Wat is Microsoft Sentinel?

Microsoft Sentinel is een schaalbare, cloudeigen oplossing die het volgende biedt:

• Security Information and Event Management (SIEM)
• Beveiligingsindeling, automatisering en respons (SOAR)

Microsoft Sentinel levert intelligente beveiligingsanalyses en bedreigingsinformatie in de hele onderneming. Met Microsoft Sentinel krijgt u één oplossing voor aanvalsdetectie, zichtbaarheid van bedreigingen, proactieve opsporing en reactie op bedreigingen.

Microsoft Sentinel is het oog van uw vogel in de hele onderneming, waardoor de stress van steeds geavanceerdere aanvallen, het verhogen van de volumes aan waarschuwingen en lange resolutietijdframes wordt verminderd.

Notitie

Microsoft Sentinel neemt de procedures voor manipulatiecontrole en onveranderbaarheid van Azure Monitor over. Hoewel Azure Monitor een alleen-toevoegend gegevensplatform is, bevat het voorzieningen voor het verwijderen van gegevens voor nalevingsdoeleinden.

• Verzamel gegevens op cloudschaal voor alle gebruikers, apparaten, toepassingen en infrastructuur, zowel on-premises als in meerdere clouds.

• Detecteer eerder niet-gedetecteerde bedreigingen en minimaliseer fout-positieven met behulp van de analyse en ongeëvenaarde bedreigingsinformatie van Microsoft.

• Onderzoek bedreigingen met kunstmatige intelligentie en zoek op verdachte activiteiten op schaal, en tik op jaren van cyberbeveiliging bij Microsoft.

• Reageer snel op incidenten met ingebouwde indeling en automatisering van algemene taken.

Microsoft Sentinel bevat systeemeigen bewezen Azure-services, zoals Log Analytics en Logic Apps. Microsoft Sentinel verrijkt uw onderzoek en detectie met AI. Het biedt de bedreigingsinformatiestroom van Microsoft en stelt u in staat om uw eigen bedreigingsinformatie te gebruiken.

Notitie

Deze service ondersteunt Azure Lighthouse, waarmee serviceproviders zich kunnen aanmelden bij een eigen tenant om abonnementen en resourcegroepen te beheren die klanten hebben gedelegeerd.

Gegevens verzamelen met behulp van gegevensconnectors

Als u Microsoft Sentinel wilt onboarden, moet u eerst verbinding maken met uw gegevensbronnen.

Microsoft Sentinel wordt geleverd met veel connectors voor Microsoft-oplossingen die standaard beschikbaar zijn en realtime-integratie bieden. Enkele van deze connectors zijn:

• Microsoft-bronnen zoals Microsoft Defender XDR, Microsoft Defender voor Cloud, Office 365, Microsoft Defender voor IoT en meer.

• Azure-servicebronnen zoals Microsoft Entra ID, Azure-activiteit, Azure Storage, Azure Key Vault, Azure Kubernetes-service en meer.

Microsoft Sentinel heeft ingebouwde connectors voor de bredere ecosystemen voor beveiliging en toepassingen voor niet-Microsoft-oplossingen. U kunt ook de algemene gebeurtenisindeling, Syslog of REST-API gebruiken om uw gegevensbronnen te verbinden met Microsoft Sentinel.

Raadpleeg voor meer informatie de volgende artikelen:

• Microsoft Sentinel-gegevensconnectors
• Uw gegevensconnector zoeken

Interactieve rapporten maken met behulp van werkmappen

Nadat u de onboarding naar Microsoft Sentinel hebt uitgevoerd, controleert u uw gegevens met behulp van de integratie met Azure Monitor-werkmappen.

Werkmappen worden anders weergegeven in Microsoft Sentinel dan in Azure Monitor. Maar het kan handig zijn om te zien hoe u een werkmap maakt in Azure Monitor. Met Microsoft Sentinel kunt u aangepaste werkmappen voor uw gegevens maken. Microsoft Sentinel wordt ook geleverd met ingebouwde werkmapsjablonen, zodat u snel inzicht krijgt in uw gegevens zodra u een gegevensbron verbindt.

Werkmappen zijn bedoeld voor SOC-technici en analisten van alle lagen om gegevens te visualiseren.

Werkmappen kunnen het beste worden gebruikt voor weergaven op hoog niveau van Microsoft Sentinel-gegevens en vereisen geen coderingskennis. U kunt werkmappen echter niet integreren met externe gegevens.

Waarschuwingen correleren in incidenten met behulp van analyseregels

Om u te helpen ruis te verminderen en het aantal waarschuwingen dat u moet controleren en onderzoeken te minimaliseren, maakt Microsoft Sentinel gebruik van analyses om waarschuwingen in incidenten te correleren. Incidenten zijn groepen gerelateerde waarschuwingen die samen duiden op een mogelijke bedreiging die u kunt onderzoeken en oplossen. Gebruik de ingebouwde correlatieregels zoals ze worden geleverd of gebruik ze als beginpunt om uw eigen correlatieregels te maken. Microsoft Sentinel biedt ook machine learning-regels om uw netwerkgedrag toe te wijzen en vervolgens te zoeken naar afwijkingen in uw resources. Deze analyses leggen een link door waarschuwingen met een lage betrouwbaarheid over verschillende entiteiten te combineren tot mogelijke beveiligingsincidenten met een hoge betrouwbaarheid.

Algemene taken automatiseren en organiseren met behulp van playbooks

Automatiseer uw algemene taken en vereenvoudig beveiligingsindeling met playbooks die zijn geïntegreerd met Azure-services en uw bestaande hulpprogramma's.

De automatiserings- en indelingsoplossing van Microsoft Sentinel biedt een zeer uitbreidbare architectuur die schaalbare automatisering mogelijk maakt wanneer er nieuwe technologieën en bedreigingen ontstaan. Als u playbooks wilt bouwen met Azure Logic Apps, kunt u kiezen uit een voortdurend groeiende galerie met vele honderden connectors voor verschillende services en systemen. Met deze connectors kunt u aangepaste logica toepassen in uw werkstroom, bijvoorbeeld:

• ServiceNow
• Jira
• Zendesk
• HTTP-aanvragen
• Microsoft Teams
• Slack
• Microsoft Entra ID
• Microsoft Defender voor Eindpunten
• Microsoft Defender for Cloud Apps

Als u bijvoorbeeld het ServiceNow-ticketingsysteem gebruikt, gebruikt u Azure Logic Apps om uw werkstromen te automatiseren en een ticket in ServiceNow te openen telkens wanneer een bepaalde waarschuwing of incident wordt gegenereerd.

Playbooks zijn bedoeld voor SOC-technici en analisten van alle lagen, om taken te automatiseren en te vereenvoudigen, waaronder gegevensopname, verrijking, onderzoek en herstel.

Playbooks werken het beste met enkele, herhaalbare taken en vereisen geen codekennis. Playbooks zijn niet geschikt voor ad-hoc of complexe taakketens, of voor het documenteren en delen van bewijs.

Het bereik en de hoofdoorzaak van beveiligingsrisico's onderzoeken

Microsoft Sentinel-hulpprogramma's voor diepgaand onderzoek helpen u inzicht te krijgen in het bereik en de hoofdoorzaak van een mogelijke beveiligingsrisico te vinden. U kunt een entiteit in de interactieve grafiek kiezen om interessante vragen te stellen voor een specifieke entiteit en inzoomen op deze entiteit en de bijbehorende verbindingen om de hoofdoorzaak van de bedreiging te achterhalen.

Beveiligingsrisico's opsporen met behulp van ingebouwde query's

Gebruik de krachtige zoek- en queryhulpprogramma's van Microsoft Sentinel, op basis van het MITRE-framework, waarmee u proactief beveiligingsrisico's in de gegevensbronnen van uw organisatie kunt opsporen voordat een waarschuwing wordt geactiveerd. Maak aangepaste detectieregels op basis van uw opsporingsquery. Vervolgens kunt u deze inzichten weergeven als waarschuwingen voor uw reactie op beveiligingsincidenten.

Maak tijdens het opsporen bladwijzers om later terug te keren naar interessante gebeurtenissen. Gebruik een bladwijzer om een gebeurtenis met anderen te delen. Of groepeer gebeurtenissen met andere correlerende gebeurtenissen om een overtuigend incident voor onderzoek te maken.

Uw opsporing van bedreigingen verbeteren met notebooks

Microsoft Sentinel ondersteunt Jupyter-notebooks in Azure Machine Learning-werkruimten, waaronder volledige bibliotheken voor machine learning, visualisatie en gegevensanalyse.

Gebruik notebooks in Microsoft Sentinel om het bereik van wat u kunt doen met Microsoft Sentinel-gegevens uit te breiden. Voorbeeld:

• Voer analyses uit die niet zijn ingebouwd in Microsoft Sentinel, zoals een aantal Python-functies voor machine learning.
• Gegevensvisualisaties maken die niet zijn ingebouwd in Microsoft Sentinel, zoals aangepaste tijdlijnen en processtructuren.
• Integreer gegevensbronnen buiten Microsoft Sentinel, zoals een on-premises gegevensset.

Notebooks zijn bedoeld voor bedreigingsjagers of laag 2-3-analisten, incidentonderzoekers, gegevenswetenschappers en beveiligingsonderzoekers. Ze vereisen een hogere leercurve en coderingskennis. Ze hebben beperkte automatiseringsondersteuning.

Notebooks in Microsoft Sentinel bieden:

• Query's naar zowel Microsoft Sentinel als externe gegevens
• Functies voor gegevensverrijking, onderzoek, visualisatie, opsporing, machine learning en big data-analyses

Notebooks zijn het meest geschikt voor:

• Complexere ketens van herhaalbare taken
• Ad-hoc procedurele controles
• Machine learning en aangepaste analyse

Notebooks ondersteunen uitgebreide Python-bibliotheken voor het bewerken en visualiseren van gegevens. Ze zijn handig om analyse-bewijs te documenteren en te delen.

Beveiligingsinhoud downloaden van de community

De Microsoft Sentinel-community is een krachtige resource voor detectie en automatisering van bedreigingen. Onze Beveiligingsanalisten van Microsoft maken en voegen nieuwe werkmappen, playbooks, opsporingsquery's en meer toe. Ze plaatsen deze inhoudsitems in de community die u in uw omgeving kunt gebruiken. Download voorbeeldinhoud uit de GitHub-opslagplaats van de privécommunity om aangepaste werkmappen, opsporingsquery's, notebooks en playbooks te maken voor Microsoft Sentinel.

Volgende stappen

• Als u aan de slag wilt met Microsoft Sentinel, hebt u een abonnement op Microsoft Azure nodig. Als u geen abonnement hebt, kunt u zich aanmelden voor een gratis proefversie.
• Leer hoe u uw gegevens onboardt naar Microsoft Sentinel en inzicht krijgt in uw gegevens en mogelijke bedreigingen.