Anpassen von Warnungsdetails in Microsoft Sentinel

In diesem Artikel wird erläutert, wie Sie die Standardeigenschaften von Warnungen mit Inhalten aus den zugrunde liegenden Abfrageergebnissen überschreiben.

Beim Erstellen einer geplanten Analyseregel legen Sie im ersten Schritt einen Namen und eine Beschreibung für die Regel fest. Darüber hinaus weisen Sie einen Schweregrad und MITRE ATT&CK-Taktiken zu. Alle Warnungen, die von einer bestimmten Regel generiert werden, und alle dadurch erstellten Vorfälle übernehmen ohne Berücksichtigung des jeweiligen Inhalts einer bestimmten Instanz der Warnung den Namen, die Beschreibung, den Schweregrad und die Taktiken, die in der Regel definiert sind.

Mit dem Feature Warnungsdetails können Sie diese und andere Standardeigenschaften von Warnungen außer Kraft setzen. Dazu haben Sie die beiden folgenden Möglichkeiten:

  • Erstellen Sie benutzerdefinierte Variablennamen und Beschreibungen für Ihre Warnungen. Sie können Felder in der Abfrageausgabe Ihrer Warnung auswählen und deren Inhalt ggf. in den Namen oder die Beschreibung einer Instanz der Warnung einfügen. Wenn das ausgewählte Feld in einer bestimmten Instanz keinen Wert aufweist, werden die auf der ersten Seite des Assistenten angegebenen Standardwerte als Warnungsdetails für die betreffende Instanz verwendet.

  • Passen Sie Schweregrad, Taktiken und andere Eigenschaften einer bestimmten Instanz einer Warnung (siehe vollständige Liste der Eigenschaften weiter unten) mit den Werten der relevanten Felder in der Abfrageausgabe an. Wenn die ausgewählten Felder leer sind oder Werte aufweisen, die nicht mit dem Felddatentyp übereinstimmen, werden die jeweiligen Warnungseigenschaften auf die zugehörigen Standardwerte zurückgesetzt. (Für Taktiken und Schweregrad wurden diese auf der ersten Seite des Assistenten angegeben.)

Wichtig

  • Einige Anpassungsmöglichkeiten für Warnungsdetails (weiter unten aufgeführt) befinden sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
  • Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Führen Sie die unten beschriebenen Schritte aus, um das Feature „Warnungsdetails“ zu verwenden. Diese Schritte sind Bestandteil des Assistenten zum Erstellen von Analyseregeln. Sie werden hier jedoch unabhängig davon behandelt, um das Hinzufügen oder Ändern von Warnungsdetails in einer vorhandenen Analyseregel zu veranschaulichen.

Anpassen von Warnungsdetails

  1. Geben Sie die Analyseseite im Portal ein, über die Sie auf Microsoft Sentinel zugreifen:

    Wählen Sie im Microsoft Sentinel Navigationsmenü im Abschnitt Konfiguration die Option Analytics aus.

  2. Wählen Sie eine geplante Abfrageregel und dann Bearbeiten aus. Oder erstellen Sie eine neue Regel, indem Sie oben im Bildschirm Erstellen > Geplante Abfrageregel auswählen.

  3. Wählen Sie die Registerkarte Regellogik festlegen aus.

  4. Erweitern Sie im Abschnitt Warnungsanreicherung den Bereich Warnungsdetails.

    Anpassen von Warnungsdetails

  5. Fügen Sie im nun erweiterten Abschnitt Warnungsdetails Freitext mit den entsprechenden Eigenschaften für die Details, die Sie in der Warnung anzeigen möchten:

    1. Geben Sie im Feld Format des Warnungsnamens den Text ein, der als Name der Warnung (Warnungstext) angezeigt werden soll, und fügen Sie in doppelten geschweiften Klammern alle Felder der Abfrageausgabe ein, die Teil des Warnungstexts sein sollen.

      Beispiel: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

    2. Gehen Sie beim Feld Format der Warnungsbeschreibung genauso vor.

      Hinweis

      Aktuell sind Sie auf jeweils drei Parameter in den Feldern Format des Warnungsnamens und Format der Warnungsbeschreibung beschränkt.

