Aangepaste regels maken voor het detecteren van bedreigingen

Nadat u uw gegevensbronnen hebt verbonden met Microsoft Sentinel, maakt u aangepaste analyseregels om bedreigingen en afwijkend gedrag in uw omgeving te detecteren.

Analyseregels zoeken naar specifieke gebeurtenissen of sets gebeurtenissen in uw omgeving, waarschuwen u wanneer bepaalde drempelwaarden of voorwaarden voor gebeurtenissen worden bereikt, genereren incidenten voor uw SOC om te sorteren en te onderzoeken en te reageren op bedreigingen met geautomatiseerde tracerings- en herstelprocessen.

Tip

Gebruik bij het maken van aangepaste regels bestaande regels als sjablonen of verwijzingen. Het gebruik van bestaande regels als basislijn helpt door de meeste logica uit te bouwen voordat u de benodigde wijzigingen aanbrengt.

  • Analyseregels maken
  • Definiëren hoe gebeurtenissen en waarschuwingen worden verwerkt
  • Definiëren hoe waarschuwingen en incidenten worden gegenereerd
  • Geautomatiseerde bedreigingsreacties voor uw regels kiezen

Een aangepaste analyseregel maken met een geplande query

  1. Selecteer Analyse in het navigatiemenu van Microsoft Sentinel.

  2. Selecteer +Maken in de actiebalk bovenaan en selecteer Geplande queryregel. Hiermee opent u de wizard Analyseregel.

    Geplande query maken

Wizard Analyseregel: tabblad Algemeen

  • Geef een unieke naam en een beschrijving op.

  • In het veld Tactieken en technieken kunt u kiezen uit aanvalscategorieën waarmee u de regel wilt classificeren. Deze zijn gebaseerd op de tactieken en technieken van het MITRE ATT&CK-framework .

    Incidenten die zijn gemaakt op basis van waarschuwingen die worden gedetecteerd door regels die zijn toegewezen aan MITRE ATT&CK-tactieken en -technieken, nemen automatisch de toewijzing van de regel over.

  • Stel de ernst van de waarschuwing zo nodig in.

  • Wanneer u de regel maakt, is de status standaard Ingeschakeld , wat betekent dat deze onmiddellijk wordt uitgevoerd nadat u klaar bent met het maken van de regel. Als u niet wilt dat de regel onmiddellijk wordt uitgevoerd, selecteert u Uitgeschakeld. De regel wordt toegevoegd aan het tabblad Actieve regels en u kunt deze van daaruit inschakelen wanneer u deze nodig hebt.

    Beginnen met het maken van een aangepaste analyseregel

De regelquerylogica definiëren en instellingen configureren

Op het tabblad Regellogica instellen kunt u een query rechtstreeks schrijven in het veld Regelquery of de query maken in Log Analytics en deze vervolgens hier kopiëren en plakken.

  • Query's worden geschreven in de Kusto-querytaal (KQL). Meer informatie over KQL-concepten en -query's en bekijk deze handige snelzoekgids.

  • In het voorbeeld in deze schermopname wordt een query uitgevoerd op de tabel SecurityEvent om een type mislukte Windows-aanmeldingsgebeurtenissen weer te geven.

    Logica en instellingen voor queryregels configureren

  • Hier volgt nog een voorbeeldquery, een query die u waarschuwt wanneer er een afwijkend aantal resources wordt gemaakt in Azure-activiteit.

    AzureActivity
    | where OperationName == "Create or Update Virtual Machine" or OperationName =="Create Deployment"
    | where ActivityStatus == "Succeeded"
    | make-series dcount(ResourceId)  default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller
    

    Belangrijk

    Het is raadzaam dat uw query gebruikmaakt van een ASIM-parser (Advanced Security Information Model) en geen systeemeigen tabel. Dit zorgt ervoor dat de query elke huidige of toekomstige relevante gegevensbron ondersteunt in plaats van één gegevensbron.

    Notitie

    Best practices voor regelquery's:

    • De querylengte moet tussen 1 en 10.000 tekens lang zijn en mag niet 'search *' of 'union *' bevatten. U kunt door de gebruiker gedefinieerde functies gebruiken om de beperking van de querylengte te verhelpen.

