Delen via

Microsoft Sentinel-gegevens aggregeren met samenvattingsregels (preview)

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Gebruik vooraf gedefinieerde of aangepaste samenvattingsregels in Microsoft Sentinel om inzichten te aggregeren op basis van een regelmatige frequentie van grote gegevenssets in een logboeklaag, inclusief de hulplogboeklaag. Het werken met samengevatte gegevens verbetert de queryprestaties en helpt uw gegevens te optimaliseren voor:

  • Analyse en rapporten, met name over grote gegevenssets en tijdsbereiken, zoals vereist voor beveiligings- en incidentanalyse, maand-over-maand- of jaarverslagen, enzovoort.
  • Kostenbesparingen op uitgebreide logs, die u zo kort of lang kunt aanhouden als nodig in een minder dure loglaag, en alleen als samengevatte gegevens naar een analysetabel verzenden voor analyse en rapporten.
  • Beveiliging en gegevensprivacy door privacygegevens te verwijderen of te verbergen in samengevatte deelbare gegevens en het beperken van de toegang tot tabellen met onbewerkte gegevens.

In Microsoft Sentinel worden samenvattingsregelresultaten opgeslagen in aangepaste tabellen met het analysegegevensplan . Zie Tabelplannen voor logboeken voor meer informatie over gegevensplannen en opslagkosten.

In dit artikel wordt uitgelegd hoe u samenvattingsregels maakt of vooraf gemaakte overzichtsregelsjablonen implementeert in Microsoft Sentinel en voorbeelden bevat van veelvoorkomende scenario's voor het gebruik van samenvattingsregels.

Belangrijk

Samenvattingsregels zijn momenteel beschikbaar als PREVIEW-versie. Zie de Aanvullende Gebruiksvoorwaarden voor Microsoft Azure Previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta, preview, of anderszins nog niet algemeen beschikbaar zijn.

Microsoft Sentinel is algemeen beschikbaar in de Microsoft Defender-portal, waaronder voor klanten zonder Microsoft Defender XDR of een E5-licentie. Vanaf juli 2026 wordt Microsoft Sentinel alleen ondersteund in de Defender-portal en worden alle resterende klanten die azure Portal gebruiken, automatisch omgeleid. Het is raadzaam dat klanten die Microsoft Sentinel in Azure gebruiken, beginnen met het plannen van de overgang naar de Defender-portal voor de volledige geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden aangeboden. Zie Planning van uw overstap naar de Microsoft Defender-portal voor alle Microsoft Sentinel-klanten (blog) voor meer informatie.

Vereisten

Overzichtsregels maken in Microsoft Sentinel:

U wordt aangeraden te experimenteren met uw samenvattingsregelquery op de pagina Logboeken voordat u de regel maakt. Controleer of de query niet de querylimiet bereikt of bijna bereikt en controleer of de query het beoogde schema en de verwachte resultaten produceert. Als de query dicht bij de querylimieten ligt, kunt u overwegen om een kleinere binSize te gebruiken om minder gegevens per bin te verwerken. U kunt de query ook wijzigen om minder records te retourneren of velden met een hoger volume te verwijderen.

Een nieuwe samenvattingsregel maken

Maak een nieuwe samenvattingsregel om een specifieke grote set gegevens samen te voegen in een dynamische tabel. Configureer de regelfrequentie om te bepalen hoe vaak uw geaggregeerde gegevensset wordt bijgewerkt op basis van de onbewerkte gegevens.

  1. Open de Samenvattingsregelwizard:

    • Selecteer in de Defender-portal Microsoft Sentinel-configuratiesamenvattingsregels >> (Preview).

    • Selecteer in Azure Portal, in het navigatiemenu van Microsoft Sentinel, onder Configuratie, samenvattingsregels (preview). Voorbeeld:

      Schermopname van de pagina Samenvattingsregels in Azure Portal.

  2. Selecteer + Maken en voer de volgende gegevens in:

    • Naam. Voer een betekenisvolle naam in voor uw regel.

    • Beschrijving. Voer eventueel een beschrijving in.

    • Doeltabel. Definieer de aangepaste logboektabel waarin uw gegevens worden samengevoegd:

      • Als u bestaande aangepaste logboektabel selecteert, selecteert u de tabel die u wilt gebruiken.

      • Als u Nieuwe aangepaste logboektabel selecteert, voert u een betekenisvolle naam in voor de tabel. De volledige tabelnaam maakt gebruik van de volgende syntaxis: <tableName>_CL.

  3. U wordt aangeraden diagnostische instellingen voor SummaryLogs in te schakelen in uw werkruimte om inzicht te krijgen in historische uitvoeringen en fouten. Als diagnostische instellingen voor SummaryLogs niet zijn ingeschakeld, wordt u gevraagd deze in te schakelen in het gebied Diagnostische instellingen .

    Als diagnostische instellingen van SummaryLogs al zijn ingeschakeld, maar u de instellingen wilt wijzigen, selecteert u Geavanceerde diagnostische instellingen configureren. Wanneer u terugkomt op de Samenvattingsregel wizardpagina, selecteert u Vernieuwen om de instellingsgegevens te vernieuwen.

    Belangrijk

    De diagnostische instelling SummaryLogs heeft extra kosten. Zie Diagnostische instellingen in Azure Monitor voor meer informatie.

  4. Selecteer Volgende: Stel samenvattingslogica > in om door te gaan.

  5. Voer uw samenvattingsquery in op de pagina Samenvattingslogica instellen. Als u bijvoorbeeld gegevens van Google Cloud Platform wilt samenvatten, kunt u het volgende invoeren:

    GCPAuditLogs
| where ServiceName == 'pubsub.googleapis.com'
| summarize count() by Severity

    Zie Voorbeeld van overzichtsregelscenario's en Kusto-querytaal (KQL) in Azure Monitor voor meer informatie.

  6. Selecteer Voorbeeldresultaten om een voorbeeld weer te geven van de gegevens die u met de geconfigureerde query wilt verzamelen.

  7. In de sectie Queryplanning, definieer de volgende details:

    • Hoe vaak u de regel wilt laten uitvoeren
    • Of u wilt dat de regel wordt uitgevoerd met enige vorm van vertraging, in minuten
    • Wanneer u wilt dat de regel wordt uitgevoerd

    Tijden die in de planning zijn gedefinieerd, zijn gebaseerd op de timegenerated kolom in uw gegevens

  8. Klik op Volgende: Controleren + maken>>Opslaan om de regel voor samenvatting te voltooien.

Bestaande samenvattingsregels worden weergegeven op de pagina Samenvattingsregels (preview), waar u de status van uw regel kunt controleren. Selecteer voor elke regel het menu Opties aan het einde van de rij om een van de volgende acties uit te voeren:

  • Bekijk de huidige gegevens van de regel op de pagina Logboeken , alsof u de query onmiddellijk zou uitvoeren
  • De uitvoeringsgeschiedenis voor de geselecteerde regel weergeven
  • Schakel de regel uit of schakel deze in.
  • De regelconfiguratie bewerken

Als u een regel wilt verwijderen, selecteert u de regelrij en selecteert u Verwijderen in de werkbalk boven aan de pagina.

Notitie

Azure Monitor biedt ook ondersteuning voor het maken van samenvattingsregels via API of een ARM-sjabloon (Azure Resource Monitor). Zie Een samenvattingsregel maken of bijwerken voor meer informatie.

Vooraf gemaakte sjablonen voor samenvattingsregels implementeren

Overzichtsregelsjablonen zijn vooraf samengestelde samenvattingsregels die u kunt implementeren as-is of kunt aanpassen aan uw behoeften.

Een overzichtsregelsjabloon implementeren:

  1. Open de Inhoudshub en filter inhoudstype op samenvattingsregels om de beschikbare sjablonen voor samenvattingsregels weer te geven.

