Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel vises og sammenlignes de forskellige funktioner, der understøttes af Microsoft Sentinel analyseregler og Microsoft Defender brugerdefinerede registreringer. Den indeholder også yderligere oplysninger, f.eks. planer om at understøtte eventuelle egenskaber for analyseregler, der ikke er tilgængelige i brugerdefinerede registreringer, hvis det er relevant.
Vigtigt!
Brugerdefinerede registreringer er nu den bedste måde at oprette nye regler på tværs af Microsoft Sentinel SIEM-Microsoft Defender XDR. Med brugerdefinerede registreringer kan du reducere omkostningerne til indtagelse, få ubegrænsede registreringer i realtid og drage fordel af problemfri integration med Defender XDR data, funktioner og afhjælpningshandlinger med automatisk enhedstilknytning. Du kan få flere oplysninger ved at læse denne blog.
Sammenlign analyseregler og funktioner til brugerdefinerede registreringer
| Funktion | Kapacitet | Analyseregler | Brugerdefinerede registreringer |
|---|---|---|---|
| Advarselsberigelse | Fleksibel enhedstilknytning over Sentinel data | Understøttes | Understøttes |
| Link flere MITRE-taktikker | Understøttes | Planlagt | |
| Support komplet liste over MITRE-teknikker og -underteknologier | Understøttes | Planlagt | |
| Berige beskeder med brugerdefinerede oplysninger | Understøttes | Understøttes | |
| Definer beskedtitel og beskrivelse dynamisk – Integrer forespørgselsresultater i kørsel | Understøttes | Understøttes | |
| Definer alle egenskaber for beskeder dynamisk – Integrer forespørgselsresultater i kørsel | Understøttes | Planlagt | |
| Regelhyppighed | Understøtter fleksibel og høj frekvens for Sentinel data | Understøttes | Understøttes |
| NRT-regler (near-real-time) for Sentinel data | Understøttes | Planlagt | |
| NRT-streamingteknologi – Test hændelser, når de streamer, ikke følsomme over for indtagelsesforsinkelser | Understøttes ikke. Testhændelser for NRT-regler for analyse, når de er blevet indtaget. | Understøttes | |
| Fastlæg reglens første kørsel | Understøttes | Understøttes ikke | |
| Tilbageblik på regel | Understøttelse af tilbageslag | Tilbageslag er fleksibelt:
|
Tilbageslag bestemmes statisk af frekvensen: Svarer til fire gange hyppigheden eller 30 dage for en hyppighed på 24 timer eller mindre. Paritet med analyseregler er planlagt |
| Regeldata | Defender XDR data | Understøttes ikke | Understøttes |
| Sentinel analyseniveau | Understøttes | Understøttes | |
| Automatiserede handlinger | Handlinger til afhjælpning af oprindelige Defender XDR | Understøttes ikke | Understøttes |
| Sentinel automatiseringsregler med hændelsesudløser | Understøttes | Planlagt | |
| Sentinel automatiske regler med beskedudløser | Understøttes | Planlagt | |
| Synlighed af overvågning og tilstand | Overvågningslogge for regler, der er tilgængelige i avanceret jagt | Understøttet (i tabellen SentinelAudit ) |
Vises i tabellen CloudAppEvents for Microsoft Defender for Cloud Apps brugere.Denne funktion vil være tilgængelig for alle brugere af brugerdefinerede registreringer i fremtiden. |
| Regler sundhedslogge, der er tilgængelige i avanceret jagt | Understøttet (i tabellen SentinelHealth ) |
Planlagt | |
| Kontrollér gruppering af beskeder og hændelser | Tilpas logik for gruppering af beskeder | Understøttes | Understøttes ikke. I SIEM- og XDR-løsningerne tager korrelationsprogrammet sig af beskedernes grupperingslogik og kan håndtere behovet for at konfigurere grupperingslogikken. |
| Vælg mellem alle hændelser under én besked og én besked pr. hændelse | Understøttes | Understøttes ikke | |
| Gruppér hændelser til én besked, når brugerdefinerede oplysninger, dynamiske oplysninger om beskeder og objekter er identiske | Understøttes ikke | Understøttes | |
| Kontrollér oprettelse af hændelser og beskeder | Udelad hændelser fra korrelationsprogrammet – Sørg for, at hændelser fra forskellige regler forbliver adskilt | Planlagt | Planlagt |
| Opret beskeder uden hændelser | Understøttes | Understøttes ikke | |
| Undertrykkelse af beskeder – Definer undertrykkelse af beskeder, når reglen er kørt | Understøttes | Understøttes ikke | |
| Administration af regler | Kør reglen igen efter behov i et tidligere tidsvindue | Understøttes | Planlagt |
| Kør regel efter behov | Understøttes ikke | Understøttes | |
| Projektmapper med tilstand og kvalitet | Understøttes | Planlagt | |
| Integration med Sentinel lagre | Understøttes | Planlagt | |
| Administrer regler fra API | Understøttes | Understøttes | |
| Bicep-support | Understøttes | Planlagt | |
| Indholdshub | Opret regler fra indholdshub | Understøttes | Planlagt |
| Multiarbejdsområde | Opret brugerdefinerede registreringer på alle arbejdsområder, der er onboardet til Defender | Understøttes | Planlagt |
| Registrering af arbejdsområder på tværs af arbejdsområder ved hjælp af arbejdsområdeoperatoren | Understøttes | Planlagt | |
| Test og valideringer | Regelsimulering fra reglens guide | Understøttes | Planlagt |