Freigeben über

Erhalten Sie Empfehlungen zur Feinabstimmung Ihrer Analyseregeln in Microsoft Sentinel

Von Bedeutung

Benutzerdefinierte Erkennungen sind jetzt die beste Möglichkeit, neue Regeln in Microsoft Sentinel SIEM Microsoft Defender XDR zu erstellen. Mit benutzerdefinierten Erkennungen können Sie Erfassungskosten reduzieren, unbegrenzte Echtzeiterkennungen erhalten und von der nahtlosen Integration in Defender XDR-Daten, -Funktionen und -Wartungsaktionen mit automatischer Entitätszuordnung profitieren. Weitere Informationen finden Sie in diesem Blog.

Von Bedeutung

Die Erkennungsoptimierung befindet sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Die Feinabstimmung von Regeln zur Bedrohungserkennung in Ihrem SIEM kann ein schwieriger, heikler und kontinuierlicher Ausgleich zwischen maximierter Bedrohungserkennungsabdeckung und Minimierung falsch positiver Raten sein. Microsoft Sentinel vereinfacht und optimiert diesen Prozess, indem maschinelles Lernen verwendet wird, um Milliarden von Signalen aus Ihren Datenquellen sowie Ihre Reaktionen auf Vorfälle im Laufe der Zeit zu analysieren, Muster zu ableiten und Ihnen handlungsfähige Empfehlungen und Erkenntnisse bereitzustellen, die Ihren Optimierungsaufwand erheblich senken und ihnen ermöglichen, sich auf die Erkennung und Reaktion auf tatsächliche Bedrohungen zu konzentrieren.

Optimierungsempfehlungen und Einblicke sind jetzt in Ihre Analyseregeln integriert. In diesem Artikel wird erläutert, was diese Erkenntnisse zeigen und wie Sie die Empfehlungen implementieren können.

Einsicht in Regeln und Optimierungsempfehlungen anzeigen

Wenn Sie sehen möchten, ob Microsoft Sentinel Empfehlungen zur Optimierung ihrer Analyseregeln enthält, wählen Sie " Analyse " im Microsoft Sentinel-Navigationsmenü aus.

Alle Regeln mit Empfehlungen zeigen ein Glühbirnensymbol an, wie hier gezeigt:

Screenshot der Liste der Analyseregeln mit Empfehlungsindikator.

Bearbeiten Sie die Regel, um die Empfehlungen zusammen mit den anderen Erkenntnissen anzuzeigen. Sie werden zusammen auf der Registerkarte " Regellogik festlegen " des Analyseregel-Assistenten unterhalb der Ergebnissimulationsanzeige angezeigt.

Screenshot der Optimierung von Erkenntnissen in der Analyseregel

Arten von Erkenntnissen

Die Anzeige " Optimierungseinblicke " besteht aus mehreren Bereichen, die Sie scrollen oder wischen können, wobei sie jeweils etwas anderes anzeigen. Der Zeitrahmen - 14 Tage - für den die Einblicke angezeigt werden, wird oben im Frame angezeigt.

  1. Im ersten Einblickbereich werden einige statistische Informationen angezeigt – die durchschnittliche Anzahl der Warnungen pro Vorfall, die Anzahl der offenen Vorfälle und die Anzahl der geschlossenen Vorfälle, gruppiert nach Klassifizierung (wahr/falsch positiv). Dieser Einblick hilft Ihnen, die Last dieser Regel zu ermitteln und zu verstehen, ob eine Optimierung erforderlich ist , z. B. wenn die Gruppierungseinstellungen angepasst werden müssen.

    Screenshot: Einblicke in die Regeleffizienz

    Dieser Einblick ist das Ergebnis einer Log Analytics-Abfrage. Wenn Sie "Durchschnittliche Warnungen pro Vorfall " auswählen, gelangen Sie zur Abfrage in Log Analytics, die den Einblick erzeugt hat. Wenn Sie "Offene Vorfälle" auswählen, gelangen Sie zum Blatt "Vorfälle" .

  2. Im zweiten Erkenntnisbereich wird empfohlen, eine Liste der auszuschließenden Einheiten zu erstellen. Diese Entitäten sind stark mit Vorfällen korreliert, die Sie geschlossen und als falsch positiv klassifiziert haben. Wählen Sie das Pluszeichen neben jeder aufgelisteten Entität aus, um sie in zukünftigen Ausführungen dieser Regel aus der Abfrage auszuschließen.

    Screenshot der Empfehlung zum Ausschluss von Entitäten.

    Diese Empfehlung wird von den erweiterten Data Science- und Machine Learning-Modellen von Microsoft erstellt. Die Einbeziehung dieses Bereichs in die Anzeige "Optimierungseinblicke " hängt davon ab, dass es Empfehlungen gibt, die angezeigt werden sollen.

  3. Im dritten Erkenntnisbereich werden die vier am häufigsten angezeigten zugeordneten Einheiten für alle Warnungen angezeigt, die von dieser Regel erzeugt werden. Die Entitätszuordnung muss in der Regel konfiguriert werden, damit diese Erkenntnis Ergebnisse liefert. Dieser Einblick kann Ihnen helfen, sich der Entitäten bewusst zu werden, die das Spotlight beanspruchen und Aufmerksamkeit von anderen Entitäten abziehen. Möglicherweise möchten Sie diese Einheiten separat in einer anderen Regel behandeln, oder Sie entscheiden, dass es sich um Fehlalarm oder anderweitige Irritation handelt, und sie von der Regel ausschließen.

    Screenshot der Einblicke in die wichtigsten Entitäten.

    Dieser Einblick ist das Ergebnis einer Log Analytics-Abfrage. Wenn Sie eine der Entitäten auswählen, gelangen Sie zur Abfrage in Log Analytics, die den Einblick erzeugt hat.

Nächste Schritte

Weitere Informationen finden Sie unter:

  • Last updated on