Regels voor geplande analyse maken vanuit sjablonen

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Geplande regels zijn veruit het meest voorkomende type analyseregel gebaseerd op Kusto-query's die zijn geconfigureerd om regelmatig uit te voeren en onbewerkte gegevens uit een gedefinieerde 'lookback'-periode te onderzoeken. Met deze query's kunnen complexe statistische bewerkingen worden uitgevoerd op hun doelgegevens, waardoor basislijnen en uitbijters in groepen gebeurtenissen worden weergegeven. Als het aantal resultaten dat door de query is vastgelegd, de drempelwaarde overschrijdt die in de regel is geconfigureerd, genereert de regel een waarschuwing.

Microsoft maakt een groot aantal sjablonen voor analyseregels beschikbaar via de vele oplossingen in de inhoudshub en raadt u sterk aan om deze te gebruiken om uw regels te maken. De query's in geplande regelsjablonen worden geschreven door experts op het gebied van beveiliging en gegevenswetenschap, van Microsoft of van de leverancier van de oplossing die de sjabloon levert.

In dit artikel wordt beschreven hoe u een geplande analyseregel maakt met behulp van een sjabloon.

Belangrijk

Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.

Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.

Bestaande analyseregels weergeven

Als u de geïnstalleerde analyseregels in Microsoft Sentinel wilt weergeven, gaat u naar de pagina Analyse. Op het tabblad Regelsjablonen worden alle geïnstalleerde regelsjablonen weergegeven. Als u meer regelsjablonen wilt vinden, gaat u naar de hub Inhoud in Microsoft Sentinel om de gerelateerde productoplossingen of zelfstandige inhoud te installeren.

  1. Vouw in het navigatiemenu Microsoft Defender Microsoft Sentinel uit en vervolgens Configuratie. Selecteer Analyse.

  2. Selecteer in het scherm Analyse het tabblad Regelsjablonen .

  3. Als u de lijst wilt filteren op geplande sjablonen:

    1. Selecteer Filter toevoegen en kies Regeltype in de lijst met filters.

    2. Selecteer Gepland in de resulterende lijst. Selecteer vervolgens Toepassen.

    Schermopname van regelsjablonen voor geplande analyse in Microsoft Defender portal.

Een regel maken van een sjabloon

In deze procedure wordt beschreven hoe u een analyseregel maakt op basis van een sjabloon.

Vouw in het navigatiemenu Microsoft Defender Microsoft Sentinel uit en vervolgens Configuratie. Selecteer Analyse.

  1. Selecteer in het scherm Analyse het tabblad Regelsjablonen .

  2. Selecteer een sjabloonnaam en selecteer vervolgens de knop Regel maken in het detailvenster om een nieuwe actieve regel te maken op basis van die sjabloon.

    Elke sjabloon heeft een lijst met vereiste gegevensbronnen. Wanneer u de sjabloon opent, worden de gegevensbronnen automatisch gecontroleerd op beschikbaarheid. Als een gegevensbron niet is ingeschakeld, is de knop Regel maken mogelijk uitgeschakeld of ziet u een bericht hiertoe.

    Schermopname van het voorbeeldvenster van de analyseregel.

  3. De wizard Regel maken wordt geopend. Alle details worden automatisch ingevuld.

  4. Doorloop de tabbladen van de wizard en pas waar mogelijk de logica en andere regelinstellingen aan om beter aan uw specifieke behoeften te voldoen. Zie voor meer informatie:

    Wanneer u het einde van de wizard regel maken hebt, maakt Microsoft Sentinel de regel. De nieuwe regel wordt weergegeven op het tabblad Actieve regels .

    Herhaal het proces om meer regels te maken. Zie Een aangepaste analyseregel maken voor meer informatie over het aanpassen van uw regels in de wizard Voor het maken van regels.

Tip

  • Zorg ervoor dat u alle regels inschakelt die zijn gekoppeld aan uw verbonden gegevensbronnen om volledige beveiligingsdekking voor uw omgeving te garanderen. De meest efficiënte manier om analyseregels in te schakelen, is rechtstreeks vanaf de gegevensconnectorpagina, waarin alle gerelateerde regels worden vermeld. Zie Verbinding maken met gegevensbronnen voor meer informatie.

  • U kunt regels ook pushen naar Microsoft Sentinel via API en PowerShell, hoewel dit extra moeite kost.

    Wanneer u API of PowerShell gebruikt, moet u eerst de regels exporteren naar JSON voordat u de regels inschakelt. API of PowerShell kan handig zijn bij het inschakelen van regels in meerdere exemplaren van Microsoft Sentinel met identieke instellingen in elk exemplaar.

Volgende stappen

In dit document hebt u geleerd hoe u in Microsoft Sentinel geplande analyseregels maakt op basis van sjablonen.

  • Last updated on