Verwalten von Vorlagenversionen für Ihre geplanten Analyseregeln in Microsoft Sentinel

Wichtig

Dieses Feature befindet sich in der VORSCHAUPHASE. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Einführung

Microsoft Sentinel enthält Analyseregelvorlagen, die Sie in aktive Regeln umwandeln, indem Sie eine Kopie davon erstellen. Dies geschieht, wenn Sie eine Regel aus einer Vorlage erstellen. An diesem Punkt ist die aktive Regel jedoch nicht mehr mit der Vorlage verbunden. Wenn eine Regelvorlage von Microsoft-Technikern oder anderen Personen geändert wird, werden alle zuvor aus dieser Vorlage erstellten Regeln nicht dynamisch an die neue Vorlage angepasst.

Allerdings merken sich Regeln, die aus Vorlagen erstellt wurden, von welchen Vorlagen sie stammten. Dies bietet zwei Vorteile:

  • Wenn Sie beim Erstellen einer Regel aus einer Vorlage (oder zu einem beliebigen späteren Zeitpunkt) Änderungen an der Regel vorgenommen haben, können Sie die Regel jederzeit auf ihre ursprüngliche Version (als Kopie der Vorlage) zurücksetzen.

  • Sie werden benachrichtigt, wenn eine Vorlage aktualisiert wird. Sie können Ihre Regeln entweder auf die neue Version ihrer Vorlagen aktualisieren oder sie bei Bedarf belassen.

In diesem Artikel erfahren Sie, wie Sie diese Aufgaben handhaben und was dabei zu beachten ist. Die im Artikel beschriebenen Verfahren gelten für alle geplanten Analyseregeln, die aus Vorlagen erstellt wurden.

Ermitteln der Vorlagenversionsnummer Ihrer Regel

Durch Implementierung der Vorlagenversionskontrolle können Sie die Versionen Ihrer Regelvorlagen und die daraus erstellten Regeln sehen und nachverfolgen. Regeln mit aktualisierten Vorlagen zeigen ein Update-Signal neben dem Regelnamen an.

  1. Wählen Sie auf der Seite Analytics die Registerkarte Aktive Regeln aus.

  2. Wählen Sie eine beliebige Regel vom Typ Geplant aus.

    • Wenn für die Regel der Badge „Update“ anzeigt wird, weist der Detailbereich neben der Schaltfläche Bearbeiten eine Schaltfläche Überprüfen und aktualisieren auf (siehe Abbildung 1 im nächsten Schritt).

    • Wenn die Regel aus einer Vorlage erstellt wurde, aber nicht den Badge „Update“ aufweist, wird im Detailbereich neben der Schaltfläche Bearbeiten eine Schaltfläche Mit Vorlage vergleichen angezeigt (siehe Abbildungen 2 und 3 im nächsten Schritt).

    • Wenn nur die Schaltfläche Bearbeiten angezeigt wird, wurde die Regel von Grund auf neu und nicht aus einer Vorlage erstellt.

      Screenshot der Liste der aktiven Regeln mit einem Badge, der angibt, dass ein Vorlagenupdate verfügbar ist

  3. Scrollen Sie nach unten zum Ende des Detailbereichs, wo zwei Versionsnummern angezeigt werden: die Version der Vorlage, aus der die Regel erstellt wurde, und die neueste verfügbare Vorlagenversion.

    Screenshot des Detailbereichs. Scrollen Sie nach unten, um die Vorlagenversionsnummern zu sehen.

    Die Nummer hat das Format „1.0.0“: Hauptversion, Nebenversion und Build.

    • Eine Abweichung bei der Hauptversionsnummer weist darauf hin, dass etwas Wesentliches in der Vorlage geändert wurde, was sich auf die Art und Weise, wie die Regel Bedrohungen erkennt, oder sogar auf ihre Funktionsfähigkeit insgesamt auswirken könnte. Sie möchten diese Änderung in Ihre Regeln einbeziehen.

