Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können die Liste der vorhandenen benutzerdefinierten Erkennungsregeln anzeigen, ihre vorherigen Ausführungen überprüfen und die ausgelösten Warnungen überprüfen. Sie können eine Regel auch bei Bedarf ausführen und ändern.
Tipp
Warnungen, die von benutzerdefinierten Erkennungen ausgelöst werden, sind über Warnungen und Incident-APIs verfügbar. Weitere Informationen finden Sie unter Unterstützte Microsoft Defender XDR-APIs.
Für Benutzer, die einen Microsoft Sentinel Arbeitsbereich in das einheitliche Microsoft Defender-Portal integriert haben, enthält die Liste der benutzerdefinierten Erkennungsregeln Analyseregeln. Die folgenden Abschnitte gelten auch für Analyseregeln, sofern nicht anders angegeben.
Anzeigen vorhandener Regeln
Um Ihre vorhandenen benutzerdefinierten Erkennungsregeln und Analyseregeln anzuzeigen, navigieren Sie zu HuntingCustom detection rules (Benutzerdefinierte Erkennungsregelnsuchen>).
Sie können nach einer beliebigen Spalte filtern, indem Sie zu Filter hinzufügen wechseln, die Spalten auswählen, nach der Sie filtern möchten, und dann Hinzufügen auswählen. Wählen Sie für jede der ausgewählten Spalten die entsprechende Pille neben Filter: aus, wählen Sie die Spalten und dann Anwenden aus.
Um nach bestimmten Regeln zu suchen, wechseln Sie zum Suchfeld oben rechts auf der Seite, und geben Sie den Namen oder die Regel-ID der gesuchten Regel ein.
Für Organisationen mit mehreren Arbeitsbereichen, die mehrere Arbeitsbereiche in Microsoft Defender integriert haben, können Sie mithilfe der Spalten Arbeitsbereichs-ID oder Arbeitsbereichsname nach Arbeitsbereichen filtern.
Auf der Seite werden alle Regeln mit den folgenden Ausführungsinformationen aufgeführt:
- Letzte Ausführung : Wann eine Regel zuletzt ausgeführt wurde, um nach Abfrageergebnissen zu suchen und Warnungen zu generieren
- Letzte Ausführung status : Gibt an, ob eine Regel erfolgreich ausgeführt wurde (nur für benutzerdefinierte Erkennungsregeln)
- Nächste Ausführung : Die nächste geplante Ausführung
- Status : Gibt an, ob eine Regel aktiviert oder deaktiviert wurde.
Anzeigen von Regeldetails, Ändern einer Regel und Ausführen einer Regel
Wenn Sie umfassende Informationen zu einer benutzerdefinierten Erkennungsregel oder Analyseregel anzeigen möchten, wechseln Sie zu HuntingCustom detection rules (Benutzerdefinierte Erkennungsregelnsuchen>), und wählen Sie dann den Namen der Regel aus. Anschließend können Sie allgemeine Informationen zur Regel anzeigen, einschließlich Informationen, deren Ausführung status und Umfang. Die Seite enthält ebenfalls die Liste der ausgelösten Warnungen und Aktionen.
Auf dieser Seite können Sie ebenfalls die folgenden Aktionen für die Regel ausführen:
- Seite "Erkennungsregel öffnen" : Öffnet die Seite "Erkennungsregel", um ausgelöste Warnungen anzuzeigen und Aktionen zu überprüfen (nur für benutzerdefinierte Erkennungsregeln).
- Ausführen : Führt die Regel sofort aus. Dadurch wird auch das Intervall für die nächste Ausführung zurückgesetzt (nur für benutzerdefinierte Erkennungsregeln).
- Bearbeiten : Ermöglicht das Ändern der Regel, ohne die Abfrage zu ändern.
- Abfrage ändern : Ermöglicht ihnen das Bearbeiten der Abfrage in der erweiterten Suche.
- Aktivieren / Deaktivieren : Ermöglicht es Ihnen, die Regel zu aktivieren oder die Ausführung zu beenden.
- Löschen : Ermöglicht es Ihnen, die Regel zu deaktivieren und zu entfernen.
- Aus Korrelation ausschließen : Ermöglicht es Ihnen, eine Analyseregel von der Korrelation auszuschließen. Diese Aktion befindet sich in der Vorschauphase und gilt nur für Analyseregeln. Weitere Informationen finden Sie unter Ausschließen von Analyseregeln von der Korrelation in Microsoft Defender XDR (Vorschau).
Anzeigen und Verwalten ausgelöster Warnungen
Wechseln Sie im Bildschirm mit den Regeldetails (Hunting>Custom detections[Rule name]) zu Ausgelöste Warnungen, in dem die von Übereinstimmungen > mit der Regel generierten Warnungen aufgelistet werden. Wählen Sie eine Warnung aus, um detaillierte Informationen dazu anzuzeigen, und führen Sie die folgenden Aktionen aus:
- Verwalten Sie die Warnung durch das Festlegen von deren Status und Klassifizierung (wahre oder falsche Warnung)
- Verknüpfen Sie die Warnung mit einem Vorfall
- Führen Sie die Abfrage aus, die die Warnung bei der erweiterten Bedrohungssuche ausgelöst hat
Überprüfen von Aktionen
Wechseln Sie im Bildschirm mit den Regeldetails (Hunting>Custom detections[Rule name]) zu Ausgelöste Aktionen, in dem die ausgeführten Aktionen basierend auf Übereinstimmungen > mit der Regel aufgelistet werden.
Tipp
Verwenden Sie die Auswahlspalte [✓] auf der linken Seite der Tabelle, um Informationen schnell anzuzeigen und Maßnahmen für ein Element in einer Tabelle auszuführen.
Siehe auch
- Benutzerdefinierte Erkennungen – Übersicht
- Übersicht über die erweiterte Suche
- Erlernen der Abfragesprache für die erweiterte Suche
- Migrieren erweiterter Suchabfragen aus Microsoft Defender for Endpoint
- Microsoft Graph-Sicherheits-API für benutzerdefinierte Erkennungen
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.