Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der mit Abstand häufigste Typ von Analyseregel, geplante Regeln, basiert auf Kusto-Abfragen, die so konfiguriert sind, dass sie in regelmäßigen Abständen ausgeführt werden und Rohdaten aus einem definierten „Rückblickzeitraum“ untersuchen. Diese Abfragen können komplexe statistische Vorgänge für ihre Zieldaten ausführen, wodurch Baselines und Ausreißer in Ereignisgruppen offengelegt werden. Wenn die Anzahl der von der Abfrage erfassten Ergebnisse den in der Regel konfigurierten Schwellenwert überschreitet, erzeugt die Regel eine Warnung.
Microsoft stellt Ihnen eine Vielzahl von Analyseregelvorlagen über die vielen Lösungen zur Verfügung, die im Inhaltshub bereitgestellt werden, und empfiehlt Ihnen dringend, diese zum Erstellen Ihrer Regeln zu verwenden. Die Abfragen in geplanten Regelvorlagen werden von Sicherheits- und Data Science-Experten geschrieben, entweder von Microsoft oder vom Anbieter der Lösung, die die Vorlage bereitstellt.
In diesem Artikel erfahren Sie, wie Sie eine geplante Analyseregel mithilfe einer Vorlage erstellen.
Wichtig
Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.
Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.
Anzeigen vorhandener Analyseregeln
Um die installierten Analyseregeln in Microsoft Sentinel anzuzeigen, wechseln Sie zur Seite Analyse. Auf der Registerkarte Regelvorlagen werden alle installierten Regelvorlagen angezeigt. Um weitere Regelvorlagen zu finden, wechseln Sie in Microsoft Sentinel zum Inhaltshub, um Produktlösungen zu installieren, die die benötigten Regelvorlagen enthalten, oder installieren Sie eigenständige Inhalte.
Erweitern Sie im Microsoft Defender Navigationsmenü Microsoft Sentinel und dann Konfiguration. Wählen Sie Analytics aus.
Wählen Sie auf dem Bildschirm Analyse die Registerkarte Regelvorlagen aus.
Wenn Sie die Liste nach Geplant-Vorlagen filtern möchten:
Wählen Sie Filter hinzufügen und dann Regeltyp aus der Filterliste aus.
Wählen Sie in der resultierenden Liste Die Option Geplant aus. Wählen Sie dann Übernehmen aus.
Erstellen einer Regel aus einer Vorlage
In diesem Verfahren wird beschrieben, wie Sie eine Analyseregel aus einer Vorlage erstellen.
Erweitern Sie im Microsoft Defender Navigationsmenü Microsoft Sentinel und dann Konfiguration. Wählen Sie Analytics aus.
Wählen Sie auf dem Bildschirm Analyse die Registerkarte Regelvorlagen aus.
Wählen Sie einen Vorlagennamen und dann im Detailbereich die Schaltfläche Regel erstellen aus, um eine neue aktive Regel basierend auf dieser Vorlage zu erstellen.
Jede Vorlage enthält eine Liste der erforderlichen Datenquellen. Wenn Sie die ausgewählte Vorlage öffnen, werden die Datenquellen automatisch auf Verfügbarkeit überprüft. Wenn eine Datenquelle nicht aktiviert ist, ist die Schaltfläche Regel erstellen möglicherweise deaktiviert, oder Es wird eine entsprechende Meldung angezeigt.
Der Regelerstellungs-Assistent wird geöffnet. Alle Details werden automatisch ausgefüllt.
Gehen Sie die Registerkarten des Assistenten durch und passen Sie, wo möglich, die Logik und andere Regeleinstellungen an Ihre spezifischen Anforderungen an. Weitere Informationen finden Sie unter:
- Kusto-Abfragesprache in Microsoft Sentinel
- KQL-Kurzübersicht
- Bewährte Methoden für Abfragen in Kusto Query Language
Wenn Sie das Ende des Regelerstellungs-Assistenten erreichen, erstellt Microsoft Sentinel die Regel. Die neue Regel wird auf der Registerkarte Aktive Regeln angezeigt.
Wiederholen Sie den Vorgang, um weitere Regeln zu erstellen. Weitere Informationen dazu, wie Sie Ihre Regeln im Regelerstellungs-Assistenten anpassen, finden Sie unter Eine benutzerdefinierte Analyseregel von Grund auf erstellen.
Tipp
Stellen Sie sicher, dass Sie alle Regeln aktivieren, die Ihren verbundenen Datenquellen zugeordnet sind , um eine vollständige Sicherheitsabdeckung für Ihre Umgebung sicherzustellen. Die effizienteste Möglichkeit zum Aktivieren von Analyseregeln erfolgt direkt über die Datenconnectorseite, auf der alle zugehörigen Regeln aufgelistet sind. Weitere Informationen finden Sie unter Verbinden von Datenquellen.
Sie können Regeln auch über die Microsoft Sentinel REST-API und PowerShell an Microsoft Sentinel übertragen. Dies erfordert jedoch zusätzlichen Aufwand.
Wenn Sie API oder PowerShell verwenden, müssen Sie zuerst die Analyseregeln exportieren, die Sie in JSON aktivieren möchten, bevor Sie sie aktivieren. API oder PowerShell können hilfreich sein, wenn Regeln in mehreren Instanzen von Microsoft Sentinel jeweils mit identischen Einstellungen aktiviert werden.
Nächste Schritte
- Erfahren Sie mehr über Analyseregeln.
- Erfahren Sie, wie Sie eine Analyseregel von Grund auf neu erstellen.