Typen von Analyseregeln

Abgeschlossen

Mithilfe von Microsoft Sentinel Analytics-Regeln können Sie Benachrichtigungen und Warnungen konfigurieren, die auf Daten aus den mit Microsoft Sentinel verbundenen Quellen basieren. Durch diese Warnungen wird sichergestellt, dass das SOC-Team von Contoso über eine Bedrohung informiert wird und angemessen reagieren kann, um zu verhindern, dass die Bedrohung Ihre Unternehmensressourcen erreicht.

Typen von Analyseregeln

Sie können mithilfe der von Microsoft Sentinel Analytics bereitgestellten integrierten Analyseregeln nach potenziellen Bedrohungen suchen, darunter die folgenden Typen:

  • Anomalie

  • Fusion

  • Microsoft Security

  • Machine Learning (ML) Behavior Analytics

  • Scheduled Alerts

  • NRT-Regeln (Near Real Time, Quasi-Echtzeit)

  • Threat Intelligence

Screenshot of rule templates in the Analytics home page.

Anomalie

Anomaliewarnungen dienen der Information und identifizieren anomales Verhalten.

Fusion

Microsoft Sentinel nutzt die Korrelations-Engine von Fusion mit ihren skalierbaren Algorithmen für maschinelles Lernen, um komplexe, mehrstufige Angriffe zu erkennen. Die Engine korreliert viele Warnungen und Ereignisse mit niedriger Zuverlässigkeit über mehrere Produkte hinweg zu Vorfällen mit hoher Zuverlässigkeit und Handlungsrelevanz. Fusion ist standardmäßig aktiviert. Da die Logik ausgeblendet und daher nicht anpassbar ist, können Sie nur eine Regel mit dieser Vorlage erstellen.

Die Fusion-Engine kann auch Warnungen, die von geplanten Analyseregeln generiert werden, mit denen anderer Systeme korrelieren, was zu Vorfällen mit hoher Zuverlässigkeit führt.

Die Fusion-Erkennung ist in Microsoft Sentinel standardmäßig aktiviert. Microsoft aktualisiert ständig die Fusion-Erkennungsszenarien für die Erkennung von Bedrohungen. Zum Zeitpunkt der Erstellung dieses Artikels müssen Sie für die Anomalie- und Fusion-Erkennung die folgenden Datenconnectors konfigurieren:

  • Standardmäßige Erkennung von Anomalien

  • Warnungen von Microsoft-Produkten

    • Microsoft Entra ID-Schutz

    • Microsoft Defender für Cloud

    • Microsoft Defender für IoT

      • Microsoft Defender XDR
    • Microsoft Defender für Cloud-Apps

    • Microsoft Defender für den Endpunkt

    • Microsoft Defender for Identity

    • Microsoft Defender für Office 365

  • Warnungen aus geplanten Analyseregeln, sowohl integriert als auch von Ihren Sicherheitsanalyst*innen erstellt. Analyseregeln müssen Kill Chain-Informationen (Taktiken) und Entitätszuordnungsinformationen enthalten, um von Fusion verwendet werden zu können.

Einige der üblichen Angriffserkennungsszenarien, die Fusion-Warnungen identifizieren, sind u. a.:

  • Datenexfiltration. Erkannte verdächtige Aktivitäten, wie z. B. eine verdächtige Weiterleitungsregel im Microsoft 365-Postfach, nach einer verdächtigen Anmeldung beim Microsoft Entra-Konto können auf ein kompromittiertes Benutzerkonto hinweisen.

  • Datenvernichtung. Eine anormale Anzahl eindeutiger Dateien, die nach einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto gelöscht wurden, kann darauf hindeuten, dass ein kompromittiertes Benutzerkonto zum Vernichten von Daten verwendet wurde.

  • Denial of Service. Eine signifikante Anzahl von Azure-VMs, die nach einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto gelöscht wurden, kann ein Hinweis auf ein kompromittiertes Benutzerkonto sein, das zur Vernichtung der Ressourcen des Unternehmens eingesetzt werden kann.

