Microsoft Sentinel gegevens aggregeren met samenvattingsregels

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Gebruik samenvattingsregels in Microsoft Sentinel om grote sets gegevens op de achtergrond te aggregeren voor een soepelere ervaring met beveiligingsbewerkingen in alle logboeklagen. Samenvattingsgegevens worden vooraf gecompileerd in aangepaste logboektabellen en bieden snelle queryprestaties, inclusief query's die worden uitgevoerd op gegevens die zijn afgeleid van goedkope logboeklagen. Samenvattingsregels kunnen helpen bij het optimaliseren van uw gegevens voor:

  • Analyse en rapporten, met name over grote gegevenssets en tijdsbereiken, zoals vereist voor beveiligings- en incidentanalyse, maand-op-maand- of jaarlijkse bedrijfsrapporten, enzovoort.
  • Kostenbesparingen voor uitgebreide logboeken, die u zo weinig of zo lang kunt bewaren als u nodig hebt in een goedkopere logboeklaag, en als samengevatte gegevens alleen verzenden naar een Analytics-tabel voor analyse en rapporten.
  • Beveiliging en gegevensprivacy, door privacydetails in samengevatte deelbare gegevens te verwijderen of te verbergen en de toegang tot tabellen met onbewerkte gegevens te beperken.

Microsoft Sentinel samenvattingsregel opslaat, resulteert in aangepaste tabellen met het Analysegegevensplan. Zie Logboektabelplannen voor meer informatie over gegevensabonnementen en opslagkosten.

In dit artikel wordt uitgelegd hoe u samenvattingsregels maakt of vooraf gemaakte sjablonen voor samenvattingsregels implementeert in Microsoft Sentinel, en bevat voorbeelden van veelvoorkomende scenario's voor het gebruik van samenvattingsregels.

Belangrijk

Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe klanten automatisch onboarding uitgevoerd en omgeleid naar de Defender-portal.

Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden. Zie It's Time to Move: De Azure Portal van Microsoft Sentinel wordt buiten gebruik gesteld voor meer informatie voor meer informatie.

Vereisten

Samenvattingsregels maken in Microsoft Sentinel:

We raden u aan om te experimenteren met uw samenvattingsregelquery op de pagina Logboeken voordat u de regel maakt. Controleer of de query de querylimiet niet bereikt of bereikt en controleer of de query het beoogde schema en de verwachte resultaten oplevert. Als de query dicht bij de querylimieten ligt, kunt u overwegen om een kleinere binSize te gebruiken om minder gegevens per bin te verwerken. U kunt de query ook wijzigen om minder records te retourneren of velden met een hoger volume te verwijderen.

Een nieuwe samenvattingsregel maken

Maak een nieuwe samenvattingsregel om een specifieke grote set gegevens samen te voegen in een dynamische tabel. Configureer de regelfrequentie om te bepalen hoe vaak uw geaggregeerde gegevensset wordt bijgewerkt op basis van de onbewerkte gegevens.

  1. Open de wizard Samenvattingsregel:

    • Selecteer in de Defender-portal Microsoft Sentinel > Configuratieoverzichtsregels>.

    • Selecteer in het Azure Portal in het navigatiemenu Microsoft Sentinel onder Configuratiede optie Overzichtsregels. Bijvoorbeeld:

      Schermopname van de pagina Samenvattingsregels in de Azure Portal.

  2. Selecteer + Maken en voer de volgende gegevens in:

    • Naam. Voer een duidelijke naam in voor uw regel.

    • Beschrijving. Voer een optionele beschrijving in.

    • Doeltabel. Definieer de aangepaste logboektabel waarin uw gegevens worden geaggregeerd:

      • Als u Bestaande aangepaste logboektabel selecteert, selecteert u de tabel die u wilt gebruiken.

      • Als u Nieuwe aangepaste logboektabel selecteert, voert u een betekenisvolle naam voor de tabel in. De volledige tabelnaam gebruikt de volgende syntaxis: <tableName>_CL.

  3. U wordt aangeraden de diagnostische instellingen van SummaryLogs in te schakelen in uw werkruimte om inzicht te krijgen in historische uitvoeringen en fouten. Als de diagnostische instellingen van SummaryLogs niet zijn ingeschakeld, wordt u gevraagd deze in te schakelen in het gebied Diagnostische instellingen .

    Als de diagnostische instellingen van SummaryLogs al zijn ingeschakeld, maar u de instellingen wilt wijzigen, selecteert u Geavanceerde diagnostische instellingen configureren. Wanneer u terugkomt op de pagina van de wizard Overzichtsregel , selecteert u Vernieuwen om de instellingen te vernieuwen.

    Belangrijk

    De diagnostische instelling SummaryLogs heeft extra kosten. Zie Diagnostische instellingen in Azure Monitor voor meer informatie.

  4. Selecteer Volgende: Samenvattingslogica >instellen om door te gaan.

  5. Voer op de pagina Samenvattingslogica instellen de samenvattingsquery in. Als u bijvoorbeeld gegevens uit Google Cloud Platform wilt samenvatten, kunt u het volgende invoeren:

    GCPAuditLogs
| where ServiceName == 'pubsub.googleapis.com'
| summarize count() by Severity

    Zie Voorbeeldoverzichtsregelscenario's en Kusto-querytaal (KQL) in Azure Monitor voor meer informatie.

  6. Selecteer Voorbeeld van resultaten om een voorbeeld weer te geven van de gegevens die u zou verzamelen met de geconfigureerde query.

  7. Definieer in het gebied Queryplanning de volgende details:

    • Hoe vaak u de regel wilt uitvoeren
    • Of u wilt dat de regel wordt uitgevoerd met enige vertraging, in minuten
    • Wanneer u wilt dat de regel wordt uitgevoerd

    Tijden die in de planning zijn gedefinieerd, zijn gebaseerd op de timegenerated kolom in uw gegevens

  8. Selecteer Volgende: Controleren en Opslaan maken >> om de overzichtsregel te voltooien.

Bestaande overzichtsregels worden weergegeven op de pagina Overzichtsregels , waar u de status van uw regel kunt controleren. Selecteer voor elke regel het menu opties aan het einde van de rij om een van de volgende acties uit te voeren:

  • Bekijk de huidige gegevens van de regel op de pagina Logboeken , alsof u de query onmiddellijk zou uitvoeren
  • De uitvoeringsgeschiedenis voor de geselecteerde regel weergeven
  • Schakel de regel in of uit.
  • De regelconfiguratie bewerken

Als u een regel wilt verwijderen, selecteert u de regelrij en selecteert u vervolgens Verwijderen in de werkbalk bovenaan de pagina.

Opmerking

Azure Monitor biedt ook ondersteuning voor het maken van samenvattingsregels via API of een arm-sjabloon (Azure Resource Monitor). Zie Een samenvattingsregel maken of bijwerken voor meer informatie.

Vooraf gemaakte overzichtsregelsjablonen implementeren

Overzichtsregelsjablonen zijn vooraf gemaakte samenvattingsregels die u kunt implementeren of aanpassen aan uw behoeften.

Een overzichtsregelsjabloon implementeren:

  1. Open de hub Inhoud en filter Inhoudstype op samenvattingsregels om de beschikbare sjablonen voor samenvattingsregels weer te geven.

    Schermopname van de pagina Inhoudshub in Microsoft Sentinel met sjablonen voor overzichtsregels.

  2. Selecteer een overzichtsregelsjabloon.

    Er wordt een deelvenster met informatie over de overzichtsregelsjabloon geopend, met velden zoals beschrijving, samenvattingsquery en doeltabel.

    Schermopname van het detailvenster van een overzichtsregelsjabloon in Microsoft Sentinel, inclusief velden zoals beschrijving, samenvattingsquery en doeltabel.

  3. Selecteer Installeren om de sjabloon te installeren.

  4. Selecteer het tabblad Sjablonen op de pagina Overzichtsregels en selecteer de samenvattingsregel die u hebt geïnstalleerd.

    Een schermopname van het tabblad Sjablonen van de pagina Overzichtsregels.

  5. Selecteer Maken om de wizard Samenvattingsregel te openen, waarbij alle velden vooraf worden ingevuld.

  6. Doorloop de wizard Overzichtsregel en selecteer Opslaan om de overzichtsregel te implementeren.

    Zie Een nieuwe samenvattingsregel maken voor meer informatie over de wizard Samenvattingsregel.

Voorbeeld van scenario's met een samenvattingsregel in Microsoft Sentinel

In deze sectie worden algemene scenario's voor het maken van samenvattingsregels in Microsoft Sentinel besproken en worden onze aanbevelingen voor het configureren van elke regel besproken. Zie Inzichten van onbewerkte gegevens in een hulptabel samenvatten naar een analysetabel in Microsoft Sentinel en Logboekbronnen voor opname van hulplogboeken voor meer informatie en voorbeelden.

Snel een schadelijk IP-adres vinden in uw netwerkverkeer

Scenario: U bent een bedreigingszoeker en een van de doelen van uw team is om alle exemplaren te identificeren van wanneer een kwaadaardig IP-adres in de netwerkverkeerslogboeken van een actief incident in de afgelopen 90 dagen interactie heeft gehad.

Uitdaging: Microsoft Sentinel neemt momenteel meerdere terabytes aan netwerklogboeken per dag op. U moet deze snel doorlopen om overeenkomsten voor het schadelijke IP-adres te vinden.

Oplossing: U wordt aangeraden overzichtsregels te gebruiken om het volgende te doen:

  1. Maak een samenvattingsgegevensset voor elk IP-adres dat betrekking heeft op het incident, met inbegrip van , SourceIPMaliciousIPRemoteIPDestinationIPelke lijst met belangrijke kenmerken, zoals IPType, FirstTimeSeenen .LastTimeSeen

    Met de samenvattingsgegevensset kunt u snel zoeken naar een specifiek IP-adres en het tijdsbereik beperken waarin het IP-adres wordt gevonden. U kunt dit zelfs doen wanneer de doorzochte gebeurtenissen meer dan 90 dagen geleden hebben plaatsgevonden, wat de bewaarperiode voor de werkruimte overschrijdt.

