Regeln für die benutzerdefinierte Erkennung erstellen

Benutzerdefinierte Erkennungsregeln sind Regeln, die Sie mit erweiterten Huntingabfragen entwerfen und optimieren. Mit diesen Regeln können Sie verschiedene Ereignisse und Systemzustände proaktiv überwachen, einschließlich vermuteter Sicherheitsverletzungsaktivitäten und falsch konfigurierter Endpunkte. Sie können festlegen, dass sie in regelmäßigen Abständen ausgeführt werden, Warnungen generieren und bei Übereinstimmungen Rekonstruktionsmaßnahmen ergreifen.

Erforderliche Berechtigungen zum Verwalten von benutzerdefinierten Erkennungen

Um benutzerdefinierte Erkennungen zu verwalten, benötigen Sie Rollen, mit denen Sie die Daten verwalten können, auf die diese Erkennungen abzielen. Um beispielsweise benutzerdefinierte Erkennungen für mehrere Datenquellen (Microsoft Defender XDR und Microsoft Sentinel oder mehrere Defender-Workloads) zu verwalten, benötigen Sie alle anwendbaren Defender XDR und Sentinel Rollen. Weitere Informationen finden Sie in den folgenden Abschnitten.

Microsoft Defender XDR

Um benutzerdefinierte Erkennungen für Microsoft Defender XDR Daten verwalten zu können, muss Ihnen eine der folgenden Rollen zugewiesen werden:

• Sicherheitseinstellungen (verwalten): Benutzer mit dieser Microsoft Defender XDR-Berechtigung können Sicherheitseinstellungen im Microsoft Defender-Portal verwalten.

• Sicherheitsadministrator: Benutzer mit dieser Microsoft Entra Rolle können Sicherheitseinstellungen im Microsoft Defender-Portal und in anderen Portalen und Diensten verwalten.

• Sicherheitsoperator: Benutzer mit dieser Microsoft Entra Rolle können Warnungen verwalten und haben globalen schreibgeschützten Zugriff auf sicherheitsbezogene Features, einschließlich aller Informationen im Microsoft Defender-Portal. Diese Rolle ist für die Verwaltung benutzerdefinierter Erkennungen nur ausreichend, wenn die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Microsoft Defender for Endpoint deaktiviert ist. Wenn Sie RBAC konfiguriert haben, benötigen Sie auch die Berechtigung Sicherheitseinstellungen verwalten für Defender für Endpunkt.

Sie können benutzerdefinierte Erkennungen verwalten, die für Daten aus bestimmten Defender XDR Lösungen gelten, wenn Sie über die entsprechenden Berechtigungen verfügen. Wenn Sie beispielsweise nur über Verwaltungsberechtigungen für Microsoft Defender für Office 365 verfügen, können Sie benutzerdefinierte Erkennungen mithilfe von Tabellen erstellen, aber nicht Identity* mit Email* Tabellen.

Da die IdentityLogonEvents Tabelle informationen zur Authentifizierungsaktivität sowohl von Microsoft Defender for Cloud Apps als auch von Defender for Identity enthält, müssen Sie über Verwaltungsberechtigungen für beide Dienste verfügen, um benutzerdefinierte Erkennungen zu verwalten, die die genannte Tabelle abfragen.

Microsoft Sentinel

Um benutzerdefinierte Erkennungen für Microsoft Sentinel Daten zu verwalten, muss Ihnen die Rolle Microsoft Sentinel Mitwirkender zugewiesen werden. Benutzer mit dieser Azure Rolle können Microsoft Sentinel SIEM-Arbeitsbereichsdaten verwalten, einschließlich Warnungen und Erkennungen. Sie können diese Rolle einem bestimmten primären Arbeitsbereich, Azure Ressourcengruppe oder einem gesamten Abonnement zuweisen.

Verwalten der erforderlichen Berechtigungen

Um die erforderlichen Berechtigungen zu verwalten, kann ein globaler Administrator:

• Weisen Sie die Rolle Sicherheitsadministrator oder Sicherheitsoperator in Microsoft 365 Admin Center unter Rollen>Sicherheitsadministrator zu.

• Überprüfen Sie die RBAC-Einstellungen für Microsoft Defender for Endpoint in Microsoft Defender XDR unter Einstellungen>Berechtigungen>Rollen. Wählen Sie die entsprechende Rolle aus, um die Berechtigung Sicherheitseinstellungen verwalten zuzuweisen.

Erstellen einer benutzerdefinierten Erkennungsregel

1. Vorbereiten der Abfrage

Wechseln Sie im Microsoft Defender-Portal zu Erweiterte Suche, und wählen Sie eine vorhandene Abfrage aus, oder erstellen Sie eine neue Abfrage. Wenn Sie eine neue Abfrage verwenden, führen Sie die Abfrage aus, um Fehler zu identifizieren und mögliche Ergebnisse zu verstehen.

In den Abfrageergebnissen erforderliche Spalten

Um eine benutzerdefinierte Erkennungsregel mit Defender XDR Daten zu erstellen, muss die Abfrage die folgenden Spalten zurückgeben:

1. Timestamp oder TimeGenerated : Diese Spalte legt den Zeitstempel für generierte Warnungen fest. Die Abfrage sollte diese Spalte nicht bearbeiten und genau so zurückgeben, wie sie im Unformatierten Ereignis angezeigt wird.

2. Für Erkennungen, die auf XDR-Tabellen basieren, eine Spalte oder Eine Kombination von Spalten, die das Ereignis in diesen Tabellen eindeutig identifizieren:

   • Für Microsoft Defender for Endpoint Tabellen müssen die TimestampSpalten , DeviceIdund ReportId im selben Ereignis angezeigt werden.
   • Für Warnungstabellen* muss im -Ereignis angezeigt werden. Timestamp
   • Für Observation*-Tabellen TimestampObservationId und müssen im selben Ereignis angezeigt werden.
   • Für alle anderen Timestamp muss und ReportId im selben Ereignis angezeigt werden.

3. Eine Spalte, die einen starken Bezeichner für ein betroffenen Medienobjekt enthält. Projizieren Sie zum automatischen Zuordnen eines betroffenen Medienobjekts im Assistenten eine der folgenden Spalten, die einen starken Bezeichner für ein betroffenen Medienobjekt enthalten:

   • DeviceId
   • DeviceName
   • RemoteDeviceName
   • RecipientEmailAddress
   • SenderFromAddress (Absender des Umschlags oder Return-Path-Adresse)
   • SenderMailFromAddress (Absenderadresse, die vom E-Mail-Client angezeigt wird)
   • SenderObjectId
   • RecipientObjectId
   • AccountObjectId
   • AccountSid
   • AccountUpn
   • InitiatingProcessAccountSid
   • InitiatingProcessAccountUpn
   • InitiatingProcessAccountObjectId

Einfache Abfragen, z. B. Abfragen, die den Operator oder summarize nicht zum Anpassen oder Aggregieren von project Ergebnissen verwenden, geben in der Regel diese allgemeinen Spalten zurück.

Es gibt verschiedene Möglichkeiten, um sicherzustellen, dass komplexere Abfragen diese Spalten zurückgeben. Wenn Sie z. B. lieber nach Entität unter einer Spalte wie DeviceIdaggregieren und zählen möchten, können Sie trotzdem Timestamp und ReportId durch abrufen, indem Sie sie aus dem letzten Ereignis abrufen, das jedes eindeutige DeviceIdeinbezieht.

Die folgende Beispielabfrage zählt die Anzahl der eindeutigen Geräte (DeviceId) mit Antivirenerkennungen und verwendet diese Anzahl, um nur die Geräte mit mehr als fünf Erkennungen zu finden. Um die neueste Timestamp und die entsprechende ReportIdzurückzugeben, wird der summarize -Operator mit der arg_max -Funktion verwendet.

DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

2. Erstellen einer neuen Regel und Bereitstellen von Warnungsdetails

Wählen Sie mit der Abfrage im Abfrage-Editor Erkennungsregel erstellen aus, und geben Sie die folgenden Warnungsdetails an:

• Erkennungsname : Name der Erkennungsregel; sollte eindeutig sein.
• Häufigkeit : Intervall zum Ausführen der Abfrage und Ausführen von Aktionen. Weitere Anleitungen finden Sie im Abschnitt Regelhäufigkeit.
• Warnungstitel : Titel, der mit warnungen angezeigt wird, die von der Regel ausgelöst werden; sollte eindeutig und im Klartext sein. Zeichenfolgen werden aus Sicherheitsgründen bereinigt, sodass HTML, Markdown und anderer Code nicht funktionieren. Alle im Titel enthaltenen URLs sollten das Prozentcodierungsformat aufweisen, damit sie ordnungsgemäß angezeigt werden.
• Schweregrad : Potenzielles Risiko der Komponente oder Aktivität, die von der Regel identifiziert wird.
• Kategorie : Bedrohungskomponente oder -aktivität, die von der Regel identifiziert wird.
• MITRE ATT&CK-Techniken : Eine oder mehrere Angriffstechniken, die von der Regel identifiziert werden, wie im MITRE ATT&CK-Framework dokumentiert. Dieser Abschnitt ist für bestimmte Warnungskategorien ausgeblendet, einschließlich Schadsoftware, Ransomware, verdächtige Aktivitäten und unerwünschter Software.
• Bericht zur Bedrohungsanalyse : Verknüpfen Sie die generierte Warnung mit einem vorhandenen Bedrohungsanalysebericht, sodass sie in der Bedrohungsanalyse auf der Registerkarte Verwandte Vorfälle angezeigt wird.
• Beschreibung : Weitere Informationen zur Komponente oder Aktivität, die von der Regel identifiziert wird. Zeichenfolgen werden aus Sicherheitsgründen bereinigt, sodass HTML, Markdown und anderer Code nicht funktionieren. Alle in der Beschreibung enthaltenen URLs sollten dem Prozentcodierungsformat folgen, damit sie ordnungsgemäß angezeigt werden.
• Empfohlene Aktionen : Zusätzliche Aktionen, die Antwortende als Reaktion auf eine Warnung ausführen können.

Regelhäufigkeit

Wenn Sie eine neue Regel speichern, wird sie ausgeführt und sucht nach Übereinstimmungen aus den Daten der letzten 30 Tage. Die Regel wird dann in festen Intervallen erneut ausgeführt, wobei ein Lookbackzeitraum basierend auf der von Ihnen gewählten Häufigkeit angewendet wird:

• Alle 24 Stunden : Wird alle 24 Stunden ausgeführt, wobei Daten der letzten 30 Tage überprüft werden.
• Alle 12 Stunden : Wird alle 12 Stunden ausgeführt, wobei Daten aus den letzten 48 Stunden überprüft werden.
• Alle 3 Stunden : Wird alle 3 Stunden ausgeführt und überprüft Daten aus den letzten 12 Stunden.
• Stündlich : Wird stündlich ausgeführt und überprüft daten aus den letzten 4 Stunden.
• Continuous (NRT): Wird kontinuierlich ausgeführt und überprüft Daten von Ereignissen, während sie in Quasi-Echtzeit (NRT) gesammelt und verarbeitet werden. Weitere Informationen finden Sie unter Fortlaufende Häufigkeit (NRT).
• Benutzerdefiniert : Wird entsprechend der von Ihnen ausgewählten Häufigkeit ausgeführt. Diese Option ist verfügbar, wenn die Regel nur auf Daten basiert, die in Microsoft Sentinel erfasst werden. Weitere Informationen finden Sie unter Benutzerdefinierte Häufigkeit für Microsoft Sentinel Daten (Vorschau).

Wenn Sie eine Regel bearbeiten, werden die Änderungen in der nächsten Laufzeit angewendet, die gemäß der von Ihnen festgelegten Häufigkeit geplant ist. Die Regelhäufigkeit basiert auf dem Ereigniszeitstempel und nicht auf der Erfassungszeit. Es kann auch zu kleinen Verzögerungen bei bestimmten Ausführungen kommen, wodurch die konfigurierte Häufigkeit nicht 100 % genau ist.

Kontinuierliche Frequenz (NRT)

Das Festlegen einer benutzerdefinierten Erkennung für die Ausführung in fortlaufender Häufigkeit (NRT) erhöht die Fähigkeit Ihrer organization, Bedrohungen schneller zu identifizieren. Die Verwendung der Fortlaufenden Häufigkeit (NRT) hat minimale bis keine Auswirkungen auf Ihre Ressourcennutzung und sollte daher für jede qualifizierte benutzerdefinierte Erkennungsregel in Ihrem organization berücksichtigt werden.

Auf der Seite mit benutzerdefinierten Erkennungsregeln können Sie benutzerdefinierte Erkennungsregeln migrieren, die der Häufigkeit fortlaufend (NRT) entsprechen, mit der einzigen Schaltfläche Jetzt migrieren:

Wenn Sie Jetzt migrieren auswählen, erhalten Sie eine Liste aller kompatiblen Regeln gemäß ihrer KQL-Abfrage. Sie können alle oder ausgewählte Regeln nur gemäß Ihren Einstellungen migrieren:

Nachdem Sie Speichern ausgewählt haben, wird die Häufigkeit der ausgewählten Regeln auf Fortlaufende Häufigkeit (NRT) aktualisiert.

Abfragen, die Sie kontinuierlich ausführen können

Sie können eine Abfrage kontinuierlich ausführen, solange:

• Die Abfrage verweist nur auf eine Tabelle.
• Die Abfrage verwendet einen Operator aus der Liste der unterstützten KQL-Features. (Für matches regexmüssen reguläre Ausdrücke als Zeichenfolgenliterale codiert werden und den Regeln zur Anführungszeichen von Zeichenfolgen entsprechen. Beispielsweise wird der reguläre Ausdruck \A in KQL als "\\A"dargestellt. Der zusätzliche umgekehrte Schrägstrich gibt an, dass der andere umgekehrte Schrägstrich Teil des regulären Ausdrucks \Aist.)
• Die Abfrage verwendet keine Joins, Unions oder den externaldata Operator.
• Die Abfrage enthält keine Kommentarzeile/-informationen.

Tabellen, die fortlaufende Häufigkeit (NRT) unterstützen

Erkennungen in Quasi-Echtzeit werden für die folgenden Tabellen unterstützt:

• AlertEvidence
• CloudAppEvents
• DeviceEvents
• DeviceFileCertificateInfo
• DeviceFileEvents
• DeviceImageLoadEvents
• DeviceLogonEvents
• DeviceNetworkEvents
• DeviceNetworkInfo
• DeviceInfo
• DeviceProcessEvents
• DeviceRegistryEvents
• EmailAttachmentInfo
• EmailEvents (mit Ausnahme der LatestDeliveryLocation Spalten und LatestDeliveryAction )
• EmailPostDeliveryEvents
• EmailUrlInfo
• IdentityDirectoryEvents
• IdentityLogonEvents
• IdentityQueryEvents
• UrlClickEvents

Benutzerdefinierte Häufigkeit für Microsoft Sentinel Daten (Vorschau)

Microsoft Sentinel Kunden, die in Microsoft Defender integriert sind, können benutzerdefinierte Häufigkeit auswählen, wenn die Regel nur auf Daten basiert, die in Microsoft Sentinel erfasst werden.

Wenn Sie diese Häufigkeitsoption auswählen, wird die Komponente Abfrage alle Eingabe ausführen angezeigt. Geben Sie die gewünschte Häufigkeit für die Regel ein, und verwenden Sie die Dropdownliste, um die Einheiten auszuwählen: Minuten, Stunden oder Tage. Der unterstützte Bereich ist ein beliebiger Wert zwischen 5 Minuten und 14 Tagen. Wenn Sie eine Häufigkeit auswählen, wird der Lookbackzeitraum automatisch mit der folgenden Logik bestimmt:

1. Bei Erkennungen, die so festgelegt sind, dass sie häufiger als einmal am Tag ausgeführt werden, ist der Lookback viermal so häufig wie die Häufigkeit. Wenn die Häufigkeit beispielsweise 20 Minuten beträgt, beträgt der Lookback 80 Minuten.
2. Bei Erkennungen, die einmal täglich oder weniger häufig ausgeführt werden sollen, beträgt der Lookback 30 Tage. Wenn beispielsweise auf die Ausführung alle drei Tage festgelegt ist, beträgt der Lookback 30 Tage.

3. Definieren von Details zur Warnungsanreicherung

Sie können Warnungen anreichern, indem Sie weitere Details bereitstellen und definieren, sodass Sie:

• Erstellen eines dynamischen Warnungstitels und einer Beschreibung
• Hinzufügen von benutzerdefinierten Details zur Anzeige im Warnungsseitenbereich
• Verknüpfen von Entitäten

Erstellen eines dynamischen Warnungstitels und einer Beschreibung (Vorschau)

Sie können den Titel und die Beschreibung Ihrer Warnung dynamisch erstellen, indem Sie die Ergebnisse Ihrer Abfrage verwenden, um sie genau und indikativ zu gestalten. Dieses Feature kann die Effizienz von SOC-Analysten beim Selektieren von Warnungen und Vorfällen und beim Versuch, das Wesen einer Warnung schnell zu verstehen, steigern.

