Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Nutzen Sie Ihre Analyseregeln mit Ihren Bedrohungsindikatoren, um automatisch Warnungen basierend auf der von Ihnen integrierten Threat Intelligence zu generieren.
Voraussetzungen
- Bedrohungsindikatoren. Diese Indikatoren können aus Threat Intelligence-Feeds, Threat Intelligence-Plattformen, Massenimporten aus einer Flatfile oder manuellen Eingaben stammen.
- Datenquellen. Ereignisse von Ihren Datenconnectors müssen in Ihren Microsoft Sentinel Arbeitsbereich fließen.
- Eine Analyseregel im Format
TI map.... Es muss dieses Format verwenden, damit die Bedrohungsindikatoren, die Sie haben, den von Ihnen erfassten Ereignissen zugeordnet werden können.
Konfigurieren einer Regel zum Generieren von Sicherheitswarnungen
Das folgende Beispiel zeigt, wie Sie eine Regel zum Generieren von Sicherheitswarnungen mithilfe der Bedrohungsindikatoren aktivieren und konfigurieren, die Sie in Microsoft Sentinel importiert haben. Verwenden Sie für dieses Beispiel die Regelvorlage TI-Zuordnungs-IP-Entität zu AzureActivity. Diese Regel gleicht alle Bedrohungsindikatoren vom Typ IP-Adressen mit allen Ihren Azure Aktivitätsereignissen ab. Wenn eine Übereinstimmung gefunden wird, wird eine Warnung zusammen mit einem entsprechenden Incident zur Untersuchung durch Ihr Sicherheitsteam generiert.
Diese spezielle Analyseregel erfordert den Azure Activity-Datenconnector (zum Importieren ihrer Azure Ereignisse auf Abonnementebene). Außerdem ist ein oder beide Threat Intelligence-Datenconnectors (zum Importieren von Bedrohungsindikatoren) erforderlich. Diese Regel löst auch aus importierten oder manuell erstellten Indikatoren aus.
Wechseln Sie im Azure-Portal zu Microsoft Sentinel.
Wählen Sie mithilfe der Threat Intelligence-Datenconnectors den Arbeitsbereich aus, in den Sie Bedrohungsindikatoren importiert haben, und Azure Aktivitätsdaten mithilfe des Azure-Aktivitätsdatenconnectors aus.
Wählen Sie im Menü Microsoft Sentinel im Abschnitt Konfiguration die Option Analyse aus.
Wählen Sie die Registerkarte Regelvorlagen aus, um die Liste der verfügbaren Analyseregelvorlagen anzuzeigen.
Suchen Sie die Regel mit dem Titel TI map IP-Entität zu AzureActivity, und stellen Sie sicher, dass Sie alle erforderlichen Datenquellen verbunden haben.
Wählen Sie die IP-Entität TI zu AzureActivity zuordnen aus. Wählen Sie dann Regel erstellen aus, um einen Regelkonfigurations-Assistenten zu öffnen. Konfigurieren Sie die Einstellungen im Assistenten, und wählen Sie dann Weiter: Regellogik festlegen >aus.
Der Regellogikteil des Assistenten ist mit den folgenden Elementen vorab aufgefüllt:
- Die Abfrage, die in der Regel verwendet wird.
- Entitätszuordnungen, die Microsoft Sentinel angeben, wie Entitäten wie Konten, IP-Adressen und URLs erkannt werden. Incidents und Untersuchungen können dann verstehen, wie sie mit den Daten in sicherheitsrelevanten Warnungen arbeiten, die von dieser Regel generiert wurden.
- Der Zeitplan für die Ausführung dieser Regel.
- Die Anzahl der Abfrageergebnisse, die benötigt werden, bevor eine Sicherheitswarnung generiert wird.
Die Standardeinstellungen in der Vorlage sind:
- Führen Sie einmal pro Stunde aus.
- Zuordnen von Bedrohungsindikatoren für IP-Adressen aus der
ThreatIntelligenceIndicatorTabelle mit allen IP-Adressen, die in der letzten Stunde der Ereignisse aus derAzureActivityTabelle gefunden wurden. - Generieren Sie eine Sicherheitswarnung, wenn die Abfrageergebnisse größer als 0 (null) sind, um anzugeben, dass Übereinstimmungen gefunden wurden.
- Stellen Sie sicher, dass die Regel aktiviert ist.
Sie können die Standardeinstellungen belassen oder ändern, um Ihre Anforderungen zu erfüllen. Sie können Einstellungen für die Incidentgenerierung auf der Registerkarte Incidenteinstellungen definieren. Weitere Informationen finden Sie unter Erstellen benutzerdefinierter Analyseregeln zum Erkennen von Bedrohungen. Wenn Sie fertig sind, wählen Sie die Registerkarte Automatisierte Antwort aus.
Konfigurieren Sie alle Automatisierungen, die ausgelöst werden sollen, wenn eine Sicherheitswarnung aus dieser Analyseregel generiert wird. Die Automatisierung in Microsoft Sentinel verwendet Kombinationen aus Automatisierungsregeln und Playbooks, die von Azure Logic Apps unterstützt werden. Weitere Informationen finden Sie unter Tutorial: Verwenden von Playbooks mit Automatisierungsregeln in Microsoft Sentinel. Wenn Sie fertig sind, wählen Sie Weiter: Überprüfen > aus, um fortzufahren.
Wenn eine Meldung angezeigt wird, dass die Regelüberprüfung erfolgreich war, wählen Sie Erstellen aus.
Überprüfen Ihrer Regeln
Ihre aktivierten Regeln finden Sie auf der Registerkarte Aktive Regeln im Abschnitt Analyse von Microsoft Sentinel. Hier können Sie die aktive Regel bearbeiten, aktivieren, deaktivieren, duplizieren oder löschen. Die neue Regel wird sofort nach der Aktivierung ausgeführt und dann nach dem definierten Zeitplan ausgeführt.
Gemäß den Standardeinstellungen generieren alle gefundenen Ergebnisse bei jeder Ausführung der Regel nach ihrem Zeitplan eine Sicherheitswarnung. Sicherheitswarnungen in Microsoft Sentinel im Abschnitt Protokolle von Microsoft Sentinel unter der Gruppe Microsoft Sentinel finden Sie in der SecurityAlert Tabelle.
In Microsoft Sentinel generieren die von Analyseregeln generierten Warnungen auch Sicherheitsvorfälle. Wählen Sie im menü Microsoft Sentinel unter Bedrohungsmanagement die Option Incidents aus. Incidents sind das, was Ihre Sicherheitsteams selektieren und untersuchen, um die geeigneten Reaktionsaktionen zu bestimmen. Weitere Informationen finden Sie unter Tutorial: Untersuchen von Incidents mit Microsoft Sentinel.
Hinweis
Da Analyseregeln Lookups über 14 Tage beschränken, aktualisiert Microsoft Sentinel indikatoren alle sieben bis 10 Tage, um sicherzustellen, dass sie für Abgleichszwecke über die Analyseregeln verfügbar sind.
Verwandte Inhalte
In diesem Artikel haben Sie erfahren, wie Sie Threat Intelligence-Indikatoren verwenden, um Bedrohungen zu erkennen. Weitere Informationen zu Threat Intelligence in Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Arbeiten Sie mit Bedrohungsindikatoren in Microsoft Sentinel.
- Verbinden Sie Microsoft Sentinel mit STIX/TAXII Threat Intelligence-Feeds.
- Verbinden sie Threat Intelligence-Plattformen mit Microsoft Sentinel.
- Erfahren Sie, welche TIP-Plattformen, TAXII-Feeds und Anreicherungen problemlos in Microsoft Sentinel integriert werden können.