Anpassen von Warnungsdetails in Microsoft Sentinel

In diesem Artikel wird erläutert, wie Sie die Standardeigenschaften von Warnungen mit Inhalten aus den zugrunde liegenden Abfrageergebnissen überschreiben.

Beim Erstellen einer geplanten Analyseregel definieren Sie im ersten Schritt einen Namen und eine Beschreibung für die Regel, weisen ihr einen Schweregrad und MITRE ATT&CK-Taktiken zu. Alle warnungen, die von einer bestimmten Regel generiert werden – und alle daraus resultierenden Incidents – erben den Namen, die Beschreibung, den Schweregrad und die Taktiken, die in der Regel definiert sind, ohne Berücksichtigung des spezifischen Inhalts eines bestimmten instance der Warnung.

Mit dem Feature "Warnungsdetails " können Sie diese und andere Standardeigenschaften von Warnungen auf zwei Arten außer Kraft setzen:

• Erstellen Sie benutzerdefinierte Variablennamen und Beschreibungen für Ihre Warnungen. Sie können Felder in der Abfrageausgabe Ihrer Warnung auswählen, deren Inhalt in den Namen oder die Beschreibung der einzelnen instance der Warnung eingeschlossen werden kann. Wenn das ausgewählte Feld in einem bestimmten instance keinen Wert aufweist, rückgängig machen die Warnungsdetails für diese instance auf die auf der ersten Seite des Assistenten angegebenen Standardwerte zurück.

• Passen Sie den Schweregrad, die Taktik und andere Eigenschaften einer bestimmten instance einer Warnung (siehe vollständige Liste der Eigenschaften unten) mit den Werten aller relevanten Felder aus der Abfrageausgabe an. Wenn die ausgewählten Felder leer sind oder werte aufweisen, die nicht mit dem Felddatentyp übereinstimmen, rückgängig machen die jeweiligen Warnungseigenschaften auf ihre Standardwerte (für Taktiken und Schweregrad, die auf der ersten Seite des Assistenten angegeben sind).

Führen Sie das unten beschriebene Verfahren aus, um das Feature für Warnungsdetails zu verwenden. Diese Schritte sind Teil des Assistenten zum Erstellen von Analyseregeln, werden hier jedoch unabhängig voneinander behandelt, um das Szenario des Hinzufügens oder Änderns von Warnungsdetails in einer vorhandenen Analyseregel zu behandeln.

Anpassen von Warnungsdetails

1. Geben Sie die Seite Analyse im Portal ein, über die Sie auf Microsoft Sentinel zugreifen:

   • Azure-Portal
   • Defender-Portal

   Wählen Sie im Abschnitt Konfiguration des navigationsmenüs Microsoft Sentinel die Option Analyse aus.

2. Wählen Sie eine geplante Abfrageregel und dann Bearbeiten aus. Oder erstellen Sie eine neue Regel, indem Sie oben auf dem Bildschirm Geplante Abfrageregel erstellen > auswählen.

3. Wählen Sie die Registerkarte Regellogik festlegen aus.

4. Erweitern Sie im Abschnitt Warnungsanreicherungdie Option Warnungsdetails.

   

5. Fügen Sie im jetzt erweiterten Abschnitt Warnungsdetails Freitext hinzu, der Eigenschaften enthält, die den Details entsprechen, die Sie in der Warnung anzeigen möchten:

   1. Geben Sie im Feld Warnungsnamenformat den Text ein, der als Name der Warnung angezeigt werden soll (warnungstext), und schließen Sie in doppelt geschweifte Klammern alle Abfrageausgabefelder ein, die Teil des Warnungstexts sein sollen.

      Beispiel: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

   2. Führen Sie die gleichen Schritte mit dem Feld Warnungsbeschreibungsformat aus.

      Hinweis

      Sie sind derzeit auf drei Parameter in den Feldern Warnungsnamenformat und Warnungsbeschreibungsformat beschränkt.

   3. Um andere Standardeigenschaften zu überschreiben, wählen Sie in der Dropdownliste Warnungseigenschaft eine Warnungseigenschaft aus. Wählen Sie dann das Feld aus den Abfrageergebnissen aus, dessen Inhalt Sie die Warnungseigenschaft auffüllen möchten, aus der Dropdownliste Wert .

   4. Um weitere Standardeigenschaften zu überschreiben, wählen Sie + Neu hinzufügen aus, und wiederholen Sie den vorherigen Schritt. Die folgenden Eigenschaften können überschrieben werden:

      Name	Beschreibung
      AlertName	Zeichenfolge. Unterstützt nur Nur-Text.
      Beschreibung	Zeichenfolge. Unterstützt nur Nur-Text, wenn Microsoft Sentinel im Defender-Portal integriert ist.
      AlertSeverity	Mögliche Werte: - Informations - Niedrig - Medium - High
      Taktik	Mögliche Werte: - Aufklärung - Ressourcenentwicklung - InitialAccess - Ausführung - Persistenz - PrivilegeEscalation - DefenseEvasion - CredentialAccess - Entdeckung - LateralMovement - Auflistung - Exfiltration - CommandAndControl - Auswirkungen - PreAttack - ImpairProcessControl - InhibitResponseFunction
      Techniken (Vorschau)	Eine Zeichenfolge, die dem folgenden regulären Ausdruck entspricht: ^T(?<Digits>\d{4})$. Beispiel: T1234
      AlertLink (Vorschau)	Zeichenfolge
      ConfidenceLevel (Vorschau)	Mögliche Werte: - Niedrig - High - Unbekannt
      ConfidenceScore (Vorschau)	Ganze Zahl, zwischen 0-1 (einschließlich)
      ExtendedLinks (Vorschau)	Zeichenfolge
      ProductComponentName (Vorschau) * Weitere Informationen finden Sie im Anschluss an diese Tabelle.	Zeichenfolge
      ProductName (Vorschau) * Weitere Informationen finden Sie im Anschluss an diese Tabelle.	Zeichenfolge
      ProviderName (Vorschau) * Weitere Informationen finden Sie im Anschluss an diese Tabelle.	Zeichenfolge
      RemediationSteps (Vorschau)	Zeichenfolge

      Achtung

      Wenn Sie Microsoft Sentinel in das Microsoft Defender-Portal integriert haben:

      • Passen Sie das Feld ProductName nicht für Warnungen aus Microsoft-Quellen an. Dies führt dazu, dass diese Warnungen aus Microsoft Defender XDR verworfen werden und kein Incident erstellt wird.

      • Die Felder ProductComponentName und ProviderName können nicht mehr angepasst werden.

      Wenn eine dieser Anpassungen bereits in einer Ihrer Regeln vorhanden ist, entfernen Sie die Anpassungen, um die Kompatibilität zu gewährleisten und unerwartete Ergebnisse zu vermeiden.

   Wenn Sie Ihre Meinung ändern oder einen Fehler gemacht haben, können Sie ein Warnungsdetail entfernen, indem Sie auf das Papierkorbsymbol neben dem Paar Warnungseigenschaft/Wert klicken oder den Freitext aus den Feldern Warnungsname/Beschreibungsformat löschen.

6. Wenn Sie die Regel jetzt erstellen, fahren Sie mit der nächsten Registerkarte im Assistenten fort, wenn Sie die Warnungsdetails angepasst haben. Wenn Sie eine vorhandene Regel bearbeiten, wählen Sie die Registerkarte Überprüfen und erstellen aus . Sobald die Regelüberprüfung erfolgreich war, wählen Sie Speichern aus.

Dienstbeschränkungen

• Sie können ein Feld mit bis zu 50 Werten in einer einzelnen Abfrage überschreiben. Wenn Ihre Abfrage 50 benutzerdefinierte Werte überschreitet, werden alle benutzerdefinierten Werte gelöscht, und in allen Abfrageergebnissen wird das Feld auf den Standardwert zurückgesetzt. Optimieren Sie Ihre Abfrage so, dass sie nicht mehr als 50 Werte ergibt, um sicherzustellen, dass keine benutzerdefinierten Werte gelöscht werden.
• Die Größenbeschränkung für das AlertName Feld und alle anderen Nichtsammlungseigenschaften beträgt 256 Byte.
• Die Größenbeschränkung für das Description Feld und alle anderen Auflistungseigenschaften beträgt 5 KB.
• Werte, die die Größenbeschränkungen überschreiten, werden gelöscht.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie Warnungsdetails in Microsoft Sentinel Analyseregeln anpassen. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:

• Erkunden Sie die anderen Möglichkeiten, Ihre Warnungen anzureichern:
  • Zuordnen von Datenfeldern zu Entitäten in Microsoft Sentinel
  • Details zu benutzerdefinierten Surface-Ereignissen in Warnungen in Microsoft Sentinel
• Erhalten Sie ein vollständiges Bild zu geplanten Abfrageanalyseregeln.
• Erfahren Sie mehr über Entitäten in Microsoft Sentinel.