  • Lateral Movement: Eine signifikante Anzahl von Identitätswechselaktionen, die nach einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto auftraten, kann auf ein kompromittiertes Benutzerkonto hinweisen, das für schädliche Zwecke genutzt wurde.

  • Ransomware. Nach einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto kann ein ungewöhnliches Verhalten des Benutzers zur Verschlüsselung von Daten eine Warnung zu einem Ransomware-Angriff auslösen.

Hinweis

Weitere Informationen zur Fusion-Technologie in Microsoft Sentinel finden Sie unter Erweiterte Erkennung von mehrstufigen Angriffen in Microsoft Sentinel.

Microsoft Security

Sie können Microsoft-Sicherheitslösungen, die mit Microsoft Sentinel verbunden sind, so konfigurieren, dass sie automatisch Incidents anhand aller Warnungen erstellen, die im verbundenen Dienst generiert werden.

Sie können z. B. konfigurieren, dass Contoso gewarnt wird, wenn ein*e Benutzer*in, der bzw. die als Bedrohung mit hohem Risiko eingestuft wurde, versucht, sich anzumelden und auf Unternehmensressourcen zuzugreifen.

Sie können die folgenden Sicherheitslösungen so konfigurieren, dass ihre Warnungen an Microsoft Sentinel übergeben werden:

  • Microsoft Defender for Cloud Apps

  • Microsoft Defender für Server

  • Microsoft Defender für IoT

  • Microsoft Defender for Identity

  • Microsoft Defender für Office 365

  • Microsoft Entra ID-Schutz

  • Microsoft Defender für den Endpunkt

Hinweis

Microsoft vereinigt in seinen Sicherheitsprodukten Terminologie aus den Bereichen SIEM (Security Information And Event Management) und XDR (Extended Detection And Response).

Sie können diese Warnungen nach Schweregrad und nach einem bestimmten Text filtern, der im Namen der Warnung enthalten ist.

ML Behavior Analytics

Microsoft Sentinel Analytics umfasst integrierte durch maschinelles Lernen gestützte Verhaltensanalyseregeln. Sie können diese integrierten Regeln weder bearbeiten noch die Regeleinstellungen überprüfen. Diese Regeln verwenden Microsoft-Algorithmen für maschinelles Lernen, um verdächtige Aktivitäten zu erkennen. Algorithmen für maschinelles Lernen korrelieren mehrere untergeordnete Incidents in einem übergeordneten Sicherheitsincident. Diese Korrelation erspart Stunden, die Sie sonst damit verbringen würden, zahlreiche Warnungen aus verschiedenen Produkten manuell zu analysieren und zu korrelieren. Die von den Analyseregeln verwendeten Algorithmen für maschinelles Lernen tragen ebenfalls dazu bei, die unwichtigen Informationen in Warnungen zu reduzieren, indem sie wichtige Daten schnell erfassen und verbinden.

Beispielsweise können sich auf maschinellem Lernen stützende Verhaltensanalyseregeln anormale SSH-Anmeldedaten (Secure Shell Protocol) oder eine RDP-Anmeldeaktivität (Remotedesktopprotokoll) erkennen.

Scheduled Alerts

Analyseregeln mit geplanten Warnungen können am stärksten angepasst werden. Sie können mithilfe von Kusto Query Language (KQL) einen eigenen Ausdruck definieren, um die Sicherheitsereignisse zu filtern. Außerdem können Sie einen Zeitplan für die Ausführung der Regel einrichten.

Überprüfen Sie Ihr Wissen

1.

Welche Analyseregeln können Sie mit Ihren eigenen Abfrageregeln anpassen?

2.

Welcher Typ von Vorlagenregeln kann Incidents basierend auf allen in Microsoft Defender für Cloud generierten Warnungen erstellen?