Um den Titel oder die Beschreibung der Warnung dynamisch zu konfigurieren, integrieren Sie sie in den Abschnitt Warnungsdetails , indem Sie die Freitextnamen der Spalten verwenden, die in Ihren Abfrageergebnissen verfügbar sind, und sie mit doppelt geschweiften Klammern umgeben.

Beispiel: User {{AccountName}} unexpectedly signed in from {{Location}}

Wenn Sie die genauen Spaltennamen auswählen möchten, auf die Sie verweisen möchten, können Sie Abfrage und Ergebnisse untersuchen auswählen. Dadurch wird der Kontextbereich Erweiterte Suche neben dem Assistenten zum Erstellen von Regeln geöffnet, in dem Sie Ihre Abfragelogik und ihre Ergebnisse untersuchen können.

Hinzufügen von benutzerdefinierten Details (Vorschau)

Sie können die Produktivität Ihrer SOC-Analysten weiter steigern, indem Sie wichtige Details im Warnungsseitenbereich anzeigen. Sie können Die Daten von Ereignissen in Warnungen anzeigen, die aus diesen Ereignissen erstellt werden. Dieses Feature bietet Ihren SOC-Analysten sofortige Sichtbarkeit des Ereignisinhalts ihrer Incidents, sodass sie schneller selektieren, untersuchen und Schlussfolgerungen ziehen können.

Fügen Sie im Abschnitt Benutzerdefinierte Details Schlüssel-Wert-Paare hinzu, die den Details entsprechen, die Sie anzeigen möchten:

• Geben Sie im Feld Schlüssel einen Namen Ihrer Wahl ein, der als Feldname in Warnungen angezeigt wird.
• Wählen Sie im Feld Parameter den Ereignisparameter aus, den Sie in der Dropdownliste in den Warnungen anzeigen möchten. Diese Liste wird mit Werten aufgefüllt, die den Spaltennamen entsprechen, die ihre KQL-Abfrage ausgibt.

Der folgende Screenshot zeigt, wie die benutzerdefinierten Details im Seitenbereich der Warnung angezeigt werden:

Verknüpfen von Entitäten

Identifizieren Sie die Spalten in den Abfrageergebnissen, in denen Sie erwarten, die wichtigste betroffene Entität vorzufinden. Beispielsweise kann eine Abfrage Absenderadressen (SenderFromAddress oder SenderMailFromAddress) und Empfängeradressen (RecipientEmailAddress) zurückgeben. Die Identifizierung, welche dieser Spalten die wichtigste betroffene Entität darstellt, hilft dem Dienst, relevante Warnungen zu aggregieren, Vorfälle zu korrelieren und Rekonstruktionsmaßnahmen zu ergreifen.

Sie können für jeden Entitätstyp (Postfach, Benutzer oder Gerät) nur eine Spalte auswählen. Sie können keine Spalten auswählen, die von Ihrer Abfrage nicht zurückgegeben werden.

Erweiterte Entitätszuordnung (Vorschau)

Sie können eine Vielzahl von Entitätstypen mit Ihren Warnungen verknüpfen. Das Verknüpfen weiterer Entitäten hilft unserer Korrelations-Engine, Warnungen zu denselben Vorfällen zu gruppieren und Incidents miteinander zu korrelieren. Wenn Sie ein Microsoft Sentinel Kunde sind, bedeutet dies auch, dass Sie jede Entität aus Ihren Datenquellen von Drittanbietern zuordnen können, die in Microsoft Sentinel erfasst werden.

Für Microsoft Defender XDR Daten werden die Entitäten automatisch ausgewählt. Wenn die Daten aus Microsoft Sentinel stammen, müssen Sie die Entitäten manuell auswählen.