    In dit voorbeeld configureert u de samenvatting om dagelijks te worden uitgevoerd, zodat de query elke dag nieuwe samenvattingsrecords toevoegt totdat deze verloopt.

  2. Maak een analyseregel die minder dan twee minuten wordt uitgevoerd op basis van de samenvattingsgegevensset, zodat u snel inzoomt op het specifieke tijdsbereik wanneer het schadelijke IP-adres communiceert met het bedrijfsnetwerk.

    Zorg ervoor dat u uitvoeringsintervallen van minimaal vijf minuten configureert om verschillende nettoladinggrootten te kunnen gebruiken. Dit zorgt ervoor dat er geen verlies is, zelfs wanneer er sprake is van een vertraging bij het opnemen van gebeurtenissen.

    Bijvoorbeeld:

    let csl_columnmatch=(column_name: string) {
summarized_CommonSecurityLog
| where isnotempty(column_name)
| extend
    Date = format_datetime(TimeGenerated, "yyyy-MM-dd"),
    IPaddress = column_ifexists(column_name, ""),
    FieldName = column_name
| extend IPType = iff(ipv4_is_private(IPaddress) == true, "Private", "Public")
| where isnotempty(IPaddress)
| project Date, TimeGenerated, IPaddress, FieldName, IPType, DeviceVendor
| summarize count(), FirstTimeSeen = min(TimeGenerated), LastTimeSeen = min(TimeGenerated) by Date, IPaddress, FieldName, IPType, DeviceVendor
};
union csl_columnmatch("SourceIP")
    , csl_columnmatch("DestinationIP") 
    , csl_columnmatch("MaliciousIP")
    , csl_columnmatch("RemoteIP")
// Further summarization can be done per IPaddress to remove duplicates per day on larger timeframe for the first run
| summarize make_set(FieldName), make_set(DeviceVendor) by IPType, IPaddress

  3. Voer een volgende zoekopdracht of correlatie met andere gegevens uit om het aanvalsverhaal te voltooien.

Waarschuwingen genereren voor bedreigingsinformatieovereenkomsten met netwerkgegevens

Genereer waarschuwingen over overeenkomsten met bedreigingsinformatie tegen ruis, hoog volume en netwerkgegevens met een lage beveiligingswaarde.

Scenario: U moet een analyseregel maken voor firewalllogboeken die overeenkomen met domeinnamen in het systeem die zijn bezocht op basis van een lijst met domeinnamen voor bedreigingsinformatie.

De meeste gegevensbronnen zijn onbewerkte logboeken die luidruchtig zijn en een hoog volume hebben, maar een lagere beveiligingswaarde hebben, waaronder IP-adressen, Azure Firewall verkeer, Fortigate-verkeer, enzovoort. Er is een totaal volume van ongeveer 1 TB per dag.

Uitdaging: voor het maken van afzonderlijke regels zijn meerdere logische apps vereist, wat extra installatie- en onderhoudsoverhead en -kosten vereist.

Oplossing: U wordt aangeraden overzichtsregels te gebruiken om het volgende te doen:

  1. Een samenvattingsregel maken:

    1. Breid uw query uit om sleutelvelden te extraheren, zoals het bronadres, het doeladres en de doelpoort uit de tabel CommonSecurityLog_CL , het CommonSecurityLog met het hulpplan.

    2. Voer een interne zoekopdracht uit op de actieve bedreigingsinformatie-indicatoren om overeenkomsten met ons bronadres te identificeren. Hierdoor kunt u uw gegevens kruisverwijzing maken met bekende bedreigingen.

    3. Project relevante informatie, inclusief de gegenereerde tijd, het activiteitstype en eventuele schadelijke bron-IP-adressen, samen met de doeldetails. Stel de frequentie in die u wilt dat de query wordt uitgevoerd en de doeltabel, zoals MaliciousIPDetection . De resultaten in deze tabel bevinden zich in de analytische laag en worden dienovereenkomstig in rekening gebracht.

  2. Een waarschuwing maken:

    Het maken van een analyseregel in Microsoft Sentinel die waarschuwingen op basis van resultaten uit de tabel MaliciousIPDetection. Deze stap is van cruciaal belang voor proactieve detectie van bedreigingen en reactie op incidenten.

Voorbeeldsamenvattingsregel:

CommonSecurityLog_CL​
| extend sourceAddress = tostring(parse_json(Message).sourceAddress), destinationAddress = tostring(parse_json(Message).destinationAddress), destinationPort = tostring(parse_json(Message).destinationPort)​
| lookup kind=inner (ThreatIntelligenceIndicator | where Active == true ) on $left.sourceAddress == $right.NetworkIP​
| project TimeGenerated, Activity, Message, DeviceVendor, DeviceProduct, sourceMaliciousIP =sourceAddress, destinationAddress, destinationPort

Verwante onderwerpen

  • Last updated on