Behandeln von falsch positiven Ergebnissen in Microsoft Sentinel

Wichtig

Benutzerdefinierte Erkennungen sind jetzt die beste Möglichkeit, neue Regeln in Microsoft Sentinel SIEM-Microsoft Defender XDR zu erstellen. Mit benutzerdefinierten Erkennungen können Sie Erfassungskosten reduzieren, unbegrenzte Echtzeiterkennungen erhalten und von der nahtlosen Integration in Defender XDR Daten, Funktionen und Wartungsaktionen mit automatischer Entitätszuordnung profitieren. Weitere Informationen finden Sie in diesem Blog.

Microsoft Sentinel Analyseregeln benachrichtigen Sie, wenn etwas Verdächtiges in Ihrem Netzwerk auftritt. Keine Analyseregel ist perfekt, und Sie werden zwangsläufig einige falsch positive Ergebnisse erhalten, die behandelt werden müssen. In diesem Artikel wird beschrieben, wie falsch positive Ergebnisse behandelt werden, entweder mithilfe der Automatisierung oder durch Ändern geplanter Analyseregeln.

Falsch positive Ursachen und Prävention

Selbst in einer ordnungsgemäß erstellten Analyseregel stammen falsch positive Ergebnisse häufig von bestimmten Entitäten wie Benutzern oder IP-Adressen, die von der Regel ausgeschlossen werden sollten.

Zu den gängigen Szenarien gehören:

  • Normale Aktivitäten bestimmter Benutzer, in der Regel Dienstprinzipale, zeigen ein Muster, das verdächtig erscheint.
  • Absichtliche Sicherheitsüberprüfungsaktivitäten, die von bekannten IP-Adressen stammen, werden als schädlich erkannt.
  • Eine Regel, die private IP-Adressen ausschließt, sollte auch einige interne IP-Adressen ausschließen, die nicht privat sind.

In diesem Artikel werden zwei Methoden zur Vermeidung falsch positiver Ergebnisse beschrieben:

  • Automatisierungsregeln erstellen Ausnahmen, ohne Analyseregeln zu ändern.
  • Geplante Änderungen an Analyseregeln ermöglichen detailliertere und dauerhaftere Ausnahmen.

In der folgenden Tabelle werden die Merkmale der einzelnen Methoden beschrieben:

Methode Merkmal
Automatisierungsregeln
  • Kann für mehrere Analyseregeln gelten.
  • Führen Sie einen Überwachungspfad. Ausnahmen sofort und automatisch schließen erstellte Incidents, die den Grund für die Schließung und Kommentare aufzeichnen.
  • Werden häufig von Analysten generiert.
  • Zulassen der Anwendung von Ausnahmen für einen begrenzten Zeitraum. Beispielsweise können Wartungsarbeiten falsch positive Ergebnisse auslösen, die außerhalb des Wartungszeitrahmens echte Vorfälle sind.
Änderungen an Analyseregeln
  • Lassen Sie erweiterte boolesche Ausdrücke und subnetzbasierte Ausnahmen zu.
  • Ermöglicht ihnen die Verwendung von Watchlists, um die Ausnahmeverwaltung zu zentralisieren.
  • In der Regel ist die Implementierung durch SoC-Techniker (Security Operations Center) erforderlich.
  • Sind die flexibelste und vollständigste falsch positive Lösung, sind aber komplexer.

Hinzufügen von Ausnahmen mit Automatisierungsregeln (nur Azure-Portal)

In diesem Verfahren wird beschrieben, wie Sie eine Automatisierungsregel hinzufügen , wenn ein falsch positiver Vorfall angezeigt wird. Dieses Verfahren wird nur im Azure-Portal unterstützt.

Wenn Microsoft Sentinel in das Defender-Portal integriert ist, erstellen Sie Automatisierungsregeln basierend auf den Details Ihres Incidents von Grund auf neu. Weitere Informationen finden Sie unter Automatisieren der Reaktion auf Bedrohungen in Microsoft Sentinel mit Automatisierungsregeln.

So fügen Sie eine Automatisierungsregel hinzu, um ein falsch positives Ergebnis zu behandeln:

  1. Wählen Sie in Microsoft Sentinel unter Incidents den Incident aus, für den Sie eine Ausnahme erstellen möchten.

  2. Wählen Sie im Bereich "Incidentdetails" auf der Seite Aktionen > Automatisierungsregel erstellen aus.

  3. Ändern Sie auf der Randleiste Neue Automatisierungsregel erstellen optional den Namen der neuen Regel, um die Ausnahme zu identifizieren, und nicht nur den Namen der Warnungsregel.

  4. Fügen Sie unter Bedingungen optional weitere Analytics-Regelnamenhinzu, auf die die Ausnahme angewendet werden soll. Wählen Sie das Dropdownfeld aus, das den Namen der Analyseregel enthält, und wählen Sie weitere Analyseregeln aus der Liste aus.

  5. Auf der Randleiste werden die spezifischen Entitäten im aktuellen Incident angezeigt, die möglicherweise das falsch positive Ergebnis verursacht haben. Behalten Sie die automatischen Vorschläge bei, oder ändern Sie sie, um die Ausnahme zu optimieren. Sie können z. B. eine Bedingung für eine IP-Adresse so ändern, dass sie auf ein gesamtes Subnetz angewendet wird.

    Screenshot: Erstellen einer Automatisierungsregel für einen Incident in Microsoft Sentinel

  6. Wenn Sie mit den Bedingungen zufrieden sind, scrollen Sie im Seitenbereich nach unten, um die Funktionsweise der Regel zu definieren:

    Screenshot: Fertigstellen der Erstellung und Anwendung einer Automatisierungsregel in Microsoft Sentinel

    • Die Regel ist bereits so konfiguriert, dass ein Incident geschlossen wird, der die Ausnahmekriterien erfüllt.
    • Sie können den angegebenen Abschlussgrund unverändert lassen, oder Sie können ihn ändern, wenn ein anderer Grund besser geeignet ist.
    • Sie können dem automatisch geschlossenen Incident einen Kommentar hinzufügen, der die Ausnahme erläutert. Sie können z. B. angeben, dass der Incident aus einer bekannten Administrativen Aktivität stammt.
    • Standardmäßig ist festgelegt, dass die Regel automatisch nach 24 Stunden abläuft. Dieser Ablauf ist möglicherweise das gewünschte Ablaufdatum und verringert die Wahrscheinlichkeit falsch negativer Fehler. Wenn Sie eine längere Ausnahme wünschen, legen Sie den Regelablauf auf einen späteren Zeitpunkt fest.

  7. Sie können bei Bedarf weitere Aktionen hinzufügen. Beispielsweise können Sie dem Incident ein Tag hinzufügen oder ein Playbook ausführen, um eine E-Mail oder Benachrichtigung zu senden oder mit einem externen System zu synchronisieren.

  8. Wählen Sie Übernehmen aus, um die Ausnahme zu aktivieren.

Hinzufügen von Ausnahmen durch Ändern von Analyseregeln

Eine weitere Möglichkeit zum Implementieren von Ausnahmen ist das Ändern der Analyseregelabfrage. Sie können Ausnahmen direkt in die Regel aufnehmen oder vorzugsweise, wenn möglich, einen Verweis auf eine Watchlist verwenden. Anschließend können Sie die Ausnahmeliste in der Watchlist verwalten.

Ändern der Abfrage

Wählen Sie zum Bearbeiten vorhandener Analyseregeln im linken Navigationsmenü Microsoft Sentinel Automation aus. Wählen Sie die Regel aus, die Sie bearbeiten möchten, und wählen Sie dann unten rechts Bearbeiten aus, um den Analyseregel-Assistenten zu öffnen.

Ausführliche Anweisungen zur Verwendung des Assistenten für Analyseregeln zum Erstellen und Bearbeiten von Analyseregeln finden Sie unter Erstellen benutzerdefinierter Analyseregeln zum Erkennen von Bedrohungen.

Um eine Ausnahme in einer typischen Regelvorschrift zu implementieren, können Sie eine Bedingung wie where IPAddress !in ('<ip addresses>') am Anfang der Regelabfrage hinzufügen. Diese Zeile schließt bestimmte IP-Adressen aus der Regel aus.

let timeFrame = 1d;
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| where IPAddress !in ('10.0.0.8', '192.168.12.1')
...

Diese Art von Ausnahme ist nicht auf IP-Adressen beschränkt. Sie können bestimmte Benutzer mithilfe des UserPrincipalName Felds oder bestimmte Apps mit AppDisplayNameausschließen.

Sie können auch mehrere Attribute ausschließen. Um z. B. Warnungen von der IP-Adresse 10.0.0.8 oder dem Benutzer user@microsoft.comauszuschließen, verwenden Sie Folgendes:

| where IPAddress !in ('10.0.0.8')
| where UserPrincipalName != 'user@microsoft.com'

Um ggf. eine differenziertere Ausnahme zu implementieren und das Risiko für falsch negative Ergebnisse zu verringern, können Sie Attribute kombinieren. Die folgende Ausnahme gilt nur, wenn beide Werte in derselben Warnung angezeigt werden:

| where IPAddress != '10.0.0.8' and UserPrincipalName != 'user@microsoft.com'

Subnetze ausschließen

Das Ausschließen von IP-Bereichen, die von einem organization verwendet werden, erfordert subnetz-Ausschluss. Im folgenden Beispiel wird gezeigt, wie Subnetze ausgeschlossen werden.

Der ipv4_lookup Operator ist ein Anreicherungsoperator, kein Filteroperator. Die where isempty(network) Zeile führt die Filterung tatsächlich durch, indem die Ereignisse überprüft werden, die keine Übereinstimmung anzeigen.

let subnets = datatable(network:string) [ "111.68.128.0/17", "5.8.0.0/19", ...];
let timeFrame = 1d;
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| evaluate ipv4_lookup(subnets, IPAddress, network, return_unmatched = true)
| where isempty(network)
...

Verwenden von Watchlists zum Verwalten von Ausnahmen

Sie können eine Watchlist verwenden, um die Liste der Ausnahmen außerhalb der Regel selbst zu verwalten. Falls zutreffend, hat diese Lösung die folgenden Vorteile:

  • Ein Analyst kann Ausnahmen hinzufügen, ohne die Regel zu bearbeiten. Dies folgt besser den bewährten SOC-Methoden.
  • Dieselbe Watchlist kann für mehrere Regeln gelten, wodurch eine zentrale Ausnahmeverwaltung ermöglicht wird.

Die Verwendung einer Watchlist ähnelt der Verwendung einer direkten Ausnahme. Verwenden Sie _GetWatchlist('<watchlist name>') , um die Watchlist aufzurufen:

let timeFrame = 1d;
let logonDiff = 10m;
let allowlist = (_GetWatchlist('ipallowlist') | project IPAddress);
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| where IPAddress !in (allowlist)
...

Sie können subnetzfiltern, indem Sie eine Watchlist verwenden. Im vorangehenden Subnetzausschlusscode könnten Sie beispielsweise die Subnetzdefinition datatable durch eine Watchlist ersetzen:

let subnets = _GetWatchlist('subnetallowlist');

Weitere Informationen zu den folgenden Elementen, die in den vorherigen Beispielen verwendet wurden, finden Sie in der Kusto-Dokumentation:

Weitere Informationen zu KQL finden Sie unter übersicht über Kusto-Abfragesprache (KQL).

Weitere Ressourcen:

Beispiel: Verwalten von Ausnahmen für die Microsoft Sentinel-Lösung für SAP-Anwendungen®

Die Microsoft Sentinel Lösung für SAP-Anwendungen® bietet Funktionen, die Sie verwenden können, um Benutzer oder Systeme von der Auslösung von Warnungen auszuschließen.

  • Schließen Sie Benutzer aus. Verwenden Sie die Funktion SAPUsersGetVIP für Folgendes:

    • Anruftags für Benutzer, die sie von der Auslösung von Warnungen ausschließen möchten. Markieren Sie Benutzer in der SAP_User_Config Watchlist, indem Sie Sternchen (*) als Platzhalter verwenden, um alle Benutzer mit einer angegebenen Benennungssyntax zu kennzeichnen.
    • Listen Sie bestimmte SAP-Rollen und/oder Profile auf, die Sie von der Auslösung von Warnungen ausschließen möchten.

  • Schließen Sie Systeme aus. Verwenden Sie Funktionen, die den SelectedSystemRoles-Parameter unterstützen, um zu bestimmen, dass nur bestimmte Systemtypen Warnungen auslösen, einschließlich nur Produktionssysteme , nur UAT-Systeme oder beides.

Weitere Informationen finden Sie unter Microsoft Sentinel Lösung für SAP-Anwendungen®– Datenreferenz.

Verwandte Inhalte

Weitere Informationen finden Sie unter:

  • Last updated on