de gegevens die worden gedekt door de query. U kunt bijvoorbeeld een query uitvoeren op de afgelopen 10 minuten aan gegevens of de afgelopen 6 uur aan gegevens. Het maximum is 14 dagen.

      Notitie

      Queryintervallen en lookbackperiode

      Deze twee instellingen zijn onafhankelijk van elkaar, tot een punt. U kunt een query uitvoeren met een kort interval dat betrekking heeft op een periode die langer is dan het interval (met overlappende query's), maar u kunt geen query uitvoeren met een interval dat de dekkingsperiode overschrijdt, anders hebt u hiaten in de totale querydekking. >>Opnamevertraging>> Om rekening te houden met latentie die kan optreden tussen de generatie van een gebeurtenis bij de bron en de opname in Microsoft Sentinel, en om volledige dekking zonder gegevensduplicatie te garanderen, voert Microsoft Sentinel geplande analyseregels uit op een vertraging van vijf minuten vanaf de geplande tijd. >> Zie Opnamevertraging verwerken in geplande analyseregels voor meer informatie.

  • Gebruik de sectie Waarschuwingsdrempel om het gevoeligheidsniveau van de regel te definiëren. Stel bijvoorbeeld Een waarschuwing genereren in wanneer het aantal queryresultatengroter is dan en voer het getal 1000 in als u wilt dat de regel alleen een waarschuwing genereert als de query meer dan 1000 resultaten retourneert telkens wanneer deze wordt uitgevoerd. Dit is een verplicht veld, dus als u geen drempelwaarde wilt instellen, dus als u wilt dat uw waarschuwing elke gebeurtenis registreert, voert u 0 in het numerieke veld in.

Resultatensimulatie

Selecteer in het gebied Resultatensimulatie aan de rechterkant van de wizard test met huidige gegevens en Microsoft Sentinel geeft een grafiek weer van de resultaten (logboekevenementen) die de query de laatste 50 keer zou hebben gegenereerd, volgens de momenteel gedefinieerde planning. Als u de query wijzigt, selecteert u Testen met huidige gegevens opnieuw om de grafiek bij te werken. In de grafiek ziet u het aantal resultaten gedurende de gedefinieerde periode. Dit wordt bepaald door de instellingen in de sectie Queryplanning .

Hier ziet u hoe de resultatensimulatie eruit kan zien voor de query in de bovenstaande schermopname. De linkerkant is de standaardweergave en de rechterkant is wat u ziet wanneer u de muisaanwijzer boven een bepaald tijdstip in de grafiek beweegt.

Results simulation screenshots

Als u ziet dat uw query te veel of te frequente waarschuwingen activeert, kunt u experimenteren met de instellingen in de sectiesQueryplanning en Waarschuwingsdrempel en opnieuw Testen met huidige gegevens selecteren.

Gebeurtenisgroepering en onderdrukking van regels

  • Kies onder Gebeurtenisgroepering een van de twee manieren om de groepering van gebeurtenissen in waarschuwingen te verwerken:

    • Groepeer alle gebeurtenissen in één waarschuwing (de standaardinstelling). De regel genereert telkens wanneer deze wordt uitgevoerd één waarschuwing, zolang de query meer resultaten retourneert dan de opgegeven waarschuwingsdrempel hierboven . De waarschuwing bevat een overzicht van alle gebeurtenissen die in de resultaten zijn geretourneerd.

    • Een waarschuwing voor elke gebeurtenis activeren. De regel genereert een unieke waarschuwing voor elke gebeurtenis die door de query wordt geretourneerd. Dit is handig als u wilt dat gebeurtenissen afzonderlijk worden weergegeven of als u ze wilt groeperen op bepaalde parameters, op gebruiker, hostnaam of iets anders. U kunt deze parameters definiëren in de query.

      Momenteel wordt het aantal waarschuwingen dat een regel kan genereren, beperkt tot 150. Als in een bepaalde regel gebeurtenisgroepering is ingesteld op Een waarschuwing activeren voor elke gebeurtenis en de query van de regel meer dan 150 gebeurtenissen retourneert, genereert elk van de eerste 149 gebeurtenissen een unieke waarschuwing. De 150e waarschuwing bevat een overzicht van de volledige set geretourneerde gebeurtenissen. Met andere woorden, de 150e waarschuwing is wat er zou zijn gegenereerd onder de groepsgebeurtenissen in één waarschuwingsoptie .

      Als u deze optie kiest, voegt Microsoft Sentinel een nieuw veld, OriginalQuery, toe aan de resultaten van de query. Hier volgt een vergelijking van het bestaande queryveld en het nieuwe veld:

      Veldnaam Contains De query uitvoeren in dit veld
      resulteert in...
      Query De gecomprimeerde record van de gebeurtenis die dit exemplaar van de waarschuwing heeft gegenereerd De gebeurtenis die dit exemplaar van de waarschuwing heeft gegenereerd
      OriginalQuery De oorspronkelijke query zoals geschreven in de analyseregel De meest recente gebeurtenis in het tijdsbestek waarin de query wordt uitgevoerd, die past bij de parameters die zijn gedefinieerd door de query

      Met andere woorden, het veld OriginalQuery gedraagt zich zoals het queryveld zich meestal gedraagt. Het resultaat van dit extra veld is dat het probleem dat wordt beschreven door het eerste item in de sectie Probleemoplossing hieronder is opgelost.

    Notitie

    Wat is het verschil tussen gebeurtenissen en waarschuwingen?

    • Een gebeurtenis is een beschrijving van één exemplaar van een actie. Een enkele vermelding in een logboekbestand kan bijvoorbeeld tellen als een gebeurtenis. In deze context verwijst een gebeurtenis naar één resultaat dat wordt geretourneerd door een query in een analyseregel.

    • Een waarschuwing is een verzameling gebeurtenissen die samen van belang zijn vanuit een beveiligingsstandpunt. Een waarschuwing kan één gebeurtenis bevatten als de gebeurtenis aanzienlijke gevolgen heeft voor de beveiliging: bijvoorbeeld een administratieve aanmelding vanuit een vreemd land buiten kantooruren.

    • Trouwens, wat zijn incidenten? Met de interne logica van Microsoft Sentinel worden incidenten gemaakt op basis van waarschuwingen of groepen waarschuwingen. De incidentenwachtrij is het middelpunt van het werk van SOC-analisten: triage, onderzoek en herstel.

    Microsoft Sentinel neemt onbewerkte gebeurtenissen op uit sommige gegevensbronnen en al verwerkte waarschuwingen van anderen. Het is belangrijk om op te merken met welke u op elk gewenst moment te maken hebt.

  • In de sectie Onderdrukking kunt u de query Stoppen met uitvoeren inschakelen nadat de waarschuwing is gegenereerd als u, nadat u een waarschuwing hebt ontvangen, de bewerking van deze regel gedurende een bepaalde periode wilt onderbreken die het queryinterval overschrijdt. Als u dit inschakelt, moet u Stoppen met uitvoeren van query instellen voor de tijdsduur dat de query moet stoppen met uitvoeren, tot 24 uur.

De instellingen voor het maken van incidenten configureren

Op het tabblad Incident Instellingen kunt u kiezen of en hoe Microsoft Sentinel waarschuwingen verandert in bruikbare incidenten. Als dit tabblad alleen wordt gelaten, maakt Microsoft Sentinel één afzonderlijk incident van elke waarschuwing. U kunt ervoor kiezen om geen incidenten te maken of om verschillende waarschuwingen in één incident te groeperen door de instellingen op dit tabblad te wijzigen.

Bijvoorbeeld:

Define the incident creation and alert grouping settings

Incidentinstellingen

In de sectie Incidentinstellingen wordt het maken van incidenten op basis van waarschuwingen die worden geactiveerd door deze analyseregel standaard ingesteld op Ingeschakeld, wat betekent dat Microsoft Sentinel één afzonderlijk incident maakt van elke waarschuwing die wordt geactiveerd door de regel.

