Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die verschiedenen Features aufgelistet und verglichen, die von Microsoft Sentinel Analyseregeln und Microsoft Defender benutzerdefinierten Erkennungen unterstützt werden. Darüber hinaus werden zusätzliche Informationen bereitgestellt, z. B. Pläne zur Unterstützung von Funktionen für Analyseregeln, die in benutzerdefinierten Erkennungen nicht verfügbar sind, falls zutreffend.
Wichtig
Benutzerdefinierte Erkennungen sind jetzt die beste Möglichkeit, neue Regeln in Microsoft Sentinel SIEM-Microsoft Defender XDR zu erstellen. Mit benutzerdefinierten Erkennungen können Sie Erfassungskosten reduzieren, unbegrenzte Echtzeiterkennungen erhalten und von der nahtlosen Integration in Defender XDR Daten, Funktionen und Wartungsaktionen mit automatischer Entitätszuordnung profitieren. Weitere Informationen finden Sie in diesem Blog.
Vergleichen von Analyseregeln und benutzerdefinierten Erkennungsfeatures
| Feature | Funktion | Analyseregeln | Benutzerdefinierte Erkennungen |
|---|---|---|---|
| Warnungsanreicherung | Flexible Entitätszuordnung über Sentinel Daten | Unterstützt | Unterstützt |
| Verknüpfen mehrerer MITRE-Taktiken | Unterstützt | Geplant | |
| Vollständige Liste der MITRE-Techniken und Untertechniken | Unterstützt | Geplant | |
| Anreichern von Warnungen mit benutzerdefinierten Details | Unterstützt | Unterstützt | |
| Dynamisches Definieren des Warnungstitels und der Beschreibung: Integrieren von Abfrageergebnissen in die Laufzeit | Unterstützt | Unterstützt | |
| Dynamisches Definieren aller Warnungseigenschaften: Integrieren von Abfrageergebnissen in die Laufzeit | Unterstützt | Geplant | |
| Regelhäufigkeit | Unterstützung von flexiblen und hohen Frequenzen für Sentinel Daten | Unterstützt | Unterstützt |
| Regeln nahezu in Echtzeit (NRT) für Sentinel Daten | Unterstützt | Geplant | |
| NRT-Streamingtechnologie: Testereignisse beim Streamen, nicht empfindlich auf Erfassungsverzögerungen | Nicht unterstützt Analyse-NRT-Regeln testen Ereignisse, nachdem sie erfasst wurden. | Unterstützt | |
| Bestimmen der ersten Ausführung der Regel | Unterstützt | Nicht unterstützt | |
| Regel-Lookback | Lookback-Unterstützung | Lookback ist flexibel:
|
Lookback wird statisch durch die Häufigkeit bestimmt: Entspricht viermal der Häufigkeit oder 30 Tage für eine Häufigkeit von 24 Stunden oder weniger. Parität mit Analyseregeln ist geplant |
| Regeldaten | Defender XDR Daten | Nicht unterstützt | Unterstützt |
| Sentinel-Analyseebene | Unterstützt | Unterstützt | |
| Automatisierte Aktionen | Native Defender XDR Wartungsaktionen | Nicht unterstützt | Unterstützt |
| Sentinel von Automatisierungsregeln mit Incidenttrigger | Unterstützt | Geplant | |
| Sentinel Automatisierungsregeln mit Warnungstrigger | Unterstützt | Geplant | |
| Überwachung und Integritätstransparenz | Überwachungsprotokolle für Regeln, die in der erweiterten Suche verfügbar sind | Unterstützt (in der SentinelAudit Tabelle) |
Verfügbar gemacht in der CloudAppEvents Tabelle für Microsoft Defender for Cloud Apps Benutzer.Diese Funktion wird in Zukunft für alle Benutzer benutzerdefinierter Erkennungen verfügbar sein. |
| In der erweiterten Suche verfügbare Integritätsprotokolle für Regeln | Unterstützt (in der SentinelHealth Tabelle) |
Geplant | |
| Steuern von Warnungen und Ereignisgruppierung | Anpassen der Warnungsgruppierungslogik | Unterstützt | Nicht unterstützt In den SIEM- und XDR-Lösungen übernimmt die Korrelations-Engine die Gruppierungslogik der Warnungen und kann die Notwendigkeit der Konfiguration der Gruppierungslogik berücksichtigen. |
| Auswählen zwischen allen Ereignissen unter einer Warnung und einer Warnung pro Ereignis | Unterstützt | Nicht unterstützt | |
| Gruppieren von Ereignissen zu einer Warnung, wenn benutzerdefinierte Details, dynamische Warnungsdetails und Entitäten identisch sind | Nicht unterstützt | Unterstützt | |
| Steuern der Erstellung von Incidents und Warnungen | Ausschließen von Incidents aus der Korrelations-Engine: Stellen Sie sicher, dass Incidents aus verschiedenen Regeln getrennt bleiben. | Geplant | Geplant |
| Erstellen von Warnungen ohne Incidents | Unterstützt | Nicht unterstützt | |
| Unterdrückung von Warnungen: Definieren der Warnungsunterdrückung nach ausführung der Regel | Unterstützt | Nicht unterstützt | |
| Regelverwaltung | Erneutes Ausführen der Regel bei Bedarf in einem vorherigen Zeitfenster | Unterstützt | Geplant |
| Ausführen einer Regel bei Bedarf | Nicht unterstützt | Unterstützt | |
| Integritäts- und Qualitätsarbeitsmappen | Unterstützt | Geplant | |
| Integration in Sentinel Repositorys | Unterstützt | Geplant | |
| Verwalten von Regeln über die API | Unterstützt | Unterstützt | |
| Bicep-Unterstützung | Unterstützt | Geplant | |
| Inhaltshub | Erstellen von Regeln aus dem Inhaltshub | Unterstützt | Geplant |
| Mehrere Arbeitsbereiche | Erstellen benutzerdefinierter Erkennungen für alle Arbeitsbereiche, die in Defender integriert sind | Unterstützt | Geplant |
| Arbeitsbereichsübergreifende Erkennung mithilfe des Arbeitsbereichsoperators | Unterstützt | Geplant | |
| Tests und Validierungen | Regelsimulation über den Regel-Assistenten | Unterstützt | Geplant |