Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Geplante Abfrageanalyseregeln analysieren Ereignisse aus Datenquellen, die mit Microsoft Sentinel verbunden sind, und erzeugen Warnungen , wenn die Inhalte dieser Ereignisse aus Sicherheitsperspektive von Bedeutung sind. Diese Warnungen werden weiter analysiert, gruppiert und von den verschiedenen Engines von Microsoft Sentinel gefiltert und in Vorfälle destilliert, die die Aufmerksamkeit eines SOC-Analysten rechtfertigen. Wenn dem Analyst der Incident anzeigt wird, sind jedoch nur die Eigenschaften der Komponentenwarnungen sofort erkennbar. Den eigentlichen Inhalt (die in den Ereignissen enthaltenen Informationen) anzuzeigen, ist ein bisschen komplizierter.
Mithilfe des Features für benutzerdefinierte Details im Analyseregel-Assistenten können Sie Ereignisdaten in den Warnungen anzeigen, die aus diesen Ereignissen erstellt werden, wodurch die Ereignisdaten Teil der Warnungseigenschaften werden. Dadurch wird der Ereignisinhalt in Ihren Incidents sofort sichtbar, sodass Sie deutlich schneller und effizienter selektieren, untersuchen, schlussfolgern und antworten können.
Das unten beschriebene Verfahren ist Teil des Assistenten zum Erstellen von Analyseregeln. Es wird hier separat beschrieben, um das Szenario für das Hinzufügen oder Ändern von benutzerdefinierten Details in einer vorhandenen Analyseregel zu erläutern.
Wichtig
Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz.
Ab Juli 2026 werden alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, auf das Defender-Portal umgeleitet und verwenden nur Microsoft Sentinel im Defender-Portal. Ab Juli 2025 werden viele neue Kunden automatisch eingebunden und zum Defender-Portal umgeleitet.
Wenn Sie Microsoft Sentinel weiterhin im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihres Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang sicherzustellen und die von Microsoft Defender angebotene einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter "Zeit zum Verschieben: Zurückstellen des Azure-Portals von Microsoft Sentinel für größere Sicherheit".
Anzeigen von benutzerdefinierten Ereignisdetails
Geben Sie die Analyseseite im Portal ein, über die Sie auf Microsoft Sentinel zugreifen:
Erweitern Sie im Microsoft Defender-Navigationsmenü Microsoft Sentinel und dann "Konfiguration". Wählen Sie "Analyse" aus.
Wählen Sie eine geplante Abfrageregel aus, und klicken Sie auf "Bearbeiten". Oder erstellen Sie eine neue Regel, indem Sie oben auf dem Bildschirm auf "Geplante Abfrageregel erstellen>" klicken.
Klicken Sie auf die Registerkarte "Regellogik festlegen ".
Erweitern Sie im Abschnitt Alarmanreicherung die benutzerdefinierten Details.
Fügen Sie im jetzt erweiterten Abschnitt "Benutzerdefinierte Details " Schlüssel-Wert-Paare hinzu, die den Details entsprechen, die Sie anzeigen möchten:
Geben Sie im Feld "Schlüssel " einen Namen Ihrer Auswahl ein, der in Warnungen als Feldname angezeigt wird.
Wählen Sie im Feld "Wert " den Ereignisparameter aus, den Sie in der Dropdownliste in den Warnungen anzeigen möchten. Diese Liste wird mit Werten befüllt, die den Feldern in den Tabellen entsprechen, für die die Abfrageregel erstellt wird.
Klicken Sie auf "Neu hinzufügen" , um weitere Details anzuzeigen, und wiederholen Sie die letzten Schritte, um Schlüsselwertpaare zu definieren.
Wenn Sie Ihre Meinung ändern oder einen Fehler gemacht haben, können Sie ein benutzerdefiniertes Detail entfernen, indem Sie auf das Papierkorbsymbol neben der Dropdownliste " Wert " für dieses Detail klicken.
Wenn Sie die Definition benutzerdefinierter Details abgeschlossen haben, klicken Sie auf die Registerkarte "Überprüfen" und "Erstellen ". Nachdem die Regelüberprüfung erfolgreich war, klicken Sie auf "Speichern".
Hinweis
Dienstbeschränkungen
Sie können bis zu 20 benutzerdefinierte Details in einer einzigen Analyseregel definieren. Jedes benutzerdefinierte Detail kann bis zu 50 Werte enthalten.
Die kombinierte Größenbeschränkung für alle benutzerdefinierten Details und deren Werte in einer einzigen Warnung beträgt 2 KB. Werte, die diesen Grenzwert überschreiten, werden verworfen.
Nächste Schritte
In diesem Dokument haben Sie erfahren, wie Sie mithilfe von Microsoft Sentinel-Analyseregeln benutzerdefinierte Details in Warnungen anzeigen. Weitere Informationen über Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Erkunden Sie die anderen Möglichkeiten, um Ihre Warnungen zu bereichern:
- Erhalten Sie die vollständige Übersicht über geplante Abfrageanalyseregeln.
- Erfahren Sie mehr über Entitäten in Microsoft Sentinel.