Geplande analyseregels maken op sjablonen

• Van toepassing op:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Geplande regels zijn verreweg het meest voorkomende type analyseregel gebaseerd op Kusto-query's die zijn geconfigureerd om regelmatig te worden uitgevoerd en onbewerkte gegevens te onderzoeken uit een gedefinieerde 'lookback'-periode. Deze query's kunnen complexe statistische bewerkingen uitvoeren op hun doelgegevens, waarbij basislijnen en uitbijters in groepen gebeurtenissen worden weergegeven. Als het aantal resultaten dat is vastgelegd door de query de drempelwaarde doorgeeft die in de regel is geconfigureerd, genereert de regel een waarschuwing.

Microsoft maakt een breed scala aan analyseregelsjablonen beschikbaar voor u via de vele oplossingen die worden geleverd in de Content Hub en moedigt u sterk aan deze te gebruiken om uw regels te maken. De query's in geplande regelsjablonen worden geschreven door beveiligings- en data science-experts, hetzij van Microsoft of van de leverancier van de oplossing die de sjabloon levert.

In dit artikel leest u hoe u een geplande analyseregel maakt met behulp van een sjabloon.

Belangrijk

Microsoft Sentinel is beschikbaar als onderdeel van het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Microsoft Sentinel in de Defender-portal wordt nu ondersteund voor productiegebruik. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Bestaande analyseregels weergeven

Als u de geïnstalleerde analyseregels in Microsoft Sentinel wilt weergeven, gaat u naar de pagina Analytics . Op het tabblad Regelsjablonen worden alle geïnstalleerde regelsjablonen weergegeven. Als u meer regelsjablonen wilt vinden, gaat u naar de Inhoudshub in Microsoft Sentinel om de gerelateerde productoplossingen of zelfstandige inhoud te installeren.

Azure-portal

1. Selecteer Analytics in de sectie Configuratie van het navigatiemenu van Microsoft Sentinel.

2. Selecteer in het scherm Analyse het tabblad Regelsjablonen .

3. Als u de lijst wilt filteren op geplande sjablonen:

   1. Selecteer Filter toevoegen en kies Regeltype in de lijst met filters.

   2. Selecteer Gepland in de resulterende lijst. Selecteer vervolgens Toepassen.

   

Defender-portal

1. Vouw In het navigatiemenu van Microsoft Defender Microsoft Sentinel en vervolgens Configuratie uit. Selecteer Analyses.

2. Selecteer in het scherm Analyse het tabblad Regelsjablonen .

3. Als u de lijst wilt filteren op geplande sjablonen:

   1. Selecteer Filter toevoegen en kies Regeltype in de lijst met filters.

   2. Selecteer Gepland in de resulterende lijst. Selecteer vervolgens Toepassen.

   

Een regel maken op basis van een sjabloon

In deze procedure wordt beschreven hoe u een analyseregel maakt op basis van een sjabloon.

Azure-portal

Selecteer Analytics in de sectie Configuratie van het navigatiemenu van Microsoft Sentinel.

Defender-portal

Vouw In het navigatiemenu van Microsoft Defender Microsoft Sentinel en vervolgens Configuratie uit. Selecteer Analyses.

1. Selecteer in het scherm Analyse het tabblad Regelsjablonen .

2. Selecteer een sjabloonnaam en selecteer vervolgens de knop Regel maken in het detailvenster om een nieuwe actieve regel te maken op basis van die sjabloon.

   Elke sjabloon bevat een lijst met vereiste gegevensbronnen. Wanneer u de sjabloon opent, worden de gegevensbronnen automatisch gecontroleerd op beschikbaarheid. Als een gegevensbron niet is ingeschakeld, is de knop Regel maken mogelijk uitgeschakeld of ziet u mogelijk een bericht voor dat effect.

   

3. De wizard Voor het maken van regels wordt geopend. Alle details worden automatisch ingevuld.

4. Blader door de tabbladen van de wizard, waarbij u waar mogelijk de logica en andere regelinstellingen kunt aanpassen aan uw specifieke behoeften.

   Wanneer u het einde van de wizard voor het maken van regels hebt geopend, maakt Microsoft Sentinel de regel. De nieuwe regel wordt weergegeven op het tabblad Actieve regels .

   Herhaal het proces om meer regels te maken. Zie Een volledig nieuwe analyseregel maken voor meer informatie over het aanpassen van uw regels in de wizard voor het maken van regels.

Tip

• Zorg ervoor dat u alle regels inschakelt die zijn gekoppeld aan uw verbonden gegevensbronnen om een volledige beveiligingsdekking voor uw omgeving te garanderen. De meest efficiënte manier om analyseregels in te schakelen, is rechtstreeks vanaf de pagina gegevensconnector, waarin alle gerelateerde regels worden vermeld. Zie Verbinding maken gegevensbronnen voor meer informatie.

• U kunt ook regels pushen naar Microsoft Sentinel via API en PowerShell, maar hiervoor is extra inspanning vereist.

  Wanneer u API of PowerShell gebruikt, moet u eerst de regels exporteren naar JSON voordat u de regels inschakelt. API of PowerShell kan handig zijn bij het inschakelen van regels in meerdere exemplaren van Microsoft Sentinel met identieke instellingen in elk exemplaar.

Volgende stappen

In dit document hebt u geleerd hoe u geplande analyseregels maakt op basis van sjablonen in Microsoft Sentinel.

• Meer informatie over analyseregels.
• Meer informatie over het maken van een volledig nieuwe analyseregel.