  • Als u niet wilt dat deze regel resulteert in het maken van incidenten (bijvoorbeeld als deze regel alleen informatie verzamelt voor latere analyse), stelt u deze in op Uitgeschakeld.

  • Als u één incident wilt maken op basis van een groep waarschuwingen, raadpleegt u de volgende sectie in plaats van één voor elke waarschuwing.

Waarschuwingsgroepering

Als u in de sectie Waarschuwingsgroepering wilt dat één incident wordt gegenereerd vanuit een groep van maximaal 150 vergelijkbare of terugkerende waarschuwingen (zie opmerking), stelt u groepsgerelateerde waarschuwingen in, geactiveerd door deze analyseregel, in incidenten op Ingeschakeld en stelt u de volgende parameters in.

  • Beperk de groep tot waarschuwingen die binnen het geselecteerde tijdsbestek zijn gemaakt: Bepaal het tijdsbestek waarin de vergelijkbare of terugkerende waarschuwingen worden gegroepeerd. Alle bijbehorende waarschuwingen binnen dit tijdsbestek genereren gezamenlijk een incident of een set incidenten (afhankelijk van de onderstaande groeperingsinstellingen). Waarschuwingen buiten dit tijdsbestek genereren een afzonderlijk incident of een set incidenten.

  • Waarschuwingen groeperen die worden geactiveerd door deze analyseregel in één incident door: Kies de basis waarop waarschuwingen worden gegroepeerd:

    Optie Beschrijving
    Waarschuwingen groeperen in één incident als alle entiteiten overeenkomen Waarschuwingen worden gegroepeerd als ze identieke waarden delen voor elk van de toegewezen entiteiten (gedefinieerd op het tabblad Regellogica instellen hierboven). Dit is de aanbevolen instelling.
    Alle waarschuwingen die door deze regel worden geactiveerd, groeperen in één incident Alle waarschuwingen die door deze regel worden gegenereerd, worden gegroepeerd, zelfs als ze geen identieke waarden delen.
    Waarschuwingen groeperen in één incident als de geselecteerde entiteiten en details overeenkomen Waarschuwingen worden gegroepeerd als ze identieke waarden delen voor alle toegewezen entiteiten, waarschuwingsgegevens en aangepaste details die zijn geselecteerd in de desbetreffende vervolgkeuzelijsten.

    U kunt deze instelling gebruiken als u bijvoorbeeld afzonderlijke incidenten wilt maken op basis van de bron- of doel-IP-adressen, of als u waarschuwingen wilt groeperen die overeenkomen met een specifieke entiteit en ernst.

    Opmerking: Wanneer u deze optie selecteert, moet u ten minste één entiteitstype of -veld hebben geselecteerd voor de regel. Anders mislukt de validatie van de regel en wordt de regel niet gemaakt.
  • Gesloten overeenkomende incidenten opnieuw openen: als een incident is opgelost en gesloten en later een andere waarschuwing wordt gegenereerd die tot dat incident moet behoren, stelt u deze instelling in op Ingeschakeld als u wilt dat het gesloten incident opnieuw wordt geopend en laat u uitgeschakeld als u wilt dat de waarschuwing een nieuw incident maakt.

    Notitie

    Maximaal 150 waarschuwingen kunnen worden gegroepeerd in één incident. Als er meer dan 150 waarschuwingen worden gegenereerd door een regel die deze groepeert in één incident, wordt er een nieuw incident gegenereerd met dezelfde incidentdetails als het origineel en worden de overtollige waarschuwingen gegroepeerd in het nieuwe incident.

Geautomatiseerde antwoorden instellen en de regel maken

  1. Op het tabblad Geautomatiseerde antwoorden kunt u automatisering instellen op basis van de waarschuwing of waarschuwingen die door deze analyseregel worden gegenereerd, of op basis van het incident dat door de waarschuwingen is gemaakt.

    • Voor automatisering op basis van waarschuwingen selecteert u in de vervolgkeuzelijst onder Waarschuwingsautomatisering alle playbooks die u automatisch wilt uitvoeren wanneer er een waarschuwing wordt gegenereerd.