Im erweiterten Abschnitt Entitätszuordnung gibt es zwei Abschnitte, für die Sie Entitäten auswählen können:

• Beeinträchtigte Ressourcen : Fügen Sie die betroffenen Ressourcen hinzu, die in den ausgewählten Ereignissen angezeigt werden. Die folgenden Ressourcentypen können hinzugefügt werden:
  • Account
  • Gerät
  • Postfach
  • Cloudanwendung
  • Azure-Ressource
  • Amazon Web Services-Ressource
  • Google Cloud Platform-Ressource
• Verwandter Beweis : Fügen Sie Nichtassets hinzu, die in den ausgewählten Ereignissen angezeigt werden. Die unterstützten Entitätstypen sind:
  • Prozess
  • File
  • Registrierungswert
  • IP
  • OAuth-Anwendung
  • DNS
  • Sicherheitsgruppe
  • URL
  • E-Mail-Cluster
  • E-Mail-Nachricht

Nachdem Sie einen Entitätstyp ausgewählt haben, wählen Sie einen Bezeichnertyp aus, der in den ausgewählten Abfrageergebnissen vorhanden ist, damit er zum Identifizieren dieser Entität verwendet werden kann. Jeder Entitätstyp verfügt über eine Liste unterstützter Bezeichner, wie im entsprechenden Dropdownmenü gezeigt. Lesen Sie die Beschreibung, die beim Zeigen auf die einzelnen Bezeichner angezeigt wird, um sie besser zu verstehen.

Nachdem Sie den Bezeichner ausgewählt haben, wählen Sie eine Spalte aus den Abfrageergebnissen aus, die den ausgewählten Bezeichner enthält. Wählen Sie Abfrage und Ergebnisse durchsuchen aus, um den Kontextbereich für die erweiterte Suche zu öffnen. Mit dieser Option können Sie Ihre Abfrage und die Ergebnisse untersuchen, um sicherzustellen, dass Sie die richtige Spalte für den ausgewählten Bezeichner auswählen.

4. Angeben von Aktionen

Wenn Ihre benutzerdefinierte Erkennungsregel Defender XDR Daten verwendet, kann sie automatisch Aktionen für Geräte, Dateien, Benutzer oder E-Mails ausführen, die von der Abfrage zurückgegeben werden.

Aktionen auf Geräten

Diese Aktionen werden auf Geräte in der DeviceId-Spalte der Abfrageergebnisse angewendet:

• Gerät isolieren: Verwendet Microsoft Defender for Endpoint, um eine vollständige Netzwerkisolation anzuwenden, wodurch verhindert wird, dass das Gerät eine Verbindung mit einer Anwendung oder einem Dienst herstellt. Erfahren Sie mehr über Microsoft Defender for Endpoint Computerisolation.
• Erfassen eines Untersuchungspakets : Erfasst Geräteinformationen in einer ZIP-Datei. Erfahren Sie mehr über das Microsoft Defender for Endpoint Untersuchungspaket.
• Ausführen der Antivirenüberprüfung: Führt eine vollständige Microsoft Defender Antivirusüberprüfung auf dem Gerät aus.
• Untersuchung initiieren : Initiiert eine automatisierte Untersuchung auf dem Gerät.
• App-Ausführung einschränken : Legt Einschränkungen für das Gerät fest, damit nur Dateien ausgeführt werden können, die mit einem von Microsoft ausgestellten Zertifikat signiert wurden. Erfahren Sie mehr über App-Einschränkungen mit Microsoft Defender for Endpoint.

Aktionen auf Dateien

• Wenn diese Option ausgewählt ist, kann die Aktion Zulassen/Blockieren auf die Datei angewendet werden. Blockierende Dateien sind nur zulässig, wenn Sie über Berechtigungen zum Korrigieren von Dateien verfügen und die Abfrageergebnisse eine Datei-ID identifiziert haben, z. B. sha1. Sobald eine Datei blockiert ist, werden auch andere Instanzen derselben Datei auf allen Geräten blockiert. Sie können steuern, auf welche Gerätegruppe die Blockierung angewendet wird, aber nicht auf bestimmte Geräte.

• Wenn diese Option ausgewählt ist, kann die Aktion Datei unter Quarantäne auf Dateien in der SHA1Spalte , InitiatingProcessSHA1, SHA256oder InitiatingProcessSHA256 der Abfrageergebnisse angewendet werden. Diese Aktion löscht die Datei vom aktuellen Speicherort und platziert eine Kopie in Quarantäne.

