Verwalten von Vorlagenversionen für Ihre geplanten Analyseregeln in Microsoft Sentinel

Wichtig

Benutzerdefinierte Erkennungen sind jetzt die beste Möglichkeit, neue Regeln in Microsoft Sentinel SIEM-Microsoft Defender XDR zu erstellen. Mit benutzerdefinierten Erkennungen können Sie Erfassungskosten reduzieren, unbegrenzte Echtzeiterkennungen erhalten und von der nahtlosen Integration in Defender XDR Daten, Funktionen und Wartungsaktionen mit automatischer Entitätszuordnung profitieren. Weitere Informationen finden Sie in diesem Blog.

Wichtig

Dieses Feature befindet sich in der VORSCHAU. Weitere rechtliche Bestimmungen, die für Azure Features gelten, die sich in beta, in der Vorschauversion oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden, finden Sie in den ergänzenden Nutzungsbedingungen für Microsoft Azure Previews.

Einführung

Microsoft Sentinel enthält Vorlagen für Analyseregeln, die Sie in aktive Regeln umwandeln, indem Sie effektiv eine Kopie davon erstellen. Dies geschieht, wenn Sie eine Regel aus einer Vorlage erstellen. An diesem Punkt ist die aktive Regel jedoch nicht mehr mit der Vorlage verbunden. Wenn Änderungen an einer Regelvorlage von Microsoft-Technikern oder anderen Personen vorgenommen werden, werden alle Regeln, die zuvor aus dieser Vorlage erstellt wurden, nicht dynamisch aktualisiert, um mit der neuen Vorlage übereinzugleichen.

Regeln, die aus Vorlagen erstellt wurden, merken sich jedoch, aus welchen Vorlagen sie stammen, was Ihnen zwei Vorteile bietet:

  • Wenn Sie änderungen an einer Regel vorgenommen haben, wenn Sie sie aus einer Vorlage oder zu einem späteren Zeitpunkt danach erstellen, können Sie die Regel jederzeit wieder auf ihre ursprüngliche Version rückgängig machen.

  • Sie werden benachrichtigt, wenn eine Vorlage aktualisiert wird. Sie können Ihre Regeln entweder auf die neue Version ihrer Vorlagen aktualisieren oder sie unverändert lassen.

In diesem Artikel erfahren Sie, wie Sie diese Aufgaben verwalten und was Sie beachten sollten. Die in diesem Artikel beschriebenen Verfahren gelten für alle regeln für die geplante Analyse, die aus Vorlagen erstellt wurden.

Ermitteln der Vorlagenversionsnummer Ihrer Regel

Mit der Implementierung der Vorlagenversionskontrolle können Sie die Versionen Ihrer Regelvorlagen und die daraus erstellten Regeln anzeigen und nachverfolgen. Regeln mit aktualisierten Vorlagen zeigen neben dem Regelnamen den Badge "Aktualisieren" an.

  1. Wählen Sie auf der Seite Analyse die Registerkarte Aktive Regeln aus.

  2. Wählen Sie eine beliebige Regel vom Typ Geplant aus.

    • Wenn die Regel den Badge "Aktualisieren" anzeigt, enthält ihr Detailbereich neben der Schaltfläche Bearbeiten eine Schaltfläche Überprüfen und aktualisieren (siehe Abbildung 1 im nächsten Schritt).

    • Wenn die Regel aus einer Vorlage erstellt wurde, aber nicht über den Badge "Aktualisieren" verfügt, wird im Detailbereich neben der Schaltfläche Bearbeiten die Schaltfläche Mit Vorlage vergleichen angezeigt (siehe Abbildungen 2 und 3 im nächsten Schritt).

    • Wenn nur eine Schaltfläche Bearbeiten vorhanden ist, wurde die Regel von Grund auf neu erstellt, nicht aus einer Vorlage.

      Screenshot der Liste der aktiven Regeln mit einem Badge, der angibt, dass ein Vorlagenupdate verfügbar ist.

  3. Scrollen Sie nach unten zum Ende des Detailbereichs, in dem zwei Versionsnummern angezeigt werden: die Version der Vorlage, aus der die Regel erstellt wurde, und die neueste verfügbare Version der Vorlage.

    Screenshot des Detailbereichs. Scrollen Sie nach unten, um Vorlagenversionsnummern anzuzeigen.

    Die Zahl weist das Format "1.0.0" auf – Hauptversion, Nebenversion und Build.

    • Ein Unterschied in der Hauptversionsnummer weist darauf hin, dass etwas wesentliches in der Vorlage geändert wurde, was sich darauf auswirken kann, wie die Regel Bedrohungen erkennt oder sogar ihre Fähigkeit, vollständig zu funktionieren. Sie möchten diese Änderung in Ihre Regeln aufnehmen.

    • Ein Unterschied in der Nebenversionsnummer deutet auf eine geringfügige Verbesserung der Vorlage hin – eine kosmetische Änderung oder etwas Ähnliches –, die "nice to have" wäre, aber nicht entscheidend für die Aufrechterhaltung der Funktionalität, Wirksamkeit oder Leistung der Regel ist. Sie können diese Änderung genauso einfach übernehmen oder sie belassen.

    Hinweis

    Die Abbildungen 2 und 3 zeigen zwei Beispiele für Regeln, die aus Vorlagen erstellt wurden, bei denen die Vorlage nicht aktualisiert wurde.

    • Abbildung 2 zeigt eine Regel mit einer Versionsnummer für die aktuelle Vorlage. Dies signalisiert, dass die Regel nach der ersten Implementierung der Vorlagenversionskontrolle durch Microsoft Sentinel im Oktober 2021 erstellt wurde.
    • Abbildung 3 zeigt eine Regel, die keine aktuelle Vorlagenversion aufweist. Dies zeigt, dass die Regel vor Oktober 2021 erstellt wurde. Wenn eine aktuelle Vorlagenversion verfügbar ist, handelt es sich wahrscheinlich um eine neuere Version der Vorlage als die, die zum Erstellen der Regel verwendet wurde.

Vergleichen Ihrer aktiven Regel mit der zugehörigen Vorlage

Wählen Sie eine der folgenden Registerkarten entsprechend der Aktion aus, die Sie ausführen möchten, um die Anweisungen für diese Aktion anzuzeigen:

Nachdem Sie eine Regel ausgewählt und festgestellt haben, dass Sie sie aktualisieren möchten, wählen Sie im Detailbereich überprüfen und aktualisieren aus (siehe weiter oben). Sie sehen, dass der Analyseregel-Assistent jetzt über die Registerkarte Mit neuester Version vergleichen verfügt.

Auf dieser Registerkarte wird ein paralleler Vergleich zwischen den YAML-Darstellungen der vorhandenen Regel und der neuesten Version der Vorlage angezeigt.

Screenshot der Registerkarte

Hinweis

Wenn Sie diese Regel aktualisieren, wird Ihre vorhandene Regel mit der neuesten Version der Vorlage überschrieben.

Alle Automatisierungsschritte oder -logiken, die sich auf die vorhandene Regel beziehen, sollten überprüft werden, falls sich die Namen ändern, auf die verwiesen wird. Außerdem können alle Anpassungen, die Sie beim Erstellen der ursprünglichen Regel vorgenommen haben – Änderungen an der Abfrage, der Zeitplanung, der Gruppierung oder anderen Einstellungen – überschrieben werden.

Aktualisieren Ihrer Regel mit der neuen Vorlagenversion

  • Wenn die an der neuen Version der Vorlage vorgenommenen Änderungen für Sie akzeptabel sind und nichts anderes in Ihrer ursprünglichen Regel betroffen ist, wählen Sie Überprüfen und aktualisieren aus, um die Änderungen zu überprüfen und anzuwenden.

  • Wenn Sie die Regel weiter anpassen oder Änderungen erneut anwenden möchten, die andernfalls überschrieben werden könnten, wählen Sie Weiter: Benutzerdefinierte Änderungen aus. Durchlaufen Sie die verbleibenden Registerkarten des Analyseregel-Assistenten , um diese Änderungen vorzunehmen, und überprüfen Sie dann die Änderungen, und wenden Sie sie auf der Registerkarte Überprüfen und aktualisieren an.

  • Wenn Sie keine Änderungen an Ihrer vorhandenen Regel vornehmen möchten, sondern stattdessen die vorhandene Vorlagenversion beibehalten möchten, beenden Sie einfach den Assistenten, indem Sie das X in der oberen rechten Ecke auswählen.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie die Versionen Ihrer Microsoft Sentinel Analytics-Regelvorlagen nachverfolgen und aktive Regeln entweder auf vorhandene Vorlagenversionen rückgängig machen oder auf neue aktualisieren. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:

  • Last updated on