Geplande analyseregels in Microsoft Sentinel
Geplande regels zijn verreweg het meest voorkomende type analyseregel gebaseerd op Kusto-query's die zijn geconfigureerd om regelmatig te worden uitgevoerd en onbewerkte gegevens te onderzoeken uit een gedefinieerde 'lookback'-periode. Query's kunnen complexe statistische bewerkingen uitvoeren op hun doelgegevens, waarbij basislijnen en uitbijters in groepen gebeurtenissen worden weergegeven. Als het aantal resultaten dat is vastgelegd door de query de drempelwaarde doorgeeft die in de regel is geconfigureerd, genereert de regel een waarschuwing.
In dit artikel leert u hoe geplande analyseregels worden gebouwd en maakt u kennis met alle configuratieopties en de betekenis ervan. De informatie in dit artikel is nuttig in twee scenario's:
Maak een analyseregel op basis van een sjabloon: gebruik de querylogica en de plannings- en lookback-instellingen zoals gedefinieerd in de sjabloon of pas deze aan om nieuwe regels te maken.
Maak een volledig nieuwe analyseregel: bouw uw eigen query en regel helemaal zelf. Om dit effectief te doen, moet u een grondige basis hebben in de querytaal data science en Kusto.
Belangrijk
Microsoft Sentinel is algemeen beschikbaar binnen het geïntegreerde beveiligingsbewerkingsplatform van Microsoft in de Microsoft Defender-portal. Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Sjablonen voor analyseregels
De query's in geplande regelsjablonen zijn geschreven door beveiligings- en gegevenswetenschapsexperts van Microsoft of van de leverancier van de oplossing die de sjabloon levert.
Gebruik een sjabloon voor analyseregels door een sjabloonnaam te selecteren in de lijst met sjablonen en een regel te maken op basis hiervan.
Elke sjabloon bevat een lijst met vereiste gegevensbronnen. Wanneer u de sjabloon opent, worden de gegevensbronnen automatisch gecontroleerd op beschikbaarheid. Beschikbaarheid betekent dat de gegevensbron is verbonden en dat er regelmatig gegevens worden opgenomen. Als een van de vereiste gegevensbronnen niet beschikbaar is, kunt u de regel niet maken en ziet u mogelijk ook een foutbericht voor dat effect.
Wanneer u een regel maakt op basis van een sjabloon, wordt de wizard voor het maken van regels geopend op basis van de geselecteerde sjabloon. Alle details worden automatisch ingevuld en u kunt de logica en andere regelinstellingen aanpassen aan uw specifieke behoeften. U kunt dit proces herhalen om meer regels te maken op basis van de sjabloon. Wanneer u het einde van de wizard voor het maken van regels bereikt, worden uw aanpassingen gevalideerd en wordt de regel gemaakt. De nieuwe regels worden weergegeven op het tabblad Actieve regels op de pagina Analytics . Op het tabblad Regelsjablonen wordt ook de sjabloon waaruit u de regel hebt gemaakt, weergegeven met de In use
tag.
Sjablonen voor analyseregels worden voortdurend onderhouden door hun auteurs, om fouten op te lossen of om de query te verfijnen. Wanneer een sjabloon een update ontvangt, worden alle regels op basis van die sjabloon weergegeven met de Update
tag en hebt u de mogelijkheid om deze regels te wijzigen om de wijzigingen in de sjabloon op te nemen. U kunt ook eventuele wijzigingen die u in een regel hebt aangebracht, terugzetten naar de oorspronkelijke versie op basis van sjablonen. Zie Sjabloonversies beheren voor uw geplande analyseregels in Microsoft Sentinel voor meer informatie.
Nadat u vertrouwd bent met de configuratieopties in dit artikel, raadpleegt u Geplande analyseregels maken op basis van sjablonen.
In de rest van dit artikel worden alle mogelijkheden uitgelegd voor het aanpassen van de configuratie van uw regels.
Configuratie van analyseregels
In deze sectie worden de belangrijkste overwegingen uitgelegd waarmee u rekening moet houden voordat u begint met het configureren van uw regels.
Naam en details van analyseregel
De eerste pagina van de wizard Analyseregels bevat de basisinformatie van de regel.
Naam: De naam van de regel zoals deze wordt weergegeven in de lijst met regels en in eventuele filters op basis van regels. De naam moet uniek zijn voor uw werkruimte.
Beschrijving: Een beschrijving in vrije tekst van het doel van de regel.
Id: De GUID van de regel als een Azure-resource, die onder andere wordt gebruikt in API-aanvragen en -antwoorden. Deze GUID wordt alleen toegewezen wanneer de regel wordt gemaakt, dus deze wordt alleen weergegeven wanneer u een bestaande regel bewerkt. Omdat het een alleen-lezen veld is, wordt het weergegeven als grijs en kan het niet worden gewijzigd. Deze bestaat nog niet bij het maken van een nieuwe regel, hetzij vanuit een sjabloon of helemaal zelf.
Ernst: een classificatie om de waarschuwingen te geven die door deze regel worden geproduceerd. De ernst van een activiteit is een berekening van de mogelijke negatieve impact van het optreden van de activiteit.
Ernst | Beschrijving |
---|---|
Informatieve | Geen invloed op uw systeem, maar de informatie kan duiden op toekomstige stappen die zijn gepland door een bedreigingsacteur. |
Laag | De onmiddellijke impact zou minimaal zijn. Een bedreigingsacteur moet waarschijnlijk meerdere stappen uitvoeren voordat een impact op een omgeving wordt bereikt. |
Gemiddeld | De bedreigingsacteur kan enige invloed hebben op de omgeving met deze activiteit, maar deze is beperkt in het bereik of vereist extra activiteit. |
Hoog | De geïdentificeerde activiteit biedt de bedreigings actor uitgebreide toegang tot het uitvoeren van acties op de omgeving of wordt geactiveerd door impact op de omgeving. |
Standaardwaarden voor ernstniveau zijn geen garantie voor huidig of milieu-impactniveau. Pas waarschuwingsdetails aan om de ernst, tactieken en andere eigenschappen van een bepaald exemplaar van een waarschuwing aan te passen met de waarden van relevante velden uit een query-uitvoer.
Ernstdefinities voor microsoft Sentinel-analyseregelsjablonen zijn alleen relevant voor waarschuwingen die zijn gemaakt door analyseregels. Voor waarschuwingen die zijn opgenomen vanuit andere services, wordt de ernst gedefinieerd door de bronbeveiligingsservice.
MITRE ATT&CK: Een specificatie van de aanvalstactieken en -technieken die worden vertegenwoordigd door de activiteiten die door deze regel zijn vastgelegd. Deze zijn gebaseerd op de tactieken en technieken van het MITRE ATT&CK-framework®.
De MITRE ATT&CK-tactieken en -technieken die hier in de regel zijn gedefinieerd, zijn van toepassing op waarschuwingen die door de regel worden gegenereerd. Ze zijn ook van toepassing op incidenten die zijn gemaakt op basis van deze waarschuwingen.
Zie Inzicht in de beveiligingsdekking van het MITRE ATT&CK-framework voor meer informatie over het maximaliseren van uw dekking door het MITRE ATT&CK-framework ®.
Status: Wanneer u de regel maakt, is de status standaard ingeschakeld, wat betekent dat deze direct wordt uitgevoerd nadat u de regel hebt gemaakt. Als u niet wilt dat deze onmiddellijk wordt uitgevoerd, hebt u twee opties:
- Selecteer Uitgeschakeld en de regel wordt gemaakt zonder uit te voeren. Wanneer u wilt dat de regel wordt uitgevoerd, zoekt u deze op het tabblad Actieve regels en schakelt u deze daar in.
- Plan de regel om eerst te worden uitgevoerd op een specifieke datum en tijd. Deze methode is momenteel beschikbaar als PREVIEW-versie. Zie Queryplanning verderop in dit artikel.
Regelquery
Dit is de essentie van de regel: u bepaalt welke informatie zich in de waarschuwingen bevindt die door deze regel zijn gemaakt en hoe de informatie wordt georganiseerd. Deze configuratie heeft follow-on-effecten op hoe de resulterende incidenten eruitzien en hoe eenvoudig of moeilijk ze zijn om te onderzoeken, te herstellen en op te lossen. Het is belangrijk om uw waarschuwingen zo uitgebreid mogelijk te maken in informatie en om die informatie gemakkelijk toegankelijk te maken.
