Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Geplante Regeln basieren auf Kusto-Abfragen, die so konfiguriert sind, dass sie in regelmäßigen Abständen ausgeführt werden und Rohdaten aus einem definierten "Lookback"-Zeitraum untersuchen. Diese Abfragen können komplexe statistische Vorgänge für ihre Zieldaten ausführen, wodurch Baselines und Ausreißer in Ereignisgruppen offengelegt werden. Wenn die Anzahl der von der Abfrage erfassten Ergebnisse den in der Regel konfigurierten Schwellenwert überschreitet, erzeugt die Regel eine Warnung.
Microsoft stellt Ihnen eine Vielzahl von Analyseregelvorlagen über die vielen Lösungen zur Verfügung, die im Inhaltshub bereitgestellt werden, und empfiehlt Ihnen dringend, diese zum Erstellen Ihrer Regeln zu verwenden. Die Abfragen in geplanten Regelvorlagen werden von Sicherheits- und Data Science-Experten geschrieben, entweder von Microsoft oder vom Anbieter der Lösung, die die Vorlage bereitstellt.
In diesem Artikel erfahren Sie, wie Sie eine geplante Analyseregel mithilfe einer Vorlage erstellen.
Wichtig
Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.
Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.
Anzeigen vorhandener Analyseregeln
Um die installierten Analyseregeln in Microsoft Sentinel anzuzeigen, wechseln Sie zur Seite Analyse. Auf der Registerkarte Regelvorlagen werden alle installierten Regelvorlagen angezeigt. Weitere Regelvorlagen finden Sie im Inhaltshub in Microsoft Sentinel, um die zugehörigen Produktlösungen oder eigenständigen Inhalte zu installieren.
Erweitern Sie im Microsoft Defender Navigationsmenü Microsoft Sentinel und dann Konfiguration. Wählen Sie Analytics aus.
Wählen Sie auf dem Bildschirm Analyse die Registerkarte Regelvorlagen aus.
Wenn Sie die Liste nach geplanten Vorlagen filtern möchten:
Wählen Sie Filter hinzufügen und dann Regeltyp aus der Filterliste aus.
Wählen Sie in der resultierenden Liste Die Option Geplant aus. Wählen Sie dann Übernehmen aus.
Erstellen einer Regel aus einer Vorlage
In diesem Verfahren wird beschrieben, wie Sie eine Analyseregel aus einer Vorlage erstellen.
Erweitern Sie im Microsoft Defender Navigationsmenü Microsoft Sentinel und dann Konfiguration. Wählen Sie Analytics aus.
Wählen Sie auf dem Bildschirm Analyse die Registerkarte Regelvorlagen aus.
Wählen Sie einen Vorlagennamen und dann im Detailbereich die Schaltfläche Regel erstellen aus, um eine neue aktive Regel basierend auf dieser Vorlage zu erstellen.
Jede Vorlage enthält eine Liste der erforderlichen Datenquellen. Wenn Sie die Vorlage öffnen, werden die Datenquellen automatisch auf Verfügbarkeit überprüft. Wenn eine Datenquelle nicht aktiviert ist, ist die Schaltfläche Regel erstellen möglicherweise deaktiviert, oder Es wird eine entsprechende Meldung angezeigt.
Der Regelerstellungs-Assistent wird geöffnet. Alle Details werden automatisch ausgefüllt.
Durchlaufen Sie die Registerkarten des Assistenten, und passen Sie die Logik und andere Regeleinstellungen nach Möglichkeit an Ihre spezifischen Anforderungen an. Weitere Informationen finden Sie unter:
- Kusto-Abfragesprache in Microsoft Sentinel
- KQL-Kurzübersicht
- Bewährte Methoden für Kusto-Abfragesprache Abfragen
Wenn Sie das Ende des Regelerstellungs-Assistenten erreichen, erstellt Microsoft Sentinel die Regel. Die neue Regel wird auf der Registerkarte Aktive Regeln angezeigt.
Wiederholen Sie den Vorgang, um weitere Regeln zu erstellen. Weitere Informationen zum Anpassen ihrer Regeln im Regelerstellungs-Assistenten finden Sie unter Erstellen einer benutzerdefinierten Analyseregel von Grund auf.
Tipp
Stellen Sie sicher, dass Sie alle Regeln aktivieren, die Ihren verbundenen Datenquellen zugeordnet sind , um eine vollständige Sicherheitsabdeckung für Ihre Umgebung sicherzustellen. Die effizienteste Möglichkeit zum Aktivieren von Analyseregeln erfolgt direkt über die Datenconnectorseite, auf der alle zugehörigen Regeln aufgelistet sind. Weitere Informationen finden Sie unter Verbinden von Datenquellen.
Sie können Regeln auch per API und PowerShell an Microsoft Sentinel pushen, obwohl dies zusätzlichen Aufwand erfordert.
Wenn Sie die API oder PowerShell verwenden, müssen Sie die Regeln zuerst in JSON exportieren, bevor Sie die Regeln aktivieren. API oder PowerShell kann hilfreich sein, wenn Regeln in mehreren Instanzen von Microsoft Sentinel mit identischen Einstellungen in jedem instance aktiviert werden.
Nächste Schritte
In diesem Dokument haben Sie erfahren, wie Sie geplante Analyseregeln aus Vorlagen in Microsoft Sentinel erstellen.
- Erfahren Sie mehr über Analyseregeln.
- Erfahren Sie, wie Sie eine Analyseregel von Grund auf neu erstellen.