    • Eine Abweichung bei der Nebenversionsnummer weist auf eine geringfügige Verbesserung in der Vorlage hin (eine kosmetische Änderung oder etwas Ähnliches), die ganz vorteilhaft wäre, aber für die Aufrechterhaltung der Funktionalität, Effektivität oder Leistung der Regel nicht entscheidend ist. Dies ist eine Änderung, die Sie genauso gut übernehmen oder auch auslassen können.

    Hinweis

    Die Abbildungen 2 und 3 zeigen zwei Beispiele für Regeln, die aus Vorlagen erstellt wurden und bei denen die Vorlage nicht aktualisiert wurde.

    • Abbildung 2 zeigt eine Regel mit einer Versionsnummer für die aktuelle Vorlage. Dies deutet darauf hin, dass die Regel nach der ersten Implementierung der Vorlagenversionskontrolle durch Microsoft Sentinel im Oktober 2021 erstellt wurde.
    • Abbildung 3 zeigt eine Regel ohne aktuelle Vorlagenversion. Dies zeigt, dass die Regel vor Oktober 2021 erstellt wurde. Wenn eine neueste Vorlagenversion verfügbar ist, handelt es sich wahrscheinlich um eine neuere Version als die, die zum Erstellen der Regel verwendet wurde.

Vergleichen Ihrer aktiven Regel mit der jeweiligen Vorlage

Wählen Sie je nach gewünschter Aktion eine der folgenden Registerkarten aus, um die Anweisungen für diese Aktion anzuzeigen:

Nachdem Sie eine Regel ausgewählt und festgestellt haben, dass Sie sie aktualisieren möchten, wählen Sie im Detailbereich die Option Überprüfen und aktualisieren aus (siehe oben). Daraufhin enthält der Analyseregel-Assistent die Registerkarte Mit der neuesten Version vergleichen.

Auf dieser Registerkarte wird ein direkter Vergleich zwischen den YAML-Darstellungen der vorhandenen Regel und der neuesten Version der Vorlage angezeigt.

Screenshot der Registerkarte „Mit der neuesten Version vergleichen“ im Analyseregel-Assistenten

Hinweis

Durch Aktualisieren dieser Regel wird Ihre vorhandene Regel mit der neuesten Version der Vorlage überschrieben.

Alle Automatisierungsschritte oder -logiken, die auf die vorhandene Regel verweisen, sollten überprüft werden, falls sich die Namen, auf die verwiesen wird, geändert haben. Außerdem können alle Anpassungen, die Sie beim Erstellen der ursprünglichen Regel vorgenommen haben (Änderungen an der Abfrage, Planung, Gruppierung oder anderen Einstellungen), überschrieben werden.

Aktualisieren Ihrer Regel mit der neuen Vorlagenversion

  • Wenn die an der neuen Vorlagenversion vorgenommenen Änderungen für Sie akzeptabel sind und keine weiteren Aspekte Ihrer ursprünglichen Regel betroffen sind, wählen Sie Überprüfen und aktualisieren aus, um die Änderungen zu überprüfen und anzuwenden.

  • Wenn Sie die Regel weiter anpassen oder Änderungen erneut anwenden möchten, die andernfalls überschrieben werden könnten, wählen Sie Weiter: Benutzerdefinierte Änderungen aus. Durchlaufen Sie die verbleibenden Registerkarten des Analyseregel-Assistenten, um diese Änderungen vorzunehmen, und überprüfen Und wenden Sie die Änderungen auf der Registerkarte Überprüfen und Aktualisieren an.

  • Wenn Sie keine Änderungen an Ihrer bestehenden Regel vornehmen wollen, sondern die vorhandene Vorlagenversion beibehalten möchten, beenden Sie einfach den Assistenten, indem Sie das X in der oberen rechten Ecke auswählen.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie die Versionen Ihrer Microsoft Sentinel-Analyseregelvorlagen nachverfolgen und entweder aktive Regeln auf vorhandene Vorlagenversionen zurücksetzen oder auf neue Versionen aktualisieren können. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln: