Erhalten Sie Optimierungsempfehlungen für Ihre Analyseregeln in Microsoft Sentinel

Wichtig

Benutzerdefinierte Erkennungen sind jetzt die beste Möglichkeit, neue Regeln in Microsoft Sentinel SIEM-Microsoft Defender XDR zu erstellen. Mit benutzerdefinierten Erkennungen können Sie Erfassungskosten reduzieren, unbegrenzte Echtzeiterkennungen erhalten und von der nahtlosen Integration in Defender XDR Daten, Funktionen und Wartungsaktionen mit automatischer Entitätszuordnung profitieren. Weitere Informationen finden Sie in diesem Blog.

Wichtig

Die Erkennungsoptimierung befindet sich derzeit in der VORSCHAU. Weitere rechtliche Bestimmungen, die für Azure Features gelten, die sich in beta, in der Vorschauversion oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden, finden Sie in den ergänzenden Nutzungsbedingungen für Microsoft Azure Previews.

Die Feinabstimmung von Bedrohungserkennungsregeln in Ihrem SIEM kann ein schwieriger, heikler und kontinuierlicher Prozess sein, bei dem zwischen der Maximierung ihrer Bedrohungserkennungsabdeckung und der Minimierung falsch positiver Raten unterschieden wird. Microsoft Sentinel vereinfacht und optimiert diesen Prozess durch die Verwendung von maschinellem Lernen, um Milliarden von Signalen aus Ihren Datenquellen sowie Ihre Reaktionen auf Incidents im Laufe der Zeit zu analysieren, Muster abzuleiten und Ihnen umsetzbare Empfehlungen und Erkenntnisse zur Verfügung zu stellen, die Ihren Optimierungsaufwand erheblich verringern können und es Ihnen ermöglichen, sich auf die Erkennung und Reaktion auf tatsächliche Bedrohungen zu konzentrieren.

Optimierungsempfehlungen und Erkenntnisse sind jetzt in Ihre Analyseregeln integriert. In diesem Artikel wird erläutert, was diese Erkenntnisse zeigen und wie Sie die Empfehlungen implementieren können.

Anzeigen von Regelerkenntnissen und Optimierungsempfehlungen

Um zu überprüfen, ob Microsoft Sentinel Optimierungsempfehlungen für Ihre Analyseregeln enthält, wählen Sie im Microsoft Sentinel Navigationsmenü die Option Analyse aus.

Alle Regeln mit Empfehlungen zeigen ein Glühbirnensymbol an, wie hier gezeigt:

Screenshot: Liste der Analyseregeln mit Empfehlungsindikator

Bearbeiten Sie die Regel, um die Empfehlungen zusammen mit den anderen Erkenntnissen anzuzeigen. Sie werden zusammen auf der Registerkarte Regellogik festlegen des Analyseregel-Assistenten unterhalb der Ergebnissimulationsanzeige angezeigt.

Screenshot der Optimierung von Erkenntnissen in der Analyseregel.

Arten von Erkenntnissen

Die Anzeige der Optimierungserkenntnisse besteht aus mehreren Bereichen, durch die Sie scrollen oder wischen können, wobei ihnen jeweils etwas anderes angezeigt wird. Der Zeitrahmen ( 14 Tage), für den die Erkenntnisse angezeigt werden, wird oben im Frame angezeigt.

  1. Im ersten Erkenntnisbereich werden einige statistische Informationen angezeigt: die durchschnittliche Anzahl von Warnungen pro Incident, die Anzahl der offenen Vorfälle und die Anzahl geschlossener Vorfälle, gruppiert nach Klassifizierung (true/false positive). Diese Erkenntnis hilft Ihnen, die Last dieser Regel zu ermitteln und zu verstehen, ob eine Optimierung erforderlich ist, z. B. wenn die Gruppierungseinstellungen angepasst werden müssen.

    Screenshot: Erkenntnisse zur Regeleffizienz.

    Diese Erkenntnis ist das Ergebnis einer Log Analytics-Abfrage. Wenn Sie Durchschnittliche Warnungen pro Incident auswählen, gelangen Sie zu der Abfrage in Log Analytics, die die Erkenntnis erzeugt hat. Wenn Sie Incidents öffnen auswählen, gelangen Sie zum Blatt Incidents .

  2. Im zweiten Erkenntnisbereich wird eine Liste der auszuschließenden Entitäten empfohlen. Diese Entitäten korrelieren in hohem Maße mit Vorfällen, die Sie geschlossen und als falsch positiv klassifiziert haben. Wählen Sie das Pluszeichen neben jeder aufgelisteten Entität aus, um sie bei zukünftigen Ausführungen dieser Regel aus der Abfrage auszuschließen.

    Screenshot der Empfehlung zum Ausschluss von Entitäten.

    Diese Empfehlung wird von den erweiterten Data Science- und Machine Learning-Modellen von Microsoft erstellt. Die Aufnahme dieses Bereichs in die Anzeige der Optimierungserkenntnisse hängt davon ab, dass Empfehlungen angezeigt werden.

  3. Im dritten Erkenntnisbereich werden die vier am häufigsten angezeigten zugeordneten Entitäten für alle warnungen angezeigt, die von dieser Regel generiert werden. Die Entitätszuordnung muss für die Regel konfiguriert werden, damit diese Erkenntnis Ergebnisse liefert. Diese Erkenntnis kann Ihnen helfen, sich auf alle Entitäten aufmerksam zu machen, die "im Rampenlicht stehen" und die Aufmerksamkeit von anderen abziehen. Möglicherweise möchten Sie diese Entitäten separat in einer anderen Regel behandeln, oder Sie können entscheiden, dass es sich um falsch positive Ergebnisse oder sonstiges Rauschen handelt, und sie aus der Regel ausschließen.

    Screenshot: Erkenntnisse zu den wichtigsten Entitäten

    Diese Erkenntnis ist das Ergebnis einer Log Analytics-Abfrage. Wenn Sie eine der Entitäten auswählen, gelangen Sie zu der Abfrage in Log Analytics, die die Erkenntnis erzeugt hat.

Nächste Schritte

Weitere Informationen finden Sie unter:

  • Last updated on