Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Um sicherzustellen, dass die Bedrohungserkennung von Microsoft Sentinel eine vollständige Abdeckung in Ihrer Umgebung bietet, nutzen Sie die zugehörigen Tools für die Ausführungsverwaltung. Diese Tools bestehen aus Erkenntnissen zur Ausführung Ihrer geplanten Analyseregeln, die auf den Integritäts- und Überwachungsdaten von Microsoft Sentinel basieren, und einer Möglichkeit, frühere Ausführungen von Regeln in bestimmten Zeitfenstern zu Test- und/oder Problembehandlungszwecken manuell erneut auszuführen.
Wichtig
Microsoft Sentinel Analyseregeleinblicke und die manuelle erneute Ausführung befinden sich derzeit in der VORSCHAU. Weitere rechtliche Bestimmungen, die für Azure Features gelten, die sich in beta, in der Vorschauversion oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden, finden Sie in den ergänzenden Nutzungsbedingungen für Microsoft Azure Previews.
Zusammenfassung
Es gibt zwei Ausführungsverwaltungstools für geplante Analyseregeln: integrierte Erkenntnisse zu geplanten Regeln und die Möglichkeit, geplante Regeln bei Bedarf erneut auszuführen.
Auf der Seite Analyse wird der Bereich Erkenntnisse als weitere Registerkarte im Detailbereich neben der Registerkarte Informationen angezeigt. Der Bereich "Erkenntnisse " enthält Informationen zu den Aktivitäten und Ergebnissen einer Regel. Beispiel: Fehlgeschlagene Ausführungen, häufigste Integritätsprobleme, Warnungsanzahl im Laufe der Zeit und schließende Klassifizierungen von Incidents, die von der Regel erstellt wurden. Diese Erkenntnisse helfen Ihren Sicherheitsanalysten, potenzielle Probleme oder Fehlkonfigurationen mit Analyseregeln zu identifizieren, und ermöglichen es ihnen, Regelfehler zu erkennen und zu beheben und Regelkonfigurationen zu optimieren, um eine bessere Leistung und Genauigkeit zu erzielen.
Außerdem haben Sie auf der Seite Analyse die Möglichkeit, Analyseregeln bei Bedarf erneut ausführen zu können. Diese Funktion bietet Flexibilität und Kontrolle bei der Überprüfung der Wirksamkeit der Regeln. Dies kann in Szenarien wie Dereinschränkung von Regeln, Tests, Validierungen usw. nützlich sein. Wenn Sie die Flexibilität haben, manuelle Wiederholungen zu initiieren, können Sie effiziente Sicherheitsvorgänge unterstützen, eine effektive Reaktion auf Vorfälle ermöglichen und die allgemeinen Erkennungs- und Reaktionsfunktionen des Systems verbessern.
Anwendungsfälle und Vorteile einer erneuten Regelausführung
Im Folgenden finden Sie einige Szenarien, die von der Wiedergabe bestimmter Ausführungen von Analyseregeln profitieren können:
Einschränkung und Optimierung von Regeln: Analyseregeln erfordern möglicherweise regelmäßige Anpassungen und Optimierungen basierend auf der sich entwickelnden Bedrohungslandschaft und den sich ändernden Organisationsanforderungen. Durch die manuelle erneute Ausführung von Regeln können Ihre Analysten die Auswirkungen von Regeländerungen bewerten und ihre Wirksamkeit überprüfen, bevor sie in einer Produktionsumgebung bereitgestellt werden.
Testen und Überprüfen: Wenn Sie neue Analyseregeln einführen, wesentliche Änderungen an vorhandenen Regeln vornehmen oder neue Incident-Playbooks entwickeln, ist es wichtig, ihre Leistung und Genauigkeit gründlich zu testen. Die manuelle erneute Ausführung ermöglicht es Ihnen, verschiedene Szenarien zu simulieren, einschließlich eines automatisierten End-to-End-Incidentflows, und die Regeln anhand eines konsistenten Satzes von Dateneingaben zu überprüfen. Dieser Prozess stellt sicher, dass die Regeln die erwarteten Warnungen generieren, ohne übermäßige falsch positive Ergebnisse zu erzeugen.
Untersuchung von Vorfällen: Im Falle eines Sicherheitsvorfalls oder einer verdächtigen Aktivität möchten Ihre Analysten möglicherweise zusätzliche Details in den bereits generierten Warnungen anzeigen. Sie können dies tun, indem sie die Regel aktualisieren und sie in bestimmten Ausführungsintervallen (bis zu sieben Tage) erneut ausführen, um zusätzliche Informationen zu sammeln und verwandte Ereignisse zu identifizieren. Die manuelle erneute Ausführung ermöglicht Es Ihren Analysten, eingehende Untersuchungen durchzuführen und eine umfassende Abdeckung sicherzustellen.
Compliance und Überwachung: Einige gesetzliche Anforderungen oder interne Richtlinien erfordern möglicherweise das erneute Ausführen von Analyseregeln in regelmäßigen Abständen oder bei Bedarf, um eine kontinuierliche Überwachung und Compliance zu demonstrieren. Die manuelle erneute Ausführung bietet die Möglichkeit, solche Verpflichtungen zu erfüllen, indem sichergestellt wird, dass Regeln konsistent angewendet werden und entsprechende Warnungen generiert werden.
Voraussetzungen
Um die Ausführungsverwaltungstools verwenden zu können, muss das Integritäts- und Überwachungsfeature von Microsoft Sentinel und insbesondere die Integritätsüberwachung der Analyseregel aktiviert sein. Erfahren Sie, wie Sie Integrität und Überwachung aktivieren.
Anzeigen von Erkenntnissen zu Analyseregeln
Um diese Tools zu nutzen, untersuchen Sie zunächst die Erkenntnisse zu einer bestimmten Regel.
Wählen Sie im Microsoft Sentinel Navigationsmenü die Option Analyse aus.
Suchen Sie nach einer Regel (Geplant oder NRT), deren Erkenntnisse Sie anzeigen möchten, und wählen Sie sie aus.
Wählen Sie im Detailbereich die Registerkarte Insights aus.
Wenn Sie die Registerkarte Erkenntnisse auswählen, wird die Zeitrahmenauswahl angezeigt. Wählen Sie einen Zeitrahmen aus, oder übernehmen Sie den Standardwert der letzten 24 Stunden.
Im Bereich "Erkenntnisse " werden derzeit vier Arten von Erkenntnissen angezeigt. Auf jede Erkenntnis folgt ein Link Alle anzeigen , der Sie zur Seite Protokolle führt und die Abfrage anzeigt, die die Erkenntnis erzeugt hat, zusammen mit den vollständigen Rohergebnissen. Hier sind die Erkenntnisse:
Bei fehlgeschlagenen Ausführungen wird eine Liste der fehlgeschlagenen Ausführungen dieser Regel im angegebenen Zeitrahmen angezeigt. Auf diese Erkenntnis folgt auch ein Link zum Bereich Regelausführungen , in dem Sie eine Liste aller Ausführungszeiten der Regel anzeigen und bestimmte Ausführungen der Regel wiedergeben können.
Top-Integritätsprobleme zeigt eine Liste der häufigsten Integritätsprobleme für diese Regel während des angegebenen Zeitrahmens an. Auf diese Erkenntnis folgt auch ein Link Anzeigen von Ausführungen , über den Sie zur Seite Protokolle gelangen, auf der Sie eine Abfrage aller Zeiten sehen, zu denen diese Regel ausgeführt wurde.
Das Warnungsdiagramm zeigt ein Diagramm der Anzahl von Warnungen, die von dieser Regel im angegebenen Zeitrahmen generiert wurden.
Die Incidentklassifizierung zeigt eine Zusammenfassung der Klassifizierung geschlossener Vorfälle, die von dieser Regel während des angegebenen Zeitrahmens erstellt wurden.
Erneutes Ausführen von Analyseregeln
Es gibt mehrere Szenarien, die dazu führen können, dass Sie eine Regel erneut ausführen.
Eine Regel konnte aufgrund einer temporären Bedingung, die auf normal zurückgesetzt wurde, oder aufgrund einer Fehlkonfiguration nicht ausgeführt werden. Nachdem Sie die Fehlkonfiguration korrigiert oder die Bedingung repariert haben, sollten Sie die Regel im selben Zeitfenster (d. h. bei denselben Daten) wie bei der fehlgeschlagenen Ausführung erneut ausführen, um die Lücken in der Abdeckung zu verringern.
Eine Regel konnte erfolgreich ausgeführt werden, lieferte aber nicht genügend Informationen in den generierten Warnungen. In diesem Fall können Sie die Regel bearbeiten, um weitere Informationen bereitzustellen, indem Sie die Abfrage oder die Anreicherungseinstellungen ändern. Anschließend sollten Sie die Regel im gleichen Zeitfenster (d. h. auf denselben Daten) wie bei der Ausführung, für die Sie weitere Informationen benötigen, erneut ausführen.
Möglicherweise experimentieren Sie mit dem Schreiben oder Bearbeiten einer Regel und möchten sehen, wie sich unterschiedliche Einstellungen auf die warnungen auswirken, die die Regel generiert. Für einen gültigen Vergleich möchten Sie die Regel im gleichen Zeitfenster erneut ausführen.
So führen Sie eine Regel erneut aus:
Wählen Sie auf der Seite Analyse die Option Regelausführungen (Vorschau) auf der Symbolleiste oben aus. Der Bereich Regelausführungen wird geöffnet.
Sie können auch zum Bereich Regelausführungen gelangen, indem Sie auf der RegisterkarteErkenntnisse die Option Regeln erneut ausführen auswählen (siehe oben).
Wählen Sie die Regelausführungen aus, die Sie wiedergeben möchten, entsprechend dem Zeitfenster, in dem sie ursprünglich ausgeführt wurden, wie in der Spalte Ausführungszeit angezeigt. Sie können mehrere Regelausführungen auswählen.
Wählen Sie Wiedergabeausführung aus. Es werden Benachrichtigungen angezeigt, die den Fortschritt der Anforderungen anzeigen und dass die Regeln für die Ausführung in die Warteschlange eingereiht wurden.
Wählen Sie Aktualisieren aus, um die aktualisierte status der Ausführung der Regel anzuzeigen. Sie werden sehen, dass Ihre Anforderungen unter ihnen angezeigt werden, mit dem status In Bearbeitung (es wird schließlich als Erfolg angezeigt) und einer Art von Vom Benutzer ausgelöst, im Gegensatz zu vom System ausgelösten.
Sie werden auch feststellen, dass die Ausführungszeit der angeforderten erneuten Ausführungen mit der Ausführung der ursprünglichen, vom System ausgelösten Ausführung identisch ist, und nicht die Ausführungszeit Ihrer erneuten Ausführung. Dies soll Ihnen zeigen, auf welches Zeitfenster Ihre erneute Ausführung verweist.
Sie können nur vom System ausgelöste Regelausführungen wiedergeben, nicht von Benutzern ausgelöste.
Wählen Sie am Ende der Zeile einer Regelausführung die Option Vollständige Details anzeigen aus, um die vollständigen, unformatierten Details auf dem Bildschirm Protokolle anzuzeigen.
Nächste Schritte
- Überwachen Sie die Integrität, und überwachen Sie die Integrität Ihrer Analyseregeln.
- Erfahren Sie mehr über die Überwachung und Integritätsüberwachung in Microsoft Sentinel.
- Aktivieren Sie die Überwachung und Integritätsüberwachung in Microsoft Sentinel.
- Weitere Informationen zu den Tabellenschemas SentinelHealth und SentinelAudit finden Sie hier.