    3. Um andere Standardeigenschaften außer Kraft zu setzen, wählen Sie in der Dropdownliste Warnungseigenschaft eine Warnungseigenschaft aus. Wählen Sie dann in der Dropdownliste Wert das Feld in den Abfrageergebnissen aus, dessen Inhalt Sie für die Warnungseigenschaft eintragen möchten.

    4. Um weitere Standardeigenschaften zu außer Kraft zu setzen, wählen Sie + Neu hinzufügen aus, und wiederholen Sie den vorherigen Schritt. Die folgenden Eigenschaften können außer Kraft gesetzt werden:

      Name Beschreibung
      AlertName String
      Beschreibung String
      AlertSeverity Einer der folgenden Werte:
      - Zur Information
      - Niedrig
      - Mittel
      - Hoch
      Taktik Einer der folgenden Werte:
      - Aufklärung
      - ResourceDevelopment
      - InitialAccess
      - Ausführung
      - Persistenz
      - PrivilegeEscalation
      - DefenseEvasion
      - CredentialAccess
      - Entdeckung
      - LateralMovement
      - Sammlung
      - Exfiltration
      - CommandAndControl
      - Auswirkung
      - PreAttack
      - ImpairProcessControl
      - InhibitResponseFunction
      Techniques (Vorschau) Eine Zeichenfolge, die dem folgenden regulären Ausdruck entspricht: ^T(?<Digits>\d{4})$.
      Beispiel: T1234
      AlertLink (Vorschau) String
      ConfidenceLevel (Vorschau) Einer der folgenden Werte:
      - Niedrig
      - Hoch
      - Unbekannt
      ConfidenceScore (Vorschau) Ganze Zahl, 0-1 (einschließlich)
      ExtendedLinks (Vorschau) String
      ProductComponentName (Vorschau) String
      ProductName (Vorschau)
      * Siehe Hinweis in dieser Tabelle
      String
      ProviderName (Vorschau) String
      RemediationSteps (Vorschau) String

      Hinweis

      Wenn Sie Microsoft Sentinel in die Unified Security Operations Platform integriert haben, passen Sie das Feld Produktname für Alarme aus Microsoft-Quellen nicht an. Dadurch werden diese Warnungen von Microsoft Defender XDR gelöscht, und es wird kein Vorfall erstellt.

    Wenn Sie Ihre Meinung ändern oder einen Fehler gemacht haben, können Sie ein Warnungsdetail entfernen, indem Sie auf das Papierkorbsymbol neben Warnungseigenschaft/Wert klicken oder den freien Text in den Feldern für das Format des Warnungsnamens/der Warnungsbeschreibung löschen.

  6. Fahren Sie mit der nächsten Registerkarte im Assistenten fort, nachdem Sie die Warnungsdetails angepasst haben, wenn Sie jetzt die Regel erstellen. Wenn Sie eine vorhandene Regel bearbeiten, wählen Sie die Registerkarte Überprüfen und erstellen aus. Wählen Sie bei einer erfolgreichen Regelüberprüfung Speichern aus.

Diensteinschränkungen

  • Sie können in einer einzelnen Abfrage ein Feld mit bis zu 50 Werten überschreiben. Wenn Ihre Abfrage 50 benutzerdefinierte Werte überschreitet, werden alle benutzerdefinierten Werte verworfen, und in allen Abfrageergebnissen wird das Feld auf den Standardwert zurückgesetzt. Optimieren Sie Ihre Abfrage so, dass sie nicht mehr als 50 Werte ergibt, um sicherzustellen, dass keine benutzerdefinierten Werte verworfen werden.
  • Die Größenbeschränkung für das Feld AlertName und alle anderen Eigenschaften, die nicht für die Auflistung gelten, beträgt 256 Byte.
  • Die Größenbeschränkung für das Feld Description und alle anderen Eigenschaften, die für die Auflistung gelten, beträgt 5 Kilobyte.
  • Werte, die diese Größenbeschränkungen überschreiten, werden verworfen.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie Warnungsdetails in Microsoft Sentinel-Analyseregeln anpassen. Weitere Informationen über Microsoft Sentinel finden Sie in den folgenden Artikeln: