Aggregera Microsoft Sentinel data med sammanfattningsregler

  • Gäller för: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Använd sammanfattningsregler i Microsoft Sentinel för att aggregera stora uppsättningar data i bakgrunden för en smidigare säkerhetsåtgärd på alla loggnivåer. Sammanfattningsdata är förkompilerade i anpassade loggtabeller och ger snabba frågeprestanda, inklusive frågor som körs på data som härleds från lågkostnadsloggnivåer. Sammanfattningsregler kan hjälpa dig att optimera dina data för:

  • Analys och rapporter, särskilt över stora datamängder och tidsintervall, som krävs för säkerhets- och incidentanalys, månad för månad eller årliga affärsrapporter och så vidare.
  • Kostnadsbesparingar för utförliga loggar, som du kan behålla i så lite eller så länge du behöver på en billigare loggnivå, och skicka som sammanfattade data endast till en Analystabell för analys och rapporter.
  • Säkerhet och datasekretess genom att ta bort eller dölja sekretessinformation i sammanfattade delbara data och begränsa åtkomsten till tabeller med rådata.

Microsoft Sentinel lagrar sammanfattningsregelresultat i anpassade tabeller med analysdataplanen. Mer information om dataplaner och lagringskostnader finns i Loggtabellplaner.

Den här artikeln beskriver hur du skapar sammanfattningsregler eller distribuerar fördefinierade sammanfattningsregelmallar i Microsoft Sentinel och innehåller exempel på vanliga scenarier för användning av sammanfattningsregler.

Viktigt

Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen. Från och med juli 2025 registreras och omdirigeras många nya kunder automatiskt till Defender-portalen.

Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender. Mer information finns i It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Det är dags att flytta: Dra tillbaka Microsoft Sentinel är Azure Portal för ökad säkerhet).

Förhandskrav

Så här skapar du sammanfattningsregler i Microsoft Sentinel:

Vi rekommenderar att du experimenterar med sammanfattningsregelfrågan på sidan Loggar innan du skapar regeln. Kontrollera att frågan inte når eller närmar sig frågegränsen och kontrollera att frågan genererar det avsedda schemat och förväntade resultat. Om frågan ligger nära frågegränserna bör du överväga att använda en mindre binSize för att bearbeta mindre data per intervall. Du kan också ändra frågan för att returnera färre poster eller ta bort fält med högre volym.

Skapa en ny sammanfattningsregel

Skapa en ny sammanfattningsregel för att aggregera en specifik stor uppsättning data i en dynamisk tabell. Konfigurera regelfrekvensen för att avgöra hur ofta den aggregerade datamängden uppdateras från rådata.

  1. Öppna guiden Sammanfattningsregel:

    • I Defender-portalen väljer du Microsoft Sentinel > konfigurationssammanfattningsregler>.

    • I Azure Portal går du till navigeringsmenyn Microsoft Sentinel och väljer Sammanfattningsregler under Konfiguration. Till exempel:

      Skärmbild av sidan Sammanfattningsregler i Azure Portal.

  2. Välj + Skapa och ange följande information:

    • Namn. Ange ett beskrivande namn för regeln.

    • Beskrivning. Ange en valfri beskrivning.

    • Måltabell. Definiera den anpassade loggtabellen där dina data aggregeras:

      • Om du väljer Befintlig anpassad loggtabell väljer du den tabell som du vill använda.

      • Om du väljer Ny anpassad loggtabell anger du ett beskrivande namn för tabellen. Det fullständiga tabellnamnet använder följande syntax: <tableName>_CL.

  3. Vi rekommenderar att du aktiverar diagnostikinställningar för SummaryLogs på din arbetsyta för att få insyn i historiska runs och fel. Om diagnostikinställningarna för SummaryLogs inte är aktiverade uppmanas du att aktivera dem i området Diagnostikinställningar .

    Om Diagnostikinställningar för SummaryLogs redan är aktiverade, men du vill ändra inställningarna, väljer du Konfigurera avancerade diagnostikinställningar. När du kommer tillbaka till sidan Sammanfattningsregel väljer du Uppdatera för att uppdatera inställningsinformationen.

    Viktigt

    Diagnostikinställningen SummaryLogs medför ytterligare kostnader. Mer information finns i Diagnostikinställningar i Azure Monitor.