    • Voor automatisering op basis van incidenten toont het raster onder Incidentautomatisering de automatiseringsregels die al van toepassing zijn op deze analyseregel (vanwege de voorwaarden die in deze regels zijn gedefinieerd). U kunt een van deze bewerkingen bewerken door het beletselteken aan het einde van elke rij te selecteren. U kunt ook een nieuwe automatiseringsregel maken.

      U kunt playbooks (die op basis van de incidenttrigger) aanroepen vanuit deze automatiseringsregels, evenals het automatiseren van triage, toewijzing en afsluiten.

    • Zie Bedreigingsreacties automatiseren voor meer informatie en instructies over het maken van playbooks en automatiseringsregels.

    • Zie Triggers en acties gebruiken in Microsoft Sentinel-playbooks voor meer informatie over het gebruik van de waarschuwingstrigger of de incidenttrigger.

    Define the automated response settings

  2. Selecteer Controleren en maken om alle instellingen voor uw nieuwe waarschuwingsregel te controleren. Wanneer het bericht Validatie geslaagd wordt weergegeven, selecteert u Maken om de waarschuwingsregel te initialiseren.

    Review all settings and create the rule

De regel en de uitvoer ervan weergeven

  • U vindt de zojuist gemaakte aangepaste regel (van het type 'Gepland') in de tabel onder het tabblad Actieve regels op het hoofdscherm van Analytics . In deze lijst kunt u elke regel in- of uitschakelen of verwijderen.

  • Als u de resultaten van de waarschuwingsregels wilt bekijken die u maakt, gaat u naar de pagina Incidenten , waar u incidenten kunt sorteren, onderzoeken en de bedreigingen kunt oplossen.

  • U kunt de regelquery bijwerken om fout-positieven uit te sluiten. Zie Fout-positieven afhandelen in Microsoft Sentinel voor meer informatie.

Notitie

Waarschuwingen die in Microsoft Sentinel worden gegenereerd, zijn beschikbaar via Microsoft Graph Security. Zie de documentatie voor Microsoft Graph Beveiligingswaarschuwingen voor meer informatie.

De regel exporteren naar een ARM-sjabloon

Als u de regel wilt verpakken om te worden beheerd en geïmplementeerd als code, kunt u de regel eenvoudig exporteren naar een ARM-sjabloon (Azure Resource Manager). U kunt regels ook importeren uit sjabloonbestanden om ze in de gebruikersinterface weer te geven en te bewerken.

Problemen oplossen

Probleem: er worden geen gebeurtenissen weergegeven in queryresultaten

Wanneer gebeurtenisgroepering is ingesteld om een waarschuwing voor elke gebeurtenis te activeren, lijken queryresultaten die op een later tijdstip worden weergegeven, te ontbreken of anders dan verwacht. U kunt bijvoorbeeld de resultaten van een query op een later tijdstip bekijken wanneer u terug hebt gestemd naar de resultaten van een gerelateerd incident.

  • Resultaten worden automatisch opgeslagen met de waarschuwingen. Als de resultaten echter te groot zijn, worden er geen resultaten opgeslagen en worden er geen gegevens weergegeven wanneer de queryresultaten opnieuw worden weergegeven.
  • In gevallen waarin de opnamevertraging is of de query niet deterministisch is vanwege aggregatie, kan het resultaat van de waarschuwing afwijken van het resultaat dat wordt weergegeven door de query handmatig uit te voeren.

Notitie

Dit probleem is opgelost door het toevoegen van een nieuw veld, OriginalQuery, aan de resultaten wanneer deze optie voor het groeperen van gebeurtenissen is geselecteerd. Zie de bovenstaande beschrijving .

Probleem: een geplande regel kan niet worden uitgevoerd of wordt weergegeven met AUTOMATISCH UITGESCHAKELD toegevoegd aan de naam

Het is een zeldzame gebeurtenis dat een geplande queryregel niet kan worden uitgevoerd, maar dit kan gebeuren. Microsoft Sentinel classificeert fouten vooraf als tijdelijk of permanent, op basis van het specifieke type van de fout en de omstandigheden die ertoe hebben geleid.

Tijdelijke fout

Een tijdelijke fout treedt op als gevolg van een omstandigheid die tijdelijk is en binnenkort weer normaal wordt, waarna de uitvoering van de regel zal slagen. Enkele voorbeelden van fouten die Microsoft Sentinel classificeert als tijdelijk zijn:

  • Het duurt te lang om een regelquery uit te voeren en een time-out uit te voeren.
  • Connectiviteitsproblemen tussen gegevensbronnen en Log Analytics, of tussen Log Analytics en Microsoft Sentinel.
  • Andere nieuwe en onbekende fouten worden beschouwd als tijdelijk.

In het geval van een tijdelijke fout probeert Microsoft Sentinel de regel opnieuw uit te voeren na vooraf vastgestelde en steeds toenemende intervallen tot een punt. Daarna wordt de regel alleen opnieuw uitgevoerd op de volgende geplande tijd. Een regel wordt nooit automatisch uitgeschakeld vanwege een tijdelijke fout.

Permanente fout : regel automatisch uitgeschakeld

Er treedt een permanente fout op als gevolg van een wijziging in de voorwaarden waarmee de regel kan worden uitgevoerd, die zonder menselijke tussenkomst niet terugkeert naar hun voormalige status. Hier volgen enkele voorbeelden van fouten die als permanent worden geclassificeerd:

  • De doelwerkruimte (waarop de regelquery wordt uitgevoerd) is verwijderd.
  • De doeltabel (waarop de regelquery wordt uitgevoerd) is verwijderd.
  • Microsoft Sentinel is verwijderd uit de doelwerkruimte.
  • Een functie die door de regelquery wordt gebruikt, is niet meer geldig; deze is gewijzigd of verwijderd.
  • Machtigingen voor een van de gegevensbronnen van de regelquery zijn gewijzigd.
  • Een van de gegevensbronnen van de regelquery is verwijderd of verbroken.

In het geval van een vooraf bepaald aantal opeenvolgende permanente fouten, van hetzelfde type en van dezelfde regel, Microsoft Sentinel stopt met het uitvoeren van de regel en voert ook de volgende stappen uit:

  • Hiermee wordt de regel uitgeschakeld.
  • Hiermee voegt u de woorden 'AUTO DISABLED' toe aan het begin van de naam van de regel.
  • Voegt de reden voor de fout (en het uitschakelen) toe aan de beschrijving van de regel.

U kunt eenvoudig de aanwezigheid van automatisch uitgeschakelde regels bepalen door de lijst met regels op naam te sorteren. De regels die automatisch zijn uitgeschakeld, staan boven aan de lijst.

SOC-managers moeten ervoor zorgen dat u de lijst met regels regelmatig controleert op de aanwezigheid van automatisch uitgeschakelde regels.

Volgende stappen

Wanneer u analyseregels gebruikt om bedreigingen van Microsoft Sentinel te detecteren, moet u ervoor zorgen dat u alle regels inschakelt die zijn gekoppeld aan uw verbonden gegevensbronnen om volledige beveiligingsdekking voor uw omgeving te garanderen. De meest efficiënte manier om analyseregels in te schakelen, is rechtstreeks vanaf de pagina gegevensconnector, waarin alle gerelateerde regels worden vermeld. Zie Verbinding maken gegevensbronnen voor meer informatie.

U kunt regels ook pushen naar Microsoft Sentinel via API en PowerShell, hoewel hiervoor extra moeite is vereist. Wanneer u API of PowerShell gebruikt, moet u eerst de regels exporteren naar JSON voordat u de regels inschakelt. API of PowerShell kan handig zijn bij het inschakelen van regels in meerdere exemplaren van Microsoft Sentinel met identieke instellingen in elk exemplaar.

Zie voor meer informatie:

Zie voor meer informatie:

Leer ook van een voorbeeld van het gebruik van aangepaste analyseregels bij het bewaken van Zoom met een aangepaste connector.