Bekijk of voer de Kusto-query in waarmee de onbewerkte logboekgegevens worden geanalyseerd. Als u een nieuwe regel maakt, is het een goed idee om uw query te plannen en te ontwerpen voordat u deze wizard opent. U kunt query's bouwen en testen op de pagina Logboeken .
Alles wat u in het venster regelquery typt, wordt direct gevalideerd, zodat u direct erachter komt als u fouten maakt.
Aanbevolen procedures voor query's voor analyseregels
U wordt aangeraden een ASIM-parser (Advanced Security Information Model) als querybron te gebruiken in plaats van een systeemeigen tabel te gebruiken. Dit zorgt ervoor dat de query ondersteuning biedt voor alle huidige of toekomstige relevante gegevensbronnen of -familie van gegevensbronnen, in plaats van te vertrouwen op één gegevensbron.
De querylengte moet tussen 1 en 10.000 tekens lang zijn en mag geen '
search *
' of 'union *
' bevatten. U kunt door de gebruiker gedefinieerde functies gebruiken om de beperking van de querylengte te overwinnen, omdat één functie tientallen regels code kan vervangen.Het gebruik van ADX-functies voor het maken van Azure Data Explorer-query's in het Log Analytics-queryvenster wordt niet ondersteund.
Als u de
bag_unpack
functie in een query gebruikt en u de kolommen projecteert als velden met 'project field1
' en de kolom niet bestaat, mislukt de query. Als u dit wilt voorkomen, moet u de kolom als volgt projecteren:project field1 = column_ifexists("field1","")
Zie Kusto-querytaal in Microsoft Sentinel en best practices voor Kusto-querytaal query's voor meer hulp bij het bouwen van Kusto-query's.
Waarschuwingsverbetering
Als u wilt dat uw waarschuwingen hun bevindingen weergeven, zodat ze onmiddellijk zichtbaar kunnen zijn in incidenten en op de juiste wijze kunnen worden bijgehouden en onderzocht, gebruikt u de configuratie van de waarschuwingsverbetering om alle belangrijke informatie in de waarschuwingen weer te geven.
Deze waarschuwingsverbetering heeft het extra voordeel van het presenteren van bevindingen op een gemakkelijk zichtbare en toegankelijke manier.
Er zijn drie typen waarschuwingsverbeteringen die u kunt configureren:
- Entiteitstoewijzing
- Aangepaste details
- Waarschuwingsdetails (ook wel dynamische inhoud genoemd)
Entiteitstoewijzing
Entiteiten zijn de spelers aan beide kanten van elk aanvalsverhaal. Het identificeren van alle entiteiten in een waarschuwing is essentieel voor het detecteren en onderzoeken van bedreigingen. Om ervoor te zorgen dat Microsoft Sentinel de entiteiten in uw onbewerkte gegevens identificeert, moet u de entiteitstypen die door Microsoft Sentinel worden herkend, toewijzen aan velden in uw queryresultaten. Met deze toewijzing worden de geïdentificeerde entiteiten geïntegreerd in het veld Entiteiten in uw waarschuwingsschema.
Zie Gegevensvelden toewijzen aan entiteiten in Microsoft Sentinel voor meer informatie over entiteitstoewijzing en voor volledige instructies.
Aangepaste details
Standaard zijn alleen de waarschuwingsentiteiten en metagegevens zichtbaar in incidenten zonder in te zoomen op de onbewerkte gebeurtenissen in de queryresultaten. Als u andere velden uit uw queryresultaten direct inzicht wilt geven in uw waarschuwingen en incidenten, definieert u deze als aangepaste details. Microsoft Sentinel integreert deze aangepaste gegevens in het veld ExtendedProperties in uw waarschuwingen, waardoor deze vooraf worden weergegeven in uw waarschuwingen en in eventuele incidenten die zijn gemaakt op basis van deze waarschuwingen.
Zie aangepaste gebeurtenisdetails van Surface in Microsoft Sentinel voor meer informatie over het weergeven van aangepaste details en om volledige instructies te krijgen.
Meldingsdetails
Met deze instelling kunt u anders standaardwaarschuwingseigenschappen aanpassen op basis van de inhoud van verschillende velden in elke afzonderlijke waarschuwing. Deze aanpassingen zijn geïntegreerd in het veld ExtendedProperties in uw waarschuwingen. U kunt bijvoorbeeld de naam of beschrijving van de waarschuwing aanpassen om een gebruikersnaam of IP-adres op te nemen dat in de waarschuwing wordt vermeld.
Zie Waarschuwingsgegevens aanpassen in Microsoft Sentinel voor meer informatie over het aanpassen van waarschuwingsdetails en voor volledige instructies.
Notitie
In de Microsoft Defender-portal is de Defender XDR-correlatie-engine uitsluitend verantwoordelijk voor naamgevingsincidenten. Alle waarschuwingsnamen die u hebt aangepast, kunnen dus worden overschreven wanneer incidenten worden gemaakt op basis van deze waarschuwingen.
Query plannen
Met de volgende parameters wordt bepaald hoe vaak uw geplande regel wordt uitgevoerd en welke tijdsperiode wordt onderzocht telkens wanneer deze wordt uitgevoerd.
Instelling | Gedrag |
---|---|
Elke query uitvoeren | Bepaalt het queryinterval: hoe vaak de query wordt uitgevoerd. |
Opzoekgegevens uit de laatste | Bepaalt de lookbackperiode: de periode die wordt gedekt door de query. |
Het toegestane bereik voor beide parameters is van 5 minuten tot 14 dagen.
Het queryinterval moet korter zijn dan of gelijk zijn aan de lookbackperiode. Als deze korter is, overlappen de queryperioden elkaar en kan dit leiden tot duplicatie van resultaten. Met de regelvalidatie kunt u echter geen interval instellen dat langer is dan de lookbackperiode, omdat dit leidt tot hiaten in uw dekking.
Met de instelling Voor starten , nu in PREVIEW, kunt u een regel maken met de status Ingeschakeld, maar om de eerste uitvoering ervan uit te stellen tot een vooraf vastgestelde datum en tijd. Deze instelling is handig als u de uitvoering van uw regels wilt timen op basis van wanneer gegevens naar verwachting worden opgenomen uit de bron of wanneer uw SOC-analisten hun werkdag starten.
Instelling | Gedrag |
---|---|
Automatisch | De regel wordt voor het eerst uitgevoerd zodra deze wordt gemaakt en daarna wordt elke instelling bij het interval ingesteld in de runquery . |
Op een bepaald tijdstip (preview) | Stel een datum en tijd in waarop de regel voor het eerst moet worden uitgevoerd, waarna deze wordt uitgevoerd op het interval dat is ingesteld in de runquery elke instelling. |
De begintijd moet tussen 10 minuten en 30 dagen na het maken van de regel (of inschakeling) duren.
De tekstregel onder de instelling Voor het starten van de uitvoering (met het informatiepictogram aan de linkerkant) bevat een overzicht van de huidige instellingen voor het plannen en terugkijken van query's.
Notitie
Opnamevertraging
Om rekening te houden met latentie die kan optreden tussen het genereren van een gebeurtenis bij de bron en de opname in Microsoft Sentinel, en om volledige dekking zonder gegevensduplicatie te garanderen, voert Microsoft Sentinel geplande analyseregels uit op een vertraging van vijf minuten vanaf de geplande tijd.
Zie Opnamevertraging afhandelen in geplande analyseregels voor meer informatie.
Waarschuwingsdrempel
Veel soorten beveiligingsevenementen zijn normaal of zelfs verwacht in kleine getallen, maar vormen een teken van een bedreiging in grotere aantallen. Verschillende schalen van grote getallen kunnen verschillende soorten bedreigingen betekenen. Twee of drie mislukte aanmeldingspogingen in de ruimte van een minuut zijn bijvoorbeeld een teken van een gebruiker die geen wachtwoord onthoudt, maar vijftig in een minuut kan een teken zijn van een menselijke aanval, en duizend is waarschijnlijk een geautomatiseerde aanval.
Afhankelijk van het soort activiteit dat uw regel probeert te detecteren, kunt u een minimum aantal gebeurtenissen (queryresultaten) instellen dat nodig is om een waarschuwing te activeren. De drempelwaarde wordt afzonderlijk toegepast op elke keer dat de regel wordt uitgevoerd, niet gezamenlijk.
De drempelwaarde kan ook worden ingesteld op een maximum aantal resultaten of een exact getal.
Gebeurtenissen groeperen
Er zijn twee manieren om de groepering van gebeurtenissen in waarschuwingen af te handelen:
Groepeer alle gebeurtenissen in één waarschuwing: dit is de standaardinstelling. De regel genereert elke keer dat deze wordt uitgevoerd één waarschuwing, zolang de query meer resultaten retourneert dan de opgegeven waarschuwingsdrempel die in de vorige sectie wordt uitgelegd. Deze enkele waarschuwing bevat een overzicht van alle gebeurtenissen die worden geretourneerd in de queryresultaten.
Een waarschuwing activeren voor elke gebeurtenis: de regel genereert een unieke waarschuwing voor elke gebeurtenis (resultaat) die door de query wordt geretourneerd. Deze modus is handig als u wilt dat gebeurtenissen afzonderlijk worden weergegeven of als u ze wilt groeperen op bepaalde parameters, per gebruiker, hostnaam of iets anders. U kunt deze parameters definiëren in de query. |
Analyseregels kunnen maximaal 150 waarschuwingen genereren. Als gebeurtenisgroepering is ingesteld op Een waarschuwing activeren voor elke gebeurtenis en de query van de regel meer dan 150 gebeurtenissen retourneert, genereren de eerste 149 gebeurtenissen elk een unieke waarschuwing (voor 149 waarschuwingen) en de 150e waarschuwing bevat een overzicht van de volledige set geretourneerde gebeurtenissen. Met andere woorden, de 150e waarschuwing is wat er zou zijn gegenereerd als gebeurtenisgroepering is ingesteld op Alle gebeurtenissen groeperen in één waarschuwing.
Het activeren van een waarschuwing voor elke gebeurtenisinstelling kan een probleem veroorzaken waarbij queryresultaten ontbreken of anders lijken te zijn dan verwacht. Zie Problemen met analyseregels in Microsoft Sentinel oplossen voor meer informatie over dit scenario | Probleem: Er worden geen gebeurtenissen weergegeven in queryresultaten.
Onderdrukking
Als u wilt dat deze regel gedurende een bepaalde periode niet meer werkt nadat er een waarschuwing is gegenereerd, schakelt u de query Stoppen in nadat de waarschuwing is gegenereerd. Vervolgens moet u de query Stoppen instellen voor de tijdsduur dat de query niet meer wordt uitgevoerd, tot 24 uur.
Resultatensimulatie
Met de wizard Analyseregel kunt u de werkzaamheid testen door deze uit te voeren op de huidige gegevensset. Wanneer u de test uitvoert, ziet u in het venster Resultatensimulatie een grafiek van de resultaten die de query de laatste 50 keer zou hebben gegenereerd, volgens de momenteel gedefinieerde planning. Als u de query wijzigt, kunt u de test opnieuw uitvoeren om de grafiek bij te werken. In de grafiek ziet u het aantal resultaten gedurende de gedefinieerde periode. Dit wordt bepaald door het queryschema dat u hebt gedefinieerd.
Hier ziet u hoe de resultatensimulatie eruit kan zien voor de query in de bovenstaande schermopname. De linkerkant is de standaardweergave en de rechterkant is wat u ziet wanneer u de muisaanwijzer boven een bepaald tijdstip in de grafiek beweegt.
Als u ziet dat uw query te veel of te frequente waarschuwingen activeert, kunt u experimenteren met de plannings- en drempelwaarde-instellingen en de simulatie opnieuw uitvoeren.
Incidentinstellingen
Kies of Microsoft Sentinel waarschuwingen verandert in bruikbare incidenten.
Het maken van incidenten is standaard ingeschakeld. Microsoft Sentinel maakt één afzonderlijk incident van elke waarschuwing die door de regel wordt gegenereerd.
Als u niet wilt dat deze regel resulteert in het maken van incidenten (bijvoorbeeld als deze regel alleen informatie voor de volgende analyse verzamelt), stelt u deze in op Uitgeschakeld.
Belangrijk
Als u Microsoft Sentinel hebt toegevoegd aan de Defender-portal, is Microsoft Defender verantwoordelijk voor het maken van incidenten. Als u echter wilt dat Defender XDR incidenten voor deze waarschuwing maakt, moet u deze instelling ingeschakeld laten. Defender XDR gebruikt de instructies die hier zijn gedefinieerd.
Dit is niet te verwarren met de Beveiligingsregel van Microsoft waarmee incidenten worden gemaakt voor waarschuwingen die zijn gegenereerd in Microsoft Defender-services. Deze regels worden automatisch uitgeschakeld wanneer u Microsoft Sentinel onboardt naar de Defender-portal.
Zie de volgende sectie als u één incident wilt maken op basis van een groep waarschuwingen, in plaats van één voor elke waarschuwing.
Waarschuwingsgroepering
Kies of waarschuwingen worden gegroepeerd in incidenten. Microsoft Sentinel maakt standaard een incident voor elke gegenereerde waarschuwing. U kunt in plaats daarvan meerdere waarschuwingen groeperen in één incident.
Het incident wordt pas gemaakt nadat alle waarschuwingen zijn gegenereerd. Alle waarschuwingen worden onmiddellijk na het maken aan het incident toegevoegd.
Maximaal 150 waarschuwingen kunnen worden gegroepeerd in één incident. Als er meer dan 150 waarschuwingen worden gegenereerd door een regel die deze in één incident groepeert, wordt er een nieuw incident gegenereerd met dezelfde incidentdetails als het origineel en worden de overtollige waarschuwingen gegroepeerd in het nieuwe incident.
Als u waarschuwingen wilt groeperen, stelt u de instelling voor waarschuwingsgroepering in op Ingeschakeld.
Er zijn enkele opties waarmee u rekening moet houden bij het groeperen van waarschuwingen:
Tijdsbestek: waarschuwingen die zijn gemaakt tot 5 uur na de eerste waarschuwing in een incident, worden standaard toegevoegd aan hetzelfde incident. Na 5 uur wordt er een nieuw incident gemaakt. U kunt deze periode wijzigen in een willekeurige periode tussen 5 minuten en 7 dagen.
Groepeercriteria: kies hoe u bepaalt welke waarschuwingen in de groep worden opgenomen. In de volgende tabel ziet u de mogelijke keuzes:
Optie Omschrijving Waarschuwingen groeperen in één incident als alle entiteiten overeenkomen Waarschuwingen worden gegroepeerd als ze identieke waarden delen voor elk van de toegewezen entiteiten die eerder zijn gedefinieerd. Dit is de aanbevolen instelling. Alle waarschuwingen die door deze regel worden geactiveerd, groeperen in één incident Alle waarschuwingen die door deze regel worden gegenereerd, worden gegroepeerd, zelfs als ze geen identieke waarden delen. Waarschuwingen groeperen in één incident als de geselecteerde entiteiten en details overeenkomen Waarschuwingen worden gegroepeerd als ze identieke waarden delen voor alle toegewezen entiteiten, waarschuwingsgegevens en aangepaste details die u voor deze instelling selecteert. Kies de entiteiten en details in de vervolgkeuzelijsten die worden weergegeven wanneer u deze optie selecteert.
U kunt deze instelling gebruiken als u bijvoorbeeld afzonderlijke incidenten wilt maken op basis van de bron- of doel-IP-adressen, of als u waarschuwingen wilt groeperen die overeenkomen met een specifieke entiteit en ernst.
Opmerking: wanneer u deze optie selecteert, moet er ten minste één entiteit of details zijn geselecteerd voor de regel. Anders mislukt de validatie van de regel en wordt de regel niet gemaakt.Incidenten opnieuw openen: als een incident is opgelost en gesloten en later een andere waarschuwing wordt gegenereerd die bij dat incident hoort, stelt u deze instelling in op Ingeschakeld als u wilt dat het gesloten incident opnieuw wordt geopend en laat u uitgeschakeld als u wilt dat de nieuwe waarschuwing een nieuw incident maakt.
De optie voor het opnieuw openen van gesloten incidenten is niet beschikbaar als u Microsoft Sentinel hebt ge onboardd naar de Defender-portal.
Automatische reactie
Met Microsoft Sentinel kunt u automatische antwoorden instellen die moeten worden uitgevoerd wanneer:
- Er wordt een waarschuwing gegenereerd door deze analyseregel.
- Er wordt een incident gemaakt op basis van waarschuwingen die worden gegenereerd door deze analyseregel.
- Een incident wordt bijgewerkt met waarschuwingen die worden gegenereerd door deze analyseregel.
Zie Bedreigingsreacties automatiseren in Microsoft Sentinel met automatiseringsregels voor meer informatie over de verschillende soorten reacties die kunnen worden gemaakt en geautomatiseerd.
Onder de kop Automatiseringsregels wordt in de wizard een lijst weergegeven met de automatiseringsregels die al zijn gedefinieerd voor de hele werkruimte, waarvan de voorwaarden van toepassing zijn op deze analyseregel. U kunt een van deze bestaande regels bewerken of u kunt een nieuwe automatiseringsregel maken die alleen van toepassing is op deze analyseregel.
Gebruik automatiseringsregels voor het uitvoeren van eenvoudige triage, toewijzing, werkstroom en het sluiten van incidenten.
Automatiseer complexere taken en roep reacties van externe systemen aan om bedreigingen op te lossen door playbooks aan te roepen vanuit deze automatiseringsregels. U kunt playbooks aanroepen voor incidenten en voor afzonderlijke waarschuwingen.
Zie Bedreigingsreacties automatiseren voor meer informatie en instructies over het maken van playbooks en automatiseringsregels.
Zie Triggers en acties gebruiken in Microsoft Sentinel-playbooks voor meer informatie over het gebruik van de door het incident gemaakte trigger, de bijgewerkte trigger of de waarschuwing die is gemaakt.
Onder de kop Waarschuwingsautomatisering (klassiek) ziet u mogelijk een lijst met playbooks die zijn geconfigureerd om automatisch te worden uitgevoerd met behulp van een oude methode die in maart 2026 is afgeschaft. U kunt niets toevoegen aan deze lijst. Voor playbooks die hier worden vermeld, moeten automatiseringsregels zijn gemaakt op basis van de trigger voor waarschuwing die is gemaakt om de playbooks aan te roepen. Nadat u dit hebt gedaan, selecteert u het beletselteken aan het einde van de regel van het playbook dat hier wordt vermeld en selecteert u Verwijderen. Zie Migrate your Microsoft Sentinel alert-trigger playbooks to automation rules for full instructions (Uw Microsoft Sentinel alert-trigger playbooks migreren naar automatiseringsregels voor volledige instructies).
Volgende stappen
Wanneer u microsoft Sentinel-analyseregels gebruikt om bedreigingen in uw omgeving te detecteren, moet u ervoor zorgen dat alle regels die zijn gekoppeld aan uw verbonden gegevensbronnen, inschakelen om een volledige beveiligingsdekking voor uw omgeving te garanderen.
Als u het inschakelen van regels wilt automatiseren, pusht u regels naar Microsoft Sentinel via API en PowerShell, maar hiervoor zijn extra inspanningen vereist. Wanneer u API of PowerShell gebruikt, moet u eerst de regels exporteren naar JSON voordat u de regels inschakelt. API of PowerShell kan handig zijn bij het inschakelen van regels in meerdere exemplaren van Microsoft Sentinel met identieke instellingen in elk exemplaar.
Zie voor meer informatie:
- Analyseregels exporteren en importeren van en naar ARM-sjablonen
- Problemen met analyseregels in Microsoft Sentinel oplossen
- Navigeren en onderzoeken van incidenten in Microsoft Sentinel
- Entiteiten in Microsoft Sentinel
- Zelfstudie: Playbooks gebruiken met automatiseringsregels in Microsoft Sentinel
Leer ook van een voorbeeld van het gebruik van aangepaste analyseregels bij het bewaken van Zoom met een aangepaste connector.