Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Belangrijk
Aangepaste detecties is nu de beste manier om nieuwe regels te maken in Microsoft Sentinel SIEM-Microsoft Defender XDR. Met aangepaste detecties kunt u de opnamekosten verlagen, onbeperkte realtime detecties krijgen en profiteren van naadloze integratie met Defender XDR gegevens, functies en herstelacties met automatische entiteitstoewijzing. Lees dit blog voor meer informatie.
In dit artikel wordt uitgelegd hoe u bepaalde problemen kunt oplossen die zich kunnen voordoen bij het uitvoeren van geplande analyseregels in Microsoft Sentinel.
Probleem: er worden geen gebeurtenissen weergegeven in queryresultaten
Wanneer gebeurtenisgroepering is ingesteld om een waarschuwing voor elke gebeurtenis te activeren, lijken queryresultaten die op een later tijdstip worden weergegeven, mogelijk te ontbreken of anders te zijn dan verwacht. U kunt bijvoorbeeld de resultaten van een query op een later tijdstip bekijken bij het onderzoeken van een gerelateerd incident en als onderdeel van dat onderzoek besluit u terug te keren naar de eerdere resultaten van deze query.
Resultaten worden automatisch opgeslagen met de waarschuwingen. Als de resultaten echter te groot zijn, worden er geen resultaten opgeslagen en worden er geen gegevens weergegeven wanneer de queryresultaten opnieuw worden weergegeven.
In gevallen waarin er een opnamevertraging is of de query niet deterministisch is vanwege aggregatie, kan het resultaat van de waarschuwing afwijken van het resultaat dat wordt weergegeven door de query handmatig uit te voeren.
Als een regel deze gebeurtenisgroeperingsinstelling heeft, voegt Microsoft Sentinel het veld OriginalQuery toe aan de resultaten van de query om dit probleem op te lossen. Hier volgt een vergelijking van het bestaande queryveld en het nieuwe veld:
| Veldnaam | Bevat | De query uitvoeren in dit veld resulteert in... |
|---|---|---|
| Query | De gecomprimeerde record van de gebeurtenis die dit exemplaar van de waarschuwing heeft gegenereerd. | De gebeurtenis die dit exemplaar van de waarschuwing heeft gegenereerd; beperkt tot 10 kilobytes. |
| OriginalQuery | De oorspronkelijke query zoals geschreven in de analyseregel. | De meest recente gebeurtenis in het tijdsbestek waarin de query wordt uitgevoerd, die past bij de parameters die door de query zijn gedefinieerd. |
Met andere woorden, het veld OriginalQuery gedraagt zich zoals het veld Query zich gedraagt onder de standaardinstelling voor gebeurtenisgroepering.
Probleem: een geplande regel kan niet worden uitgevoerd of wordt weergegeven met AUTOMATISCH UITGESCHAKELD toegevoegd aan de naam
Het komt zelden voor dat een geplande queryregel niet kan worden uitgevoerd, maar dit kan gebeuren. Microsoft Sentinel classificeert fouten vooraf als tijdelijk of permanent, op basis van het specifieke type van de fout en de omstandigheden die ertoe hebben geleid.
Tijdelijke fout
Een tijdelijke fout treedt op vanwege een omstandigheid die tijdelijk is en snel weer normaal wordt, waarna de uitvoering van de regel slaagt. Enkele voorbeelden van fouten die Microsoft Sentinel classificeert als tijdelijk zijn:
- Het uitvoeren van een regelquery duurt te lang en er is een time-out opgetreden.
- Verbindingsproblemen tussen gegevensbronnen en Log Analytics, of tussen Log Analytics en Microsoft Sentinel.
- Elke andere nieuwe en onbekende fout wordt beschouwd als tijdelijk.
In het geval van een tijdelijke fout blijft Microsoft Sentinel proberen de regel opnieuw uit te voeren na vooraf bepaalde en steeds toenemende intervallen, tot op een bepaald punt. Daarna wordt de regel alleen opnieuw uitgevoerd op het volgende geplande tijdstip. Een regel wordt nooit automatisch opgetreden vanwege een tijdelijke fout.
Permanente fout: regel automatisch verwijderen
Een permanente fout treedt op als gevolg van een wijziging in de voorwaarden die het uitvoeren van de regel toestaan, die zonder menselijke tussenkomst niet kan terugkeren naar de vorige status. Hier volgen enkele voorbeelden van fouten die als permanent zijn geclassificeerd:
- De doelwerkruimte (waarop de regelquery werd uitgevoerd) is verwijderd.
- De doeltabel (waarop de regelquery werd uitgevoerd) is verwijderd.
- Microsoft Sentinel is verwijderd uit de doelwerkruimte.
- Een functie die door de regelquery wordt gebruikt, is niet meer geldig; deze is gewijzigd of verwijderd.
- Machtigingen voor een van de gegevensbronnen van de regelquery zijn gewijzigd (zie voorbeeld).
- Een van de gegevensbronnen van de regelquery is verwijderd.
In het geval van een vooraf bepaald aantal opeenvolgende permanente fouten, van hetzelfde type en op dezelfde regel, stopt Microsoft Sentinel met het uitvoeren van de regel en voert ook de volgende stappen uit:
- Hiermee schakelt u de regel uit.
- Hiermee voegt u de woorden 'AUTO DISABLED' toe aan het begin van de naam van de regel.
- Hiermee voegt u de reden voor de fout (en het uitschakelen) toe aan de beschrijving van de regel.
U kunt eenvoudig de aanwezigheid van automatisch verwisselbare regels bepalen door de regelslijst op naam te sorteren. De regels voor automatisch verwijderen staan bovenaan of in de buurt van de lijst.
SOC-beheerders moeten de regellijst regelmatig controleren op de aanwezigheid van automatisch verwisselbare regels.
Permanente fout vanwege het leeglopen van resources
Een ander soort permanente fout treedt op als gevolg van een onjuist gebouwde query die ervoor zorgt dat de regel overmatige rekenresources verbruikt en het risico loopt dat de prestaties van uw systemen leeglopen. Wanneer Microsoft Sentinel een dergelijke regel identificeert, worden dezelfde drie stappen uitgevoerd die worden vermeld voor de andere typen permanente fouten. Hiermee wordt de regel uitgeschakeld, wordt 'AUTO DISABLED' toegevoegd aan de naam van de regel en wordt de reden voor de fout toegevoegd aan de beschrijving.
Als u de regel opnieuw wilt inschakelen, moet u de problemen in de query oplossen waardoor er te veel resources worden gebruikt. Zie voor meer informatie:
- Best practices voor query's - Kusto-documentatie
- Logboekquery's optimaliseren in Azure Monitor
- leerresources Kusto-querytaal
Permanente fout vanwege verloren toegang tussen abonnementen/tenants
Een specifiek voorbeeld van wanneer een permanente fout kan optreden vanwege een wijziging van machtigingen voor een gegevensbron (zie de lijst) heeft betrekking op het geval van een Microsoft Security Solution Provider (MSSP) of een ander scenario waarbij analyseregels een query uitvoeren op abonnementen of tenants.
Wanneer u een analyseregel maakt, wordt er een toegangsmachtigingstoken toegepast op de regel en samen met de regel opgeslagen. Dit token zorgt ervoor dat de regel toegang heeft tot de werkruimte met de tabellen waarnaar wordt verwezen door de query van de regel, en dat deze toegang behouden blijft, zelfs als de maker van de regel de toegang tot die werkruimte verliest.
Er is echter één uitzondering: wanneer een regel wordt gemaakt voor toegang tot werkruimten in andere abonnementen of tenants, zoals wat er gebeurt in het geval van een MSSP, neemt Microsoft Sentinel extra beveiligingsmaatregelen om onbevoegde toegang tot klantgegevens te voorkomen. Dit soort regels hebben de referenties van de gebruiker die de regel heeft gemaakt die erop is toegepast, in plaats van een onafhankelijk toegangstoken. Wanneer de gebruiker geen toegang meer heeft tot de andere tenant, werkt de regel niet meer.
Als u Microsoft Sentinel gebruikt in een scenario voor meerdere abonnementen of tenants en als een van uw analisten of technici de toegang tot een bepaalde werkruimte verliest, werken alle regels die door die gebruiker zijn gemaakt, niet meer. U krijgt een statusbewakingsbericht met betrekking tot 'onvoldoende toegang tot resource' en de regel wordt automatisch verwijderd volgens de procedure die eerder is beschreven.
Volgende stappen
Zie voor meer informatie:
- Zelfstudie: Incidenten onderzoeken met Microsoft Sentinel
- Navigeren en onderzoeken van incidenten in Microsoft Sentinel - Preview
- Gegevens classificeren en analyseren met behulp van entiteiten in Microsoft Sentinel
- Zelfstudie: Playbooks gebruiken met automatiseringsregels in Microsoft Sentinel
Leer ook van een voorbeeld van het gebruik van aangepaste analyseregels bij het bewaken van Zoom met een aangepaste connector.