Bedreigingen out-of-the-box detecteren

Notitie

Azure Sentinel heet nu Microsoft Sentinel en deze pagina's worden de komende weken bijgewerkt. Meer informatie over recente beveiligingsverbeteringen van Microsoft.

Nadat u uw gegevensbronnen hebt verbonden met Microsoft Sentinel, wilt u een melding ontvangen wanneer er iets verdachts gebeurt. Daarom biedt Microsoft Sentinel standaard ingebouwde sjablonen om u te helpen bij het maken van regels voor het detecteren van bedreigingen.

Regelsjablonen zijn ontworpen door het team van beveiligingsexperts en analisten van Microsoft op basis van bekende bedreigingen, veelvoorkomende aanvalsvectoren en escalatieketens voor verdachte activiteiten. Regels die op basis van deze sjablonen zijn gemaakt, zoeken automatisch in uw omgeving naar activiteiten die er verdacht uitzien. Veel van de sjablonen kunnen worden aangepast om te zoeken naar activiteiten of ze eruit te filteren, afhankelijk van uw behoeften. De waarschuwingen die door deze regels worden gegenereerd, maken incidenten die u in uw omgeving kunt toewijzen en onderzoeken.

Dit artikel helpt u te begrijpen hoe u bedreigingen kunt detecteren met Microsoft Sentinel:

  • Out-of-the-box detectie van bedreigingen gebruiken
  • Bedreigingsreacties automatiseren

Ingebouwde detecties weergeven

Als u alle analyseregels en detecties in Microsoft Sentinel wilt weergeven, gaat u naarAnalyseregelsjablonen>. Dit tabblad bevat alle ingebouwde Microsoft Sentinel-regels, evenals het regeltype Bedreigingsinformatie .

Schermopname van ingebouwde detectieregels om bedreigingen te vinden met Microsoft Sentinel.

Ingebouwde detecties zijn onder andere:

Regeltype Description
Microsoft-beveiliging Microsoft-beveiligingssjablonen maken automatisch Microsoft Sentinel-incidenten op basis van de waarschuwingen die in andere Microsoft-beveiligingsoplossingen worden gegenereerd, in realtime. U kunt Beveiligingsregels van Microsoft als sjabloon gebruiken om nieuwe regels met vergelijkbare logica te maken.

Zie Automatisch incidenten maken vanuit Beveiligingswaarschuwingen van Microsoft voor meer informatie over beveiligingsregels.
Fusion
(sommige detecties in preview)
Microsoft Sentinel maakt gebruik van de Fusion-correlatie-engine, met de schaalbare machine learning-algoritmen, om geavanceerde aanvallen met meerdere fasen te detecteren door veel waarschuwingen en gebeurtenissen met een lage kwaliteit in meerdere producten te correleren in incidenten met hoge kwaliteit en actie. Fusion is standaard ingeschakeld. Omdat de logica verborgen is en daarom niet kan worden aangepast, kunt u slechts één regel maken met deze sjabloon.

De Fusion-engine kan ook waarschuwingen die worden geproduceerd door geplande analyseregels correleren met die van andere systemen, waardoor incidenten met hoge kwaliteit worden geproduceerd.
Machine learning (ML) gedragsanalyse Ml-gedragsanalysesjablonen zijn gebaseerd op eigen Machine Learning-algoritmen van Microsoft, zodat u de interne logica niet kunt zien van hoe ze werken en wanneer ze worden uitgevoerd.

Omdat de logica verborgen is en daarom niet kan worden aangepast, kunt u slechts één regel maken met elke sjabloon van dit type.
Bedreigingsinformatie Profiteer van bedreigingsinformatie die door Microsoft wordt geproduceerd om waarschuwingen en incidenten met hoge kwaliteit te genereren met de Microsoft Threat Intelligence Analytics-regel . Deze unieke regel kan niet worden aangepast, maar wanneer deze is ingeschakeld, komt deze automatisch overeen met CEF-logboeken (Common Event Format), Syslog-gegevens of Windows DNS-gebeurtenissen met bedreigingsindicatoren voor domeinen, IP en URL's van Microsoft Threat Intelligence. Bepaalde indicatoren bevatten aanvullende contextinformatie via MDTI (Microsoft Defender-bedreigingsinformatie).

Zie Overeenkomende analyses gebruiken om bedreigingen te detecteren voor meer informatie over het inschakelen van deze regel.
Zie Wat is Microsoft Defender-bedreigingsinformatie voor meer informatie over MDTI
Anomalie Anomalieregelsjablonen maken gebruik van machine learning om specifieke typen afwijkend gedrag te detecteren. Elke regel heeft zijn eigen unieke parameters en drempelwaarden, die geschikt zijn voor het gedrag dat wordt geanalyseerd.

Hoewel de configuraties van out-of-the-box-regels niet kunnen worden gewijzigd of afgestemd, kunt u een regel dupliceren en vervolgens het duplicaat wijzigen en verfijnen. In dergelijke gevallen voert u het duplicaat uit in de flighting-modus en de oorspronkelijke gelijktijdig in de productiemodus . Vergelijk vervolgens de resultaten en schakel het duplicaat over naar Productie als en wanneer de afstemming naar wens is.

Zie Use customizable anomalies to detect threats in Microsoft Sentinel (Aanpasbare afwijkingen gebruiken om bedreigingen te detecteren in Microsoft Sentinel ) en Werken met analyseregels voor anomaliedetectie in Microsoft Sentinel voor meer informatie.
Geplande Geplande analyseregels zijn gebaseerd op ingebouwde query's die zijn geschreven door Microsoft-beveiligingsexperts. U kunt de querylogica bekijken en er wijzigingen in aanbrengen. U kunt de sjabloon geplande regels gebruiken en de querylogica en planningsinstellingen aanpassen om nieuwe regels te maken.

Verschillende nieuwe regelsjablonen voor geplande analyse produceren waarschuwingen die door de Fusion-engine worden gecorreleerd met waarschuwingen van andere systemen om incidenten van hoge kwaliteit te produceren. Zie Geavanceerde detectie van aanvallen met meerdere fasen voor meer informatie.

Tip: de planningsopties voor regels omvatten het configureren van de regel om elk opgegeven aantal minuten, uren of dagen uit te voeren, waarbij de klok wordt gestart wanneer u de regel inschakelt.

U wordt aangeraden rekening te houden met het inschakelen van een nieuwe of bewerkte analyseregel om ervoor te zorgen dat de regels de nieuwe stapel incidenten op tijd krijgen. U wilt bijvoorbeeld een regel gesynchroniseerd uitvoeren met wanneer uw SOC-analisten hun werkdag beginnen en de regels vervolgens inschakelen.
Bijna realtime (NRT)
(Preview)
NRT-regels zijn een beperkte set geplande regels, ontworpen om één keer per minuut te worden uitgevoerd, zodat u zo actueel mogelijk informatie krijgt.

Ze werken meestal zoals geplande regels en zijn op dezelfde manier geconfigureerd, met enkele beperkingen. Zie Bedreigingen snel detecteren met nrt-analyseregels (near-real-time) in Microsoft Sentinel voor meer informatie.

Belangrijk

De hierboven aangegeven regelsjablonen zijn momenteel in PREVIEW, evenals enkele van de Fusion-detectiesjablonen (zie Geavanceerde detectie van aanvallen met meerdere fasen in Microsoft Sentinel om te zien welke). Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bètaversie of preview zijn of die nog niet algemeen beschikbaar zijn.

Ingebouwde analyseregels gebruiken

In deze procedure wordt beschreven hoe u ingebouwde sjablonen voor analyseregels gebruikt.

Ingebouwde analyseregels gebruiken:

  1. Selecteer op de paginaRegelsjablonen van Microsoft Sentinel >Analytics> een sjabloonnaam en selecteer vervolgens de knop Regel maken in het detailvenster om een nieuwe actieve regel te maken op basis van die sjabloon.

    Elke sjabloon heeft een lijst met vereiste gegevensbronnen. Wanneer u de sjabloon opent, worden de gegevensbronnen automatisch gecontroleerd op beschikbaarheid. Als er een beschikbaarheidsprobleem is, is de knop Regel maken mogelijk uitgeschakeld of ziet u mogelijk een waarschuwing.

    Voorbeeldvenster detectieregel

  2. Als u Regel maken selecteert, wordt de wizard voor het maken van regels geopend op basis van de geselecteerde sjabloon. Alle details worden automatisch ingevuld en met de beveiligingssjablonen Gepland of Microsoft kunt u de logica en andere regelinstellingen aanpassen aan uw specifieke behoeften. U kunt dit proces herhalen om aanvullende regels te maken op basis van de ingebouwde sjabloon. Nadat u de stappen in de wizard voor het maken van regels tot het einde hebt uitgevoerd, bent u klaar met het maken van een regel op basis van de sjabloon. De nieuwe regels worden weergegeven op het tabblad Actieve regels .

    Zie Aangepaste analyseregels maken om bedreigingen te detecteren voor meer informatie over het aanpassen van uw regels in de wizard voor het maken van regels.

Tip

  • Zorg ervoor dat u alle regels inschakelt die zijn gekoppeld aan uw verbonden gegevensbronnen om volledige beveiligingsdekking voor uw omgeving te garanderen. De meest efficiënte manier om analyseregels in te schakelen, is rechtstreeks vanaf de gegevensconnectorpagina, waar alle gerelateerde regels worden vermeld. Zie Verbinding maken met gegevensbronnen voor meer informatie.

  • U kunt regels ook pushen naar Microsoft Sentinel via API en PowerShell, hoewel dit extra inspanning vereist.

    Wanneer u API of PowerShell gebruikt, moet u de regels eerst exporteren naar JSON voordat u de regels inschakelt. API of PowerShell kan handig zijn bij het inschakelen van regels in meerdere exemplaren van Microsoft Sentinel met identieke instellingen in elk exemplaar.

Regels exporteren naar een ARM-sjabloon

U kunt uw regel eenvoudig exporteren naar een ARM-sjabloon (Azure Resource Manager) als u uw regels als code wilt beheren en implementeren. U kunt ook regels importeren uit sjabloonbestanden om ze in de gebruikersinterface weer te geven en te bewerken.

Volgende stappen