    Schermopname van de pagina Content Hub in Microsoft Sentinel met overzichtsregelsjablonen.

  2. Selecteer een overzichtsregelsjabloon.

    Er wordt een deelvenster met informatie over de overzichtsregelsjabloon geopend, met velden zoals beschrijving, samenvattingsquery en doeltabel.

    Schermopname van het detailvenster van een overzichtsregelsjabloon in Microsoft Sentinel, inclusief velden zoals beschrijving, samenvattingsquery en doeltabel.

  3. Selecteer Installeren om de sjabloon te installeren.

  4. Selecteer het tabblad Sjablonen op de pagina Overzichtsregels en selecteer de samenvattingsregel die u hebt geïnstalleerd.

    Een schermopname van het tabblad Sjablonen van de pagina Overzichtsregels.

  5. Selecteer Maken om de wizard Samenvattingsregel te openen, waarbij alle velden vooraf zijn ingevuld.

  6. Ga door de wizard Samenvattingsregel en selecteer Opslaan om de samenvattingsregel te implementeren.

    Zie Een nieuwe samenvattingsregel maken voor meer informatie over de wizard Samenvattingsregel.

Voorbeeldscenario's voor samenvattingsregels in Microsoft Sentinel

In deze sectie worden veelvoorkomende scenario's besproken voor het maken van samenvattingsregels in Microsoft Sentinel en onze aanbevelingen voor het configureren van elke regel. Zie Inzichten uit onbewerkte gegevens in een hulptabel samenvatten voor een analysetabel in Microsoft Sentinel (preview) en logboekbronnen voor gebruik voor opname van hulplogboeken voor meer informatie en voorbeelden.

Snel een schadelijk IP-adres vinden in uw netwerkverkeer

Scenario: U bent een bedreigingsjager en een van de doelen van uw team is om alle exemplaren te identificeren van wanneer een schadelijk IP-adres in de netwerkverkeerslogboeken van een actief incident communiceerde, in de afgelopen 90 dagen.

Uitdaging: Microsoft Sentinel neemt momenteel meerdere terabytes aan netwerklogboeken per dag op. U moet deze snel doorlopen om overeenkomsten voor het schadelijke IP-adres te vinden.

Oplossing: Het is raadzaam om samenvattingsregels te gebruiken om het volgende te doen:

  1. Maak een samenvattingsgegevensset voor elk IP-adres dat betrekking heeft op het incident, inclusief de SourceIP, DestinationIP, MaliciousIP en RemoteIP, waarbij elke belangrijke kenmerken vermeldt, zoals IPType, FirstTimeSeen en LastTimeSeen.

    Met de samenvattingsgegevensset kunt u snel zoeken naar een specifiek IP-adres en het tijdsbereik beperken waar het IP-adres wordt gevonden. U kunt dit zelfs doen wanneer de gezochte gebeurtenissen meer dan 90 dagen terug plaatsvonden, wat de bewaarperiode van de werkruimte overschrijdt.

    In dit voorbeeld configureert u de samenvatting om dagelijks uit te voeren, zodat de query elke dag nieuwe samenvattingsrecords toevoegt totdat deze verloopt.

  2. Maak een analyseregel die minder dan twee minuten wordt uitgevoerd op basis van de samenvattingsgegevensset en zoom snel in op het specifieke tijdsbereik wanneer het schadelijke IP-adres interactie heeft gehad met het bedrijfsnetwerk.

    Zorg ervoor dat u uitvoeringsintervallen van minimaal vijf minuten configureert, om rekening te houden met verschillende samenvattingsbelastinggroottes. Dit zorgt ervoor dat er geen verlies is, zelfs niet wanneer er sprake is van een vertraging in de opname van gebeurtenissen.

    Voorbeeld:

    let csl_columnmatch=(column_name: string) {
summarized_CommonSecurityLog
| where isnotempty(column_name)
| extend
    Date = format_datetime(TimeGenerated, "yyyy-MM-dd"),
    IPaddress = column_ifexists(column_name, ""),
    FieldName = column_name
| extend IPType = iff(ipv4_is_private(IPaddress) == true, "Private", "Public")
| where isnotempty(IPaddress)
| project Date, TimeGenerated, IPaddress, FieldName, IPType, DeviceVendor
| summarize count(), FirstTimeSeen = min(TimeGenerated), LastTimeSeen = min(TimeGenerated) by Date, IPaddress, FieldName, IPType, DeviceVendor
};
union csl_columnmatch("SourceIP")
    , csl_columnmatch("DestinationIP") 
    , csl_columnmatch("MaliciousIP")
    , csl_columnmatch("RemoteIP")
// Further summarization can be done per IPaddress to remove duplicates per day on larger timeframe for the first run
| summarize make_set(FieldName), make_set(DeviceVendor) by IPType, IPaddress

  3. Voer een volgende zoekopdracht of correlatie uit met andere gegevens om het aanvalsverhaal te voltooien.

Waarschuwingen genereren voor overeenkomsten met bedreigingsinformatie op basis van netwerkgegevens

Genereer waarschuwingen over bedreigingsinformatieovereenkomsten tegen luidruchtige, grote volumes en netwerkgegevens met een lage beveiligingswaarde.

Scenario: U moet een analyseregel bouwen voor firewalllogboeken om overeen te komen met domeinnamen in het systeem die zijn bezocht tegen een lijst met domeinnamen van de bedreigingsinformatie.

De meeste gegevensbronnen zijn onbewerkte logboeken die luidruchtig zijn en een hoog volume hebben, maar een lagere beveiligingswaarde hebben, waaronder IP-adressen, Azure Firewall-verkeer, Fortigate-verkeer, enzovoort. Er is een totaal volume van ongeveer 1 TB per dag.

Uitdaging: Voor het maken van afzonderlijke regels zijn meerdere logische apps vereist, waarvoor extra overhead en kosten voor het instellen en onderhoud zijn vereist.

Oplossing: Het is raadzaam om samenvattingsregels te gebruiken om het volgende te doen:

  1. Een samenvattingsregel maken:

    1. Breid uw query uit om sleutelvelden te extraheren, zoals het bronadres, het doeladres en de doelpoort uit de CommonSecurityLog_CL tabel, namelijk commonSecurityLog met het hulpplan.

    2. Voer een interne zoekactie uit op de actieve Bedreigingsinformatie-indicatoren om overeenkomsten met ons bronadres te identificeren. Hiermee kunt u uw data afstemmen op bekende bedreigingen.

    3. Project relevante informatie, inclusief de tijd die is gegenereerd, het activiteitstype en eventuele schadelijke bron-IP-adressen, samen met de doelgegevens. Stel de frequentie in waarop de query moet worden uitgevoerd en de doeltabel, zoals MaliciousIPDetection . De resultaten in deze tabel bevinden zich in de analyselaag en worden dienovereenkomstig in rekening gebracht.

  2. Een waarschuwing maken:

    Een analyseregel maken in Microsoft Sentinel die waarschuwingen geeft op basis van resultaten uit de tabel MaliciousIPDetection . Deze stap is van cruciaal belang voor proactieve detectie van bedreigingen en reactie op incidenten.

Voorbeeldsamenvattingsregel:

CommonSecurityLog_CL​
| extend sourceAddress = tostring(parse_json(Message).sourceAddress), destinationAddress = tostring(parse_json(Message).destinationAddress), destinationPort = tostring(parse_json(Message).destinationPort)​
| lookup kind=inner (ThreatIntelligenceIndicator | where Active == true ) on $left.sourceAddress == $right.NetworkIP​
| project TimeGenerated, Activity, Message, DeviceVendor, DeviceProduct, sourceMaliciousIP =sourceAddress, destinationAddress, destinationPort

Gerelateerde inhoud