Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die verschiedenen Features aufgeführt und verglichen, die von Microsoft Sentinel-Analyseregeln und benutzerdefinierten Microsoft Defender-Erkennungen unterstützt werden. Darüber hinaus werden zusätzliche Informationen bereitgestellt, z. B. Pläne zur Unterstützung jeglicher Fähigkeiten der Analyseregeln, die ggf. nicht in benutzerdefinierten Erkennungen verfügbar sind.
Von Bedeutung
Benutzerdefinierte Erkennungen sind jetzt die beste Möglichkeit, neue Regeln in Microsoft Sentinel SIEM Microsoft Defender XDR zu erstellen. Mit benutzerdefinierten Erkennungen können Sie Erfassungskosten reduzieren, unbegrenzte Echtzeiterkennungen erhalten und von der nahtlosen Integration in Defender XDR-Daten, -Funktionen und -Wartungsaktionen mit automatischer Entitätszuordnung profitieren. Weitere Informationen finden Sie in diesem Blog.
Vergleich von Analyseregeln und benutzerdefinierten Erkennungsfunktionen
| Funktion | Fähigkeit | Analyseregeln | Benutzerdefinierte Erkennungen |
|---|---|---|---|
| Alarmerweiterung | Flexible Entitätszuordnung über Sentinel-Daten | Unterstützt | Unterstützt |
| Verknüpfen mehrerer MITRE-Taktiken | Unterstützt | Geplant | |
| Unterstützen einer vollständigen Liste der MITRE-Techniken und -Untertechniken | Unterstützt | Geplant | |
| Anreichern von Warnungen mit benutzerdefinierten Details | Unterstützt | Unterstützt | |
| Definieren des Warnungstitels und der Beschreibung dynamisch – Integrieren von Abfrageergebnissen zur Laufzeit | Unterstützt | Unterstützt | |
| Dynamisches Definieren aller Alarmeigenschaften – Integrieren von Abfrageergebnissen zur Laufzeit | Unterstützt | Geplant | |
| Regelhäufigkeit | Unterstützen der flexiblen und hohen Frequenz für Sentinel-Daten | Unterstützt | Unterstützt |
| Quasi-Echtzeit-Regeln (NRT) für Sentinel-Daten | Unterstützt | Geplant | |
| NRT-Streaming-Technologie – Testen von Ereignissen während sie gestreamt werden, unempfindlich gegenüber Erfassungsverzögerungen | Nicht unterstützt. Analyse-NRT-Regeln testen Ereignisse, nachdem sie erfasst wurden. | Unterstützt | |
| Bestimmen der ersten Ausführung der Regel | Unterstützt | Nicht unterstützt | |
| Regel-Rückblick | Unterstützung für die Rückverfolgung | Lookback ist flexibel:
|
Lookback wird statisch durch die Häufigkeit bestimmt: Entspricht viermal der Häufigkeit oder 30 Tage für eine Häufigkeit von 24 Stunden oder weniger. Parität mit Analyseregeln ist geplant |
| Regeldaten | Defender XDR-Daten | Nicht unterstützt | Unterstützt |
| Sentinel-Analyseebene | Unterstützt | Unterstützt | |
| Automatisierte Aktionen | Native Defender XDR-Wartungsaktionen | Nicht unterstützt | Unterstützt |
| Sentinel-Automatisierungsregeln mit Incidenttrigger | Unterstützt | Geplant | |
| Sentinel-Automatisierungsregeln mit Warnungsauslöser | Unterstützt | Geplant | |
| Überwachung und Integritätssichtbarkeit | Überwachungsprotokolle für Regeln in der erweiterten Bedrohungssuche verfügbar | Unterstützt (in der SentinelAudit Tabelle) |
In der Tabelle CloudAppEvents für Benutzer von Microsoft Defender for Cloud Apps dargestellt.Diese Funktion wird in Zukunft für alle Benutzer benutzerdefinierter Erkennungen verfügbar sein. |
| Integritätsprotokolle für Regeln in der erweiterten Bedrohungssuche verfügbar | Unterstützt (in der SentinelHealth-Tabelle) |
Geplant | |
| Überwachung von Warnungen und Ereignisgruppierungen | Anpassen der Logik für Warnungsgruppierung | Unterstützt | Nicht unterstützt. In den SIEM- und XDR-Lösungen kümmert sich das Korrelationsmodul um die Gruppierungslogik der Warnungen und kann die Notwendigkeit beheben, die Gruppierungslogik zu konfigurieren. |
| Wählen Sie zwischen allen Ereignissen unter einer Warnung und einer Warnung pro Ereignis aus. | Unterstützt | Nicht unterstützt | |
| Gruppieren von Ereignissen zu einer Warnung, wenn benutzerdefinierte Details, dynamische Warnungsdetails und Entitäten identisch sind | Nicht unterstützt | Unterstützt | |
| Erstellung von Vorfällen und Warnungen steuern | Ausschließen von Vorfällen aus der Korrelationsengine – Gewährleisten, dass Vorfälle aus unterschiedlichen Regeln getrennt bleiben | Geplant | Geplant |
| Erstellen von Warnungen ohne Vorfälle | Unterstützt | Nicht unterstützt | |
| Warnungsunterdrückung – Definieren der Warnungsunterdrückung nach Ausführung der Regel | Unterstützt | Nicht unterstützt | |
| Regelverwaltung | Regel bei Bedarf in einem vorherigen Zeitfenster erneut ausführen | Unterstützt | Geplant |
| Regel bei Bedarf ausführen | Nicht unterstützt | Unterstützt | |
| Gesundheits- und Qualitätsarbeitsmappen | Unterstützt | Geplant | |
| Integration mit Sentinel-Repositories | Unterstützt | Geplant | |
| Verwalten von Regeln aus der API | Unterstützt | Unterstützt | |
| Bicep-Unterstützung | Unterstützt | Geplant | |
| Inhaltshub | Erstellen von Regeln aus dem Inhaltshub | Unterstützt | Geplant |
| Mehrere Arbeitsbereiche | Erstellen Sie benutzerdefinierte Erkennungen für alle Arbeitsbereiche, die in Defender eingebunden sind. | Unterstützt | Geplant |
| Erkennung übergreifender Arbeitsbereiche mithilfe des Arbeitsbereichsoperators | Unterstützt | Geplant | |
| Tests und Validierungen | Regelsimulation im Assistenten für Regeln | Unterstützt | Geplant |