  4. Välj Nästa: Ange sammanfattningslogik > för att fortsätta.

  5. På sidan Ange sammanfattningslogik anger du din sammanfattningsfråga. Om du till exempel vill sammanfatta data från Google Cloud Platform kanske du vill ange:

    GCPAuditLogs
| where ServiceName == 'pubsub.googleapis.com'
| summarize count() by Severity

    Mer information finns i Exempel på scenarier med sammanfattningsregel och Kusto-frågespråk (KQL) i Azure Monitor.

  6. Välj Förhandsgranska resultat för att visa ett exempel på de data som du samlar in med den konfigurerade frågan.

  7. I området Frågeschemaläggning definierar du följande information:

    • Hur ofta du vill att regeln ska köras
    • Om du vill att regeln ska köras med någon form av fördröjning, i minuter
    • När du vill att regeln ska börja köras

    Tiderna som definieras i schemaläggningen baseras på timegenerated kolumnen i dina data

  8. Välj Nästa: Granska + skapa >>Spara för att slutföra sammanfattningsregeln.

Befintliga sammanfattningsregler visas på sidan Sammanfattningsregler , där du kan granska din regelstatus. För varje regel väljer du alternativmenyn i slutet av raden för att utföra någon av följande åtgärder:

  • Visa regelns aktuella data på sidan Loggar , som om du skulle köra frågan omedelbart
  • Visa körningshistoriken för den valda regeln
  • Inaktivera eller aktivera regeln.
  • Redigera regelkonfigurationen

Om du vill ta bort en regel markerar du regelraden och väljer sedan Ta bort i verktygsfältet överst på sidan.

Obs!

Azure Monitor har också stöd för att skapa sammanfattningsregler via API eller en ARM-mall (Azure Resource Monitor). Mer information finns i Skapa eller uppdatera en sammanfattningsregel.

Distribuera fördefinierade sammanfattningsregelmallar

Sammanfattningsregelmallar är fördefinierade sammanfattningsregler som du kan distribuera som de är eller anpassa efter dina behov.

Så här distribuerar du en sammanfattningsregelmall:

  1. Öppna innehållshubben och filtrera Innehållstyp efter sammanfattningsregler för att visa tillgängliga sammanfattningsregelmallar.

    Skärmbild av sidan Innehållshubb i Microsoft Sentinel som visar mallar för sammanfattningsregel.

  2. Välj en mall för sammanfattningsregel.

    En panel med information om mallen för sammanfattningsregel öppnas och visar fält som beskrivning, sammanfattningsfråga och måltabell.

    Skärmbild som visar informationspanelen i en sammanfattningsregelmall i Microsoft Sentinel, inklusive fält som beskrivning, sammanfattningsfråga och måltabell.

  3. Välj Installera för att installera mallen.

  4. Välj fliken Mallar på sidan Sammanfattningsregler och välj den sammanfattningsregel som du har installerat.

    En skärmbild av fliken Mallar på sidan Sammanfattningsregler.

  5. Välj Skapa för att öppna guiden Sammanfattningsregel, där alla fält är förifyllda.

  6. Gå igenom guiden Sammanfattningsregel och välj Spara för att distribuera sammanfattningsregeln.

    Mer information om guiden Sammanfattningsregel finns i Skapa en ny sammanfattningsregel.

Exempel på sammanfattningsregelscenarier i Microsoft Sentinel

Det här avsnittet går igenom vanliga scenarier för att skapa sammanfattningsregler i Microsoft Sentinel och våra rekommendationer för hur du konfigurerar varje regel. Mer information och exempel finns i Sammanfatta insikter från rådata i en extra tabell till en analystabell i Microsoft Sentinel och Loggkällor som ska användas för inmatning av tilläggsloggar.

Hitta snabbt en skadlig IP-adress i nätverkstrafiken

Scenario: Du är en hotjägare och ett av teamets mål är att identifiera alla instanser av när en skadlig IP-adress interagerat i nätverkstrafikloggarna från en aktiv incident under de senaste 90 dagarna.

Utmaning: Microsoft Sentinel för närvarande matar in flera terabyte nätverksloggar om dagen. Du måste gå igenom dem snabbt för att hitta matchningar för den skadliga IP-adressen.

Lösning: Vi rekommenderar att du använder sammanfattningsregler för att göra följande:

  1. Skapa en sammanfattningsdatauppsättning för varje IP-adress som är relaterad till incidenten, inklusive SourceIP, DestinationIP, MaliciousIP, RemoteIP, varje lista med viktiga attribut, till exempel IPType, FirstTimeSeenoch LastTimeSeen.

    Med sammanfattningsdatauppsättningen kan du snabbt söka efter en specifik IP-adress och begränsa tidsintervallet där IP-adressen hittas. Du kan göra detta även när de genomsökda händelserna inträffade för mer än 90 dagar sedan, vilket är längre än kvarhållningsperioden för arbetsytan.

    I det här exemplet konfigurerar du sammanfattningen så att den körs dagligen, så att frågan lägger till nya sammanfattningsposter varje dag tills den upphör att gälla.

  2. Skapa en analysregel som körs i mindre än två minuter mot sammanfattningsdatauppsättningen, vilket snabbt går in i det specifika tidsintervallet när den skadliga IP-adressen interagerade med företagets nätverk.

    Se till att konfigurera körningsintervall på minst fem minuter för att hantera olika sammanfattningsnyttolaststorlekar. Detta säkerställer att det inte sker någon förlust även om det uppstår en fördröjning av händelseinmatningen.

    Till exempel:

    let csl_columnmatch=(column_name: string) {
summarized_CommonSecurityLog
| where isnotempty(column_name)
| extend
    Date = format_datetime(TimeGenerated, "yyyy-MM-dd"),
    IPaddress = column_ifexists(column_name, ""),
    FieldName = column_name
| extend IPType = iff(ipv4_is_private(IPaddress) == true, "Private", "Public")
| where isnotempty(IPaddress)
| project Date, TimeGenerated, IPaddress, FieldName, IPType, DeviceVendor
| summarize count(), FirstTimeSeen = min(TimeGenerated), LastTimeSeen = min(TimeGenerated) by Date, IPaddress, FieldName, IPType, DeviceVendor
};
union csl_columnmatch("SourceIP")
    , csl_columnmatch("DestinationIP") 
    , csl_columnmatch("MaliciousIP")
    , csl_columnmatch("RemoteIP")
// Further summarization can be done per IPaddress to remove duplicates per day on larger timeframe for the first run
| summarize make_set(FieldName), make_set(DeviceVendor) by IPType, IPaddress

  3. Kör en efterföljande sökning eller korrelation med andra data för att slutföra attackberättelsen.

Generera aviseringar om hotinformationsmatchningar mot nätverksdata

Generera aviseringar om hotinformationsmatchningar mot brus, hög volym och nätverksdata med lågt säkerhetsvärde.

Scenario: Du måste skapa en analysregel för brandväggsloggar för att matcha domännamn i systemet som har besökts mot en lista över hotinformationsdomännamn.

De flesta datakällor är rådataloggar som är bullriga och har hög volym, men har lägre säkerhetsvärde, inklusive IP-adresser, Azure Firewall trafik, Fortigate-trafik och så vidare. Det finns en total volym på cirka 1 TB per dag.

Utmaning: Att skapa separata regler kräver flera logikappar, vilket kräver extra kostnader för installation och underhåll.

Lösning: Vi rekommenderar att du använder sammanfattningsregler för att göra följande:

  1. Skapa en sammanfattningsregel:

    1. Utöka frågan för att extrahera nyckelfält, till exempel källadress, måladress och målport från CommonSecurityLog_CL-tabellen , som är CommonSecurityLog med hjälpplanen.

    2. Utför en inre sökning mot de aktiva hotinformationsindikatorerna för att identifiera eventuella matchningar med vår källadress. På så sätt kan du korsreferensera dina data med kända hot.

    3. Projektrelaterad information, inklusive den tid som genereras, aktivitetstyp och eventuella skadliga käll-IP-adresser, tillsammans med målinformationen. Ange den frekvens som du vill att frågan ska köra och måltabellen, till exempel MaliciousIPDetection . Resultatet i den här tabellen är på analysnivån och debiteras därefter.

  2. Skapa en avisering:

    Skapa en analysregel i Microsoft Sentinel som aviserar baserat på resultat från tabellen MaliciousIPDetection. Det här steget är avgörande för proaktiv hotidentifiering och incidenthantering.

Exempel på sammanfattningsregel:

CommonSecurityLog_CL​
| extend sourceAddress = tostring(parse_json(Message).sourceAddress), destinationAddress = tostring(parse_json(Message).destinationAddress), destinationPort = tostring(parse_json(Message).destinationPort)​
| lookup kind=inner (ThreatIntelligenceIndicator | where Active == true ) on $left.sourceAddress == $right.NetworkIP​
| project TimeGenerated, Activity, Message, DeviceVendor, DeviceProduct, sourceMaliciousIP =sourceAddress, destinationAddress, destinationPort

Relaterat innehåll

  • Last updated on