Aktionen für Benutzer

• Wenn diese Option ausgewählt ist, wird die Aktion Benutzer als kompromittiert markieren für Benutzer in der AccountObjectId, InitiatingProcessAccountObjectId, oder RecipientObjectId Spalte der Abfrageergebnisse ausgeführt. Diese Aktion legt die Benutzerrisikostufe in Microsoft Entra ID auf "hoch" fest, wodurch entsprechende Identitätsschutzrichtlinien ausgelöst werden.

• Wählen Sie Benutzer deaktivieren aus, um die Anmeldung eines Benutzers vorübergehend zu verhindern.

• Wählen Sie Kennwortzurücksetzung erzwingen aus, um den Benutzer aufzufordern, sein Kennwort in der nächsten Anmeldesitzung zu ändern.

• Sowohl die Disable user Optionen als Force password reset auch erfordern die Benutzer-SID, die sich in den Spalten AccountSid, InitiatingProcessAccountSid, RequestAccountSidund OnPremSidbefinden.

Weitere Informationen zu Benutzeraktionen finden Sie unter Wartungsaktionen in Microsoft Defender for Identity.

Aktionen für E-Mails

• Wenn die benutzerdefinierte Erkennung E-Mail-Nachrichten ergibt, können Sie In Postfachordner verschieben auswählen, um die E-Mail in einen ausgewählten Ordner ( junk-,posteingangs- oder gelöschte Elementordner ) zu verschieben. Insbesondere können Sie E-Mail-Ergebnisse aus isolierten Elementen verschieben (für instance bei falsch positiven Ergebnissen), indem Sie die Option Posteingang auswählen.

  

• Alternativ können Sie E-Mail löschen auswählen und dann entweder die E-Mails in Gelöschte Elemente verschieben (vorläufiges Löschen) oder die ausgewählten E-Mails dauerhaft löschen (endgültiges Löschen).

Die Spalten NetworkMessageId und RecipientEmailAddress müssen in den Ausgabeergebnissen der Abfrage vorhanden sein, um Aktionen auf E-Mail-Nachrichten anzuwenden.

5. Festlegen des Regelbereichs

Legen Sie den Bereich fest, um anzugeben, welche Geräte die Regel abdeckt. Der Bereich wirkt sich auf Regeln aus, die Geräte überprüfen, und wirkt sich nicht auf Regeln aus, die nur Postfächer und Benutzerkonten oder -identitäten überprüfen.

Wenn Sie den Bereich festlegen, können Sie Folgendes auswählen:

• Alle Geräte
• Bestimmte Gerätegruppen

Die Regel fragt nur Daten von Geräten im Bereich ab. Aktionen werden nur auf diesen Geräten ausgeführt.

6. Überprüfen und Aktivieren der Regel

Wählen Sie nach der Überprüfung der Regel die Option Erstellen aus, um sie zu speichern. Die benutzerdefinierte Erkennungsregel wird sofort ausgeführt. Es wird basierend auf der konfigurierten Häufigkeit erneut ausgeführt, um nach Übereinstimmungen zu suchen, Warnungen zu generieren und Antwortaktionen auszuführen.

Behandeln doppelter Warnungen durch benutzerdefinierte Erkennungen

Ein wichtiger Aspekt beim Erstellen und Überprüfen benutzerdefinierter Erkennungsregeln sind Warnungsgeräusche und Ermüdung. Benutzerdefinierte Erkennungen gruppieren und deduplizieren Ereignisse in einer einzelnen Warnung. Wenn eine benutzerdefinierte Erkennung zweimal für ein Ereignis ausgelöst wird, das die gleichen Entitäten, benutzerdefinierten Details und dynamischen Details enthält, wird nur eine Warnung für beide Ereignisse erstellt. Wenn die Erkennung erkennt, dass die Ereignisse identisch sind, protokolliert sie nur eines der Ereignisse für die erstellte Warnung und kümmert sich dann um die Duplikate, die auftreten können, wenn der Lookbackzeitraum länger als die Häufigkeit ist. Wenn die Ereignisse unterschiedlich sind, protokolliert die benutzerdefinierte Erkennung beide Ereignisse für die Warnung.

Siehe auch

• Benutzerdefinierte Erkennungen – Übersicht
• Verwalten von benutzerdefinierten Erkennungen
• Übersicht über die erweiterte Suche
• Erlernen der Abfragesprache für die erweiterte Suche
• Migrieren erweiterter Suchabfragen aus Microsoft Defender for Endpoint
• Microsoft Graph-Sicherheits-API für benutzerdefinierte Erkennungen