    • Het gebruik van ADX-functies om Azure Data Explorer-query's te maken in het Log Analytics-queryvenster wordt niet ondersteund.

    • Wanneer u de bag_unpack functie in een query gebruikt en u de kolommen projecteert als velden met behulp van 'project field1' en de kolom niet bestaat, mislukt de query. Als u dit wilt voorkomen, moet u de kolom als volgt projecteren :

      • project field1 = column_ifexists("field1","")

Waarschuwingsverrijking

  • Gebruik de sectie Entiteitstoewijzingsconfiguratie om parameters uit uw queryresultaten toe te wijzen aan door Microsoft Sentinel herkende entiteiten. Entiteiten verrijken de uitvoer van de regels (waarschuwingen en incidenten) met essentiële informatie die fungeert als de bouwstenen van alle onderzoeksprocessen en herstelacties die volgen. Ze zijn ook de criteria op basis waarvan u waarschuwingen kunt groeperen in incidenten op het tabblad Incidentinstellingen .

    Meer informatie over entiteiten in Microsoft Sentinel.

    Zie Gegevensvelden toewijzen aan entiteiten in Microsoft Sentinel voor volledige instructies voor entiteitstoewijzing, samen met belangrijke informatie over beperkingen en achterwaartse compatibiliteit.

  • Gebruik de sectie Configuratie van aangepaste details om gebeurtenisgegevensitems uit uw query te extraheren en deze weer te geven in de waarschuwingen die door deze regel worden gegenereerd, zodat u direct inzicht krijgt in de inhoud van uw waarschuwingen en incidenten.

    Meer informatie over het weergeven van aangepaste details in waarschuwingen en bekijk de volledige instructies.

  • Gebruik de sectie Configuratie van waarschuwingsgegevens om standaardwaarden van de eigenschappen van de waarschuwing te overschrijven met details uit de onderliggende queryresultaten. Met waarschuwingsdetails kunt u bijvoorbeeld het IP-adres of de accountnaam van een aanvaller weergeven in de titel van de waarschuwing zelf, zodat deze wordt weergegeven in de wachtrij voor incidenten, zodat u een veel uitgebreider en duidelijker beeld krijgt van uw bedreigingslandschap.

    Zie de volledige instructies voor het aanpassen van uw waarschuwingsgegevens.

Notitie

De groottelimiet voor een hele waarschuwing is 64 kB.

  • Waarschuwingen die groter worden dan 64 kB, worden afgekapt. Wanneer entiteiten worden geïdentificeerd, worden ze één voor één toegevoegd aan de waarschuwing totdat de grootte van de waarschuwing 64 KB bereikt en alle resterende entiteiten uit de waarschuwing worden verwijderd.

  • De andere waarschuwingsverrijkingen dragen ook bij aan de grootte van de waarschuwing.

  • Als u de grootte van de waarschuwing wilt verkleinen, gebruikt u de project-away operator in uw query om overbodige velden te verwijderen. (Overweeg ook de project operator als er slechts een paar velden zijn die u hoeft te behouden.)

Queryplanning en waarschuwingsdrempel

  • Stel in de sectie Queryplanning de volgende parameters in:

    Queryplanning en gebeurtenisgroepering instellen

    • Stel Query uitvoeren elke in om te bepalen hoe vaak de query wordt uitgevoerd, zo vaak als elke 5 minuten of zo zelden als eens in de 14 dagen.

    • Stel Opzoekgegevens van de laatste in om de periode te bepalen van de gegevens waarop de query betrekking heeft. Zo kan er bijvoorbeeld een query worden uitgevoerd op de afgelopen 10 minuten aan gegevens of op de afgelopen 6 uur aan gegevens. Het maximum is 14 dagen.

    • Voor de nieuwe instelling Starten met uitvoeren (in preview):

      • Laat deze ingesteld op Automatisch om door te gaan met het oorspronkelijke gedrag: de regel wordt voor het eerst uitgevoerd onmiddellijk na het maken en daarna met het interval dat is ingesteld in de instelling Query uitvoeren .

      • Zet de schakeloptie op Op een bepaald tijdstip als u wilt bepalen wanneer de regel voor het eerst wordt uitgevoerd, in plaats van dat deze onmiddellijk wordt uitgevoerd. Kies vervolgens de datum met behulp van de agendakiezer en voer de tijd in de indeling van het weergegeven voorbeeld in.

        Schermopname van wisselknop en instellingen voor geavanceerde planning.

        Toekomstige uitvoeringen van de regel vinden plaats met het opgegeven interval na de eerste uitvoering.

      De tekstregel onder de instelling Start running (met het informatiepictogram aan de linkerkant) geeft een overzicht van de huidige instellingen voor queryplanning en lookback.

      Notitie

      Query-intervallen en terugblikperiode

      Deze twee instellingen zijn tot op zekere hoogte onafhankelijk van elkaar. U kunt een query uitvoeren met een kort interval met een periode die langer is dan het interval (in feite overlappende query's), maar u kunt een query niet uitvoeren met een interval dat de dekkingsperiode overschrijdt, anders hebt u hiaten in de algehele querydekking.

      Opnamevertraging

      Om rekening te houden met de latentie die kan optreden tussen het genereren van een gebeurtenis bij de bron en de opname ervan in Microsoft Sentinel, en om volledige dekking zonder gegevensduplicatie te garanderen, voert Microsoft Sentinel geplande analyseregels uit met een vertraging van vijf minuten vanaf het geplande tijdstip.

      Zie Opnamevertraging in geplande analyseregels verwerken voor meer informatie.

  • Gebruik de sectie Drempelwaarde voor waarschuwingen om het gevoeligheidsniveau van de regel te definiëren. Stel bijvoorbeeld Waarschuwing genereren wanneer aantal queryresultaten in op Is groter dan en voer het getal 1000 in als u wilt dat de regel alleen een waarschuwing genereert als de query meer dan 1000 resultaten retourneert telkens wanneer deze wordt uitgevoerd. Dit is een verplicht veld, dus als u geen drempelwaarde wilt instellen, dat wil gezegd, als u wilt dat uw waarschuwing elke gebeurtenis registreert, voert u 0 in het numerieke veld in.

Simulatie van resultaten

Selecteer in het gebied Resultatensimulatie aan de rechterkant van de wizard de optie Testen met huidige gegevens . Microsoft Sentinel toont u een grafiek van de resultaten (logboekgebeurtenissen) die de query zou hebben gegenereerd gedurende de laatste 50 keer dat de query zou zijn uitgevoerd, volgens het momenteel gedefinieerde schema. Als u de query wijzigt, selecteert u Opnieuw Testen met huidige gegevens om de grafiek bij te werken. De grafiek toont het aantal resultaten gedurende de gedefinieerde periode, die wordt bepaald door de instellingen in de sectie Queryplanning .

Hier ziet u hoe de resultatensimulatie eruit kan zien voor de query in de bovenstaande schermopname. De linkerkant is de standaardweergave en de rechterkant is wat u ziet wanneer u de muisaanwijzer op een bepaald tijdstip in de grafiek plaatst.

Schermopnamen van resultatensimulatie

Als u ziet dat uw query te veel of te frequente waarschuwingen activeert, kunt u experimenteren met de instellingen in de secties Queryplanning en Waarschuwingsdrempel en opnieuw Testen met huidige gegevens selecteren.

Gebeurtenisgroepering en regelonderdrukking

  • Kies onder Gebeurtenisgroepering een van de twee manieren om het groeperen van gebeurtenissen in waarschuwingen af te handelen:

    • Groepeer alle gebeurtenissen in één waarschuwing (de standaardinstelling). De regel genereert één waarschuwing telkens wanneer deze wordt uitgevoerd, zolang de query meer resultaten retourneert dan de opgegeven waarschuwingsdrempelwaarde hierboven. De waarschuwing bevat een samenvatting van alle gebeurtenissen die in de resultaten worden geretourneerd.

    • Een waarschuwing voor elke gebeurtenis activeren. De regel genereert een unieke waarschuwing voor elke gebeurtenis die door de query wordt geretourneerd. Dit is handig als u wilt dat gebeurtenissen afzonderlijk worden weergegeven of als u ze wilt groeperen op bepaalde parameters: op gebruiker, hostnaam of iets anders. U kunt deze parameters definiëren in de query.

      Momenteel is het aantal waarschuwingen dat een regel kan genereren, beperkt tot 150. Als in een bepaalde regel gebeurtenisgroepering is ingesteld op Een waarschuwing activeren voor elke gebeurtenis en de query van de regel meer dan 150 gebeurtenissen retourneert, genereert elk van de eerste 149 gebeurtenissen een unieke waarschuwing en geeft de 150e waarschuwing een overzicht van de volledige set geretourneerde gebeurtenissen. Met andere woorden, de 150e waarschuwing is wat zou zijn gegenereerd onder de optie Alle gebeurtenissen groeperen in één waarschuwing .

      Als u deze optie kiest, voegt Microsoft Sentinel een nieuw veld , OriginalQuery, toe aan de resultaten van de query. Hier volgt een vergelijking van het bestaande queryveld en het nieuwe veld:

      Veldnaam Contains De query in dit veld uitvoeren
      resulteert in...
      Query De gecomprimeerde record van de gebeurtenis die dit exemplaar van de waarschuwing heeft gegenereerd De gebeurtenis die dit exemplaar van de waarschuwing heeft gegenereerd
      OriginalQuery De oorspronkelijke query zoals geschreven in de analyseregel De meest recente gebeurtenis in het tijdsbestek waarin de query wordt uitgevoerd, die past bij de parameters die door de query zijn gedefinieerd

      Met andere woorden, het veld OriginalQuery gedraagt zich zoals het veld Query zich meestal gedraagt. Het resultaat van dit extra veld is dat het probleem dat wordt beschreven door het eerste item in de sectie Probleemoplossing hieronder is opgelost.

    Notitie

    Wat is het verschil tussen gebeurtenissen en waarschuwingen?

    • Een gebeurtenis is een beschrijving van één exemplaar van een actie. Eén vermelding in een logboekbestand kan bijvoorbeeld worden geteld als een gebeurtenis. In deze context verwijst een gebeurtenis naar één resultaat dat wordt geretourneerd door een query in een analyseregel.

    • Een waarschuwing is een verzameling gebeurtenissen die samen belangrijk zijn vanuit het oogpunt van beveiliging. Een waarschuwing kan één gebeurtenis bevatten als de gebeurtenis aanzienlijke gevolgen heeft voor de beveiliging, bijvoorbeeld een administratieve aanmelding vanuit een vreemd land buiten kantooruren.

    • Trouwens, wat zijn incidenten? De interne logica van Microsoft Sentinel maakt incidenten op basis van waarschuwingen of groepen waarschuwingen. De incidentenwachtrij is het middelpunt van het werk van SOC-analisten: triage, onderzoek en herstel.

    Microsoft Sentinel neemt onbewerkte gebeurtenissen op uit sommige gegevensbronnen en al verwerkte waarschuwingen van andere. Het is belangrijk om op elk gewenst moment te weten met welke u te maken hebt.

  • In de sectie Onderdrukking kunt u de instellingUitvoeren van query stoppen nadat de waarschuwing is gegenereerd aan zetten als u, zodra u een waarschuwing ontvangt, de werking van deze regel wilt onderbreken voor een periode die het queryinterval overschrijdt. Als u dit inschakelt, moet u De uitvoering van query stoppen voor instellen op de tijdsduur dat de query niet meer wordt uitgevoerd, tot 24 uur.

De instellingen voor het maken van incidenten configureren

Op het tabblad Incidentinstellingen kunt u kiezen of en hoe Microsoft Sentinel waarschuwingen omzet in incidenten waarop actie kan worden ondernomen. Als dit tabblad alleen wordt gelaten, maakt Microsoft Sentinel één afzonderlijk incident van elke waarschuwing. U kunt ervoor kiezen om geen incidenten te laten maken of om meerdere waarschuwingen in één incident te groeperen door de instellingen op dit tabblad te wijzigen.

Bijvoorbeeld:

De instellingen voor het maken van incidenten en het groeperen van waarschuwingen definiëren

Incidentinstellingen

In de sectie Incidentinstellingen is Incidenten maken op basis van waarschuwingen die worden geactiveerd door deze analyseregel standaard ingesteld op Ingeschakeld, wat betekent dat Microsoft Sentinel één afzonderlijk incident maakt van elke waarschuwing die door de regel wordt geactiveerd.

  • Als u niet wilt dat deze regel ertoe leidt dat er incidenten worden gemaakt (bijvoorbeeld als deze regel alleen bedoeld is om informatie te verzamelen voor een volgende analyse), stelt u deze in op Uitgeschakeld.

  • Als u één incident wilt maken op basis van een groep waarschuwingen, in plaats van één voor elke afzonderlijke waarschuwing, raadpleegt u de volgende sectie.

Waarschuwingsgroepering

Als u in de sectie Waarschuwingsgroepering één incident wilt genereren op basis van een groep van maximaal 150 vergelijkbare of terugkerende waarschuwingen (zie opmerking), stelt u Groepsgerelateerde waarschuwingen, geactiveerd door deze analyseregel, in op Ingeschakeld en stelt u de volgende parameters in.

  • De groep beperken tot waarschuwingen die binnen het geselecteerde tijdsbestek zijn gemaakt: bepaal het tijdsbestek waarin de vergelijkbare of terugkerende waarschuwingen worden gegroepeerd. Alle bijbehorende waarschuwingen binnen dit tijdsbestek genereren gezamenlijk een incident of een set incidenten (afhankelijk van de onderstaande groeperingsinstellingen). Waarschuwingen buiten dit tijdsbestek genereren een afzonderlijk incident of een afzonderlijke set incidenten.

  • Waarschuwingen die door deze analyseregel worden geactiveerd, groeperen in één incident door: kies de basis waarop waarschuwingen worden gegroepeerd:

    Optie Beschrijving
    Waarschuwingen groepeer in één incident als alle entiteiten overeenkomen Waarschuwingen worden gegroepeerd als ze identieke waarden delen voor elk van de toegewezen entiteiten (gedefinieerd op het tabblad Regellogica instellen hierboven). Dit is de aanbevolen instelling.
    Alle waarschuwingen die door deze regel worden geactiveerd, groeperen in één incident Alle waarschuwingen die door deze regel worden gegenereerd, worden gegroepeerd, zelfs als ze geen identieke waarden delen.
    Waarschuwingen groepeer in één incident als de geselecteerde entiteiten en details overeenkomen Waarschuwingen worden gegroepeerd als ze identieke waarden delen voor alle toegewezen entiteiten, waarschuwingsdetails en aangepaste details die zijn geselecteerd in de respectieve vervolgkeuzelijsten.

    U kunt deze instelling gebruiken als u bijvoorbeeld afzonderlijke incidenten wilt maken op basis van de bron- of doel-IP-adressen, of als u waarschuwingen wilt groepeert die overeenkomen met een specifieke entiteit en ernst.

    Opmerking: wanneer u deze optie selecteert, moet u ten minste één entiteitstype of veld hebben geselecteerd voor de regel. Anders mislukt de regelvalidatie en wordt de regel niet gemaakt.
  • Gesloten overeenkomende incidenten opnieuw openen: als een incident is opgelost en gesloten en er later een andere waarschuwing wordt gegenereerd die bij dat incident hoort, stelt u deze instelling in op Ingeschakeld als u het gesloten incident opnieuw wilt openen en laat u uitgeschakeld staan als u wilt dat de waarschuwing een nieuw incident maakt.

    Notitie

    Er kunnen maximaal 150 waarschuwingen worden gegroepeerd in één incident. Als er meer dan 150 waarschuwingen worden gegenereerd door een regel die ze in één incident groepeert, wordt er een nieuw incident gegenereerd met dezelfde incidentdetails als het origineel en worden de overtollige waarschuwingen gegroepeerd in het nieuwe incident.

Automatische antwoorden instellen en de regel maken

  1. Op het tabblad Geautomatiseerde antwoorden kunt u automatisering instellen op basis van de waarschuwing of waarschuwingen die door deze analyseregel worden gegenereerd, of op basis van het incident dat door de waarschuwingen is gemaakt.

    • Voor automatisering op basis van waarschuwingen selecteert u in de vervolgkeuzelijst onder Automatisering van waarschuwingen alle playbooks die u automatisch wilt uitvoeren wanneer een waarschuwing wordt gegenereerd.

    • Voor automatisering op basis van incidenten toont het raster dat wordt weergegeven onder Incidentautomatisering de automatiseringsregels die al van toepassing zijn op deze analyseregel (omdat deze voldoet aan de voorwaarden die in deze regels zijn gedefinieerd). U kunt deze bewerken door het beletselteken aan het einde van elke rij te selecteren. U kunt ook een nieuwe automatiseringsregel maken.

      U kunt playbooks aanroepen (die zijn gebaseerd op de incidenttrigger) vanuit deze automatiseringsregels en ook de sortering, toewijzing en afsluiting automatiseren.

    • Zie Reacties op bedreigingen automatiseren voor meer informatie en instructies voor het maken van playbooks en automatiseringsregels.

    • Zie Triggers en acties gebruiken in Microsoft Sentinel-playbooks voor meer informatie over het gebruik van de waarschuwingstrigger of de incidenttrigger.

    De instellingen voor geautomatiseerde antwoorden definiëren

  2. Selecteer Controleren en maken om alle instellingen voor uw nieuwe analyseregel te controleren. Wanneer het bericht Validatie is geslaagd wordt weergegeven, selecteert u Maken.

    Alle instellingen controleren en de regel maken

De regel en de uitvoer ervan weergeven

  • U vindt de zojuist gemaakte aangepaste regel (van het type 'Gepland') in de tabel op het tabblad Actieve regels in het hoofdscherm Analyse . In deze lijst kunt u elke regel inschakelen, uitschakelen of verwijderen.

  • Als u de resultaten wilt bekijken van de analyseregels die u maakt, gaat u naar de pagina Incidenten , waar u incidenten kunt sorteren, onderzoeken en de bedreigingen kunt oplossen.

  • U kunt de regelquery bijwerken om fout-positieven uit te sluiten. Zie Fout-positieven verwerken in Microsoft Sentinel voor meer informatie.

Notitie

Waarschuwingen die in Microsoft Sentinel worden gegenereerd, zijn beschikbaar via Microsoft Graph Security. Zie de documentatie voor Microsoft Graph Security-waarschuwingen voor meer informatie.

De regel exporteren naar een ARM-sjabloon

Als u uw regel wilt verpakken om te worden beheerd en geïmplementeerd als code, kunt u de regel eenvoudig exporteren naar een ARM-sjabloon (Azure Resource Manager). U kunt ook regels importeren uit sjabloonbestanden om ze in de gebruikersinterface weer te geven en te bewerken.

Problemen oplossen

Probleem: er worden geen gebeurtenissen weergegeven in queryresultaten

Wanneer gebeurtenisgroepering is ingesteld op het activeren van een waarschuwing voor elke gebeurtenis, lijken queryresultaten die op een later tijdstip worden bekeken, mogelijk te ontbreken of anders dan verwacht. U kunt bijvoorbeeld de resultaten van een query op een later tijdstip bekijken wanneer u teruggestemd bent naar de resultaten van een gerelateerd incident.

  • Resultaten worden automatisch opgeslagen met de waarschuwingen. Als de resultaten echter te groot zijn, worden er geen resultaten opgeslagen en worden er geen gegevens weergegeven wanneer de queryresultaten opnieuw worden weergegeven.
  • In gevallen waarin er sprake is van een opnamevertraging of waarin de query niet deterministisch is vanwege aggregatie, kan het resultaat van de waarschuwing afwijken van het resultaat dat wordt weergegeven door de query handmatig uit te voeren.

Notitie

Dit probleem is opgelost door het toevoegen van een nieuw veld, OriginalQuery, aan de resultaten wanneer deze optie voor het groeperen van gebeurtenissen is geselecteerd. Zie de bovenstaande beschrijving .

Probleem: een geplande regel kan niet worden uitgevoerd of wordt weergegeven met AUTOMATISCH UITGESCHAKELD toegevoegd aan de naam

Het komt zelden voor dat een geplande queryregel niet kan worden uitgevoerd, maar dit kan gebeuren. Microsoft Sentinel classificeert fouten vooraf als tijdelijk of permanent, op basis van het specifieke type van de fout en de omstandigheden die ertoe hebben geleid.

Tijdelijke fout

Een tijdelijke fout treedt op als gevolg van een omstandigheid die tijdelijk is en binnenkort weer normaal wordt, waarna de uitvoering van de regel zal slagen. Enkele voorbeelden van fouten die Microsoft Sentinel classificeert als tijdelijk zijn:

  • Het uitvoeren van een regelquery duurt te lang en er treedt een time-out op.
  • Verbindingsproblemen tussen gegevensbronnen en Log Analytics of tussen Log Analytics en Microsoft Sentinel.
  • Andere nieuwe en onbekende fouten worden als tijdelijk beschouwd.

In het geval van een tijdelijke fout blijft Microsoft Sentinel proberen de regel opnieuw uit te voeren na vooraf bepaalde en steeds grotere intervallen, tot op een bepaald punt. Daarna wordt de regel alleen opnieuw uitgevoerd op het volgende geplande tijdstip. Een regel wordt nooit automatisch uitgeschakeld vanwege een tijdelijke fout.

Permanente fout : regel automatisch uitgeschakeld

Een permanente fout treedt op als gevolg van een wijziging in de voorwaarden die het uitvoeren van de regel toestaan, waardoor zonder menselijke tussenkomst de oude status niet wordt hersteld. Hier volgen enkele voorbeelden van fouten die zijn geclassificeerd als permanent:

  • De doelwerkruimte (waarop de regelquery werd uitgevoerd) is verwijderd.
  • De doeltabel (waarop de regelquery werd uitgevoerd) is verwijderd.
  • Microsoft Sentinel is verwijderd uit de doelwerkruimte.
  • Een functie die door de regelquery wordt gebruikt, is niet meer geldig; het is gewijzigd of verwijderd.
  • Machtigingen voor een van de gegevensbronnen van de regelquery zijn gewijzigd.
  • Een van de gegevensbronnen van de regelquery is verwijderd of de verbinding is verbroken.

In het geval van een vooraf bepaald aantal opeenvolgende permanente storingen, van hetzelfde type en op dezelfde regel, Microsoft Sentinel stopt met het uitvoeren van de regel en voert ook de volgende stappen uit:

  • Hiermee schakelt u de regel uit.
  • Hiermee voegt u de woorden 'AUTO DISABLED' toe aan het begin van de naam van de regel.
  • Hiermee voegt u de reden voor de fout (en het uitschakelen) toe aan de beschrijving van de regel.

U kunt eenvoudig de aanwezigheid van automatisch uitgeschakelde regels bepalen door de lijst met regels te sorteren op naam. De regels voor automatisch uitschakelen staan bovenaan of in de buurt van de lijst.

SOC-beheerders moeten de regellijst regelmatig controleren op de aanwezigheid van automatisch uitgeschakelde regels.

Volgende stappen

Wanneer u analyseregels gebruikt om bedreigingen van Microsoft Sentinel te detecteren, moet u ervoor zorgen dat u alle regels inschakelt die zijn gekoppeld aan uw verbonden gegevensbronnen om volledige beveiligingsdekking voor uw omgeving te garanderen. De meest efficiënte manier om analyseregels in te schakelen, is rechtstreeks vanaf de gegevensconnectorpagina, waar alle gerelateerde regels worden vermeld. Zie Verbinding maken met gegevensbronnen voor meer informatie.

U kunt regels ook pushen naar Microsoft Sentinel via API en PowerShell, hoewel dit extra inspanning vereist. Wanneer u API of PowerShell gebruikt, moet u de regels eerst exporteren naar JSON voordat u de regels inschakelt. API of PowerShell kan handig zijn bij het inschakelen van regels in meerdere exemplaren van Microsoft Sentinel met identieke instellingen in elk exemplaar.

Zie voor meer informatie:

Leer ook van een voorbeeld van het gebruik van aangepaste analyseregels bij het bewaken van Zoom met een aangepaste connector.