Zelfstudie: Bedreigingen detecteren met behulp van analyseregels in Microsoft Sentinel

  • Artikel

Als SIEM-service (Security Information and Event Management) is Microsoft Sentinel verantwoordelijk voor het detecteren van beveiligingsrisico's voor uw organisatie. Dit doet u door de enorme hoeveelheden gegevens te analyseren die worden gegenereerd door alle logboeken van uw systemen.

In deze zelfstudie leert u hoe u een Microsoft Sentinel-analyseregel instelt op basis van een sjabloon om te zoeken naar aanvallen van het Apache Log4j-beveiligingsprobleem in uw omgeving. Met de regel worden gebruikersaccounts en IP-adressen in uw logboeken omlijst als traceerbare entiteiten, worden belangrijke stukjes informatie weergegeven in de waarschuwingen die door de regels worden gegenereerd en pakketwaarschuwingen als incidenten die moeten worden onderzocht.

Wanneer u deze zelfstudie hebt voltooid, kunt u het volgende doen:

  • Een analyseregel maken op basis van een sjabloon
  • De query en instellingen van een regel aanpassen
  • De drie typen waarschuwingsverrijking configureren
  • Kies geautomatiseerde bedreigingsreacties voor uw regels

Vereisten

Het volgende moet zijn geïnstalleerd om deze zelfstudie te voltooien:

  • Een Azure-abonnement. Maak een gratis account als u er nog geen hebt.

  • Een Log Analytics-werkruimte waarin de Microsoft Sentinel-oplossing is geïmplementeerd en er gegevens in worden opgenomen.

  • Een Azure-gebruiker met de rol Microsoft Sentinel-inzender die is toegewezen aan de Log Analytics-werkruimte waar Microsoft Sentinel wordt geïmplementeerd.

  • In deze regel wordt verwezen naar de volgende gegevensbronnen. Hoe meer connectors u hebt geïmplementeerd, hoe effectiever de regel is. U moet ten minste één hebben.

    Gegevensbron Log Analytics-tabellen waarnaar wordt verwezen
    Office 365 OfficeActivity (SharePoint)
    OfficeActivity (Exchange)
    OfficeActivity (Teams)
    DNS DnsEvents
    Azure Monitor (VM Insights) VM Verbinding maken ion
    Cisco ASA CommonSecurityLog (Cisco)
    Palo Alto Networks (firewall) CommonSecurityLog (PaloAlto)
    Beveiligingsevenementen SecurityEvents
    Microsoft Entra ID Aanmeldingslogboeken
    AADNonInteractiveUserSignInLogs
    Azure Monitor (WireData) WireData
    Azure Monitor (IIS) W3CIISLog
    Azure-activiteit AzureActivity
    Amazon Web Services AWSCloudTrail
    Microsoft Defender XDR DeviceNetworkEvents
    Azure Firewall AzureDiagnostics (Azure Firewall)

Aanmelden bij Azure Portal en Microsoft Sentinel

  1. Meld u aan bij de Azure-portal.

  2. Zoek en selecteer Microsoft Sentinel in de zoekbalk.

  3. Zoek en selecteer uw werkruimte in de lijst met beschikbare Microsoft Sentinel-werkruimten.

Een oplossing installeren vanuit de inhoudshub

  1. Selecteer in Microsoft Sentinel in het menu aan de linkerkant onder Inhoudsbeheer de optie Inhoudshub.

  2. Zoek en selecteer de oplossing Log4j-detectie van beveiligingsproblemen.

  3. Selecteer Installeren/bijwerken in de werkbalk boven aan de pagina.

Een geplande analyseregel maken op basis van een sjabloon

  1. Selecteer Analytics in Microsoft Sentinel in het menu aan de linkerkant onder Configuratie.

  2. Selecteer op de pagina Analyse het tabblad Regelsjablonen .

  3. Voer in het zoekveld bovenaan de lijst met regelsjablonen log4j in.

  4. Selecteer in de gefilterde lijst met sjablonen log4j-beveiligingsproblemen, oftewel Log4Shell IP IOC. Selecteer regel maken in het detailvenster.

    Screenshot showing how to search for and locate template and create analytics rule.

    De wizard Analyseregel wordt geopend.

  5. Voer op het tabblad Algemeen in het veld Naam log4j-beveiligingsproblemen in, ook wel Bekend als Log4Shell IP IOC - Tutorial-1.

  6. Laat de rest van de velden op deze pagina staan zoals ze zijn. Dit zijn de standaardinstellingen, maar we voegen in een later stadium aanpassingen toe aan de naam van de waarschuwing.

    Als u niet wilt dat de regel onmiddellijk wordt uitgevoerd, selecteert u Uitgeschakeld en wordt de regel toegevoegd aan het tabblad Actieve regels en kunt u deze vanaf daar inschakelen wanneer u deze nodig hebt.

  7. Selecteer Volgende: Regellogica instellen. Screenshot of the General tab of the Analytics rule wizard.

Regelquerylogica en configuratie van instellingen controleren

  • Controleer op het tabblad Regellogica instellen de query zoals deze wordt weergegeven onder de kop Regelquery .

    Als u meer querytekst tegelijk wilt zien, selecteert u het diagonale dubbele pijlpictogram in de rechterbovenhoek van het queryvenster om het venster uit te vouwen tot een groter formaat.

    Screenshot of the Set rule logic tab of the Analytics rule wizard.

Waarschuwingen verrijken met entiteiten en andere details

  1. Behoud onder Waarschuwingsverrijking de instellingen voor entiteitstoewijzing zoals ze zijn. Noteer de drie toegewezen entiteiten.

    Screenshot of existing entity mapping settings.

  2. In de sectie Aangepaste details voegen we de tijdstempel van elke gebeurtenis toe aan de waarschuwing, zodat u deze direct in de waarschuwingsdetails kunt zien, zonder dat u hoeft in te zoomen.

    1. Typ een tijdstempel in het veld Sleutel . Dit is de naam van de eigenschap in de waarschuwing.
    2. Selecteer tijdstempel in de vervolgkeuzelijst Waarde .

  3. In de sectie Waarschuwingsdetails gaan we de naam van de waarschuwing aanpassen, zodat de tijdstempel van elke instantie wordt weergegeven in de titel van de waarschuwing.

    Voer in het veld Indeling van waarschuwingsnaam log4j-beveiligingsprobleem in met de naam Log4Shell IP IOC op {{timestamp}}.

    Screenshot of custom details and alert details configurations.

Resterende instellingen controleren

  1. Controleer de overige instellingen op het tabblad Regellogica instellen. Het is echter niet nodig om iets te wijzigen, maar als u het interval wilt wijzigen, bijvoorbeeld. Zorg ervoor dat de lookbackperiode overeenkomt met het interval om continue dekking te behouden.

    • Queryplanning:

      • Voer elke 1 uur een query uit.
      • Opzoekgegevens uit het afgelopen 1 uur.

    • Waarschuwingsdrempel:

      • Waarschuwing genereren wanneer het aantal queryresultaten groter is dan 0.

    • Gebeurtenisgroepering:

      • Configureren hoe queryresultaten van regels worden gegroepeerd in waarschuwingen: Groepeer alle gebeurtenissen in één waarschuwing.

    • Onderdrukking:

      • Stop met het uitvoeren van de query nadat de waarschuwing is gegenereerd: Uit.

    Screenshot of remaining rule logic settings for analytics rule.

  2. Selecteer Volgende: Incidentinstellingen.

De instellingen voor het maken van incidenten controleren

  1. Controleer de instellingen op het tabblad Incidentinstellingen . U hoeft niets te wijzigen, tenzij u bijvoorbeeld een ander systeem hebt voor het maken en beheren van incidenten. In dat geval wilt u het maken van incidenten uitschakelen.

    • Incidentinstellingen:

      • Incidenten maken op basis van waarschuwingen die worden geactiveerd door deze analyseregel: Ingeschakeld.

    • Waarschuwingsgroepering:

      • Gerelateerde waarschuwingen groeperen, geactiveerd door deze analyseregel, in incidenten: Uitgeschakeld.

    Screenshot of the Incident settings tab of the Analytics rule wizard.

  2. Selecteer Volgende: Geautomatiseerd antwoord.

Geautomatiseerde antwoorden instellen en de regel maken

Op het tabblad Automatisch antwoord :

  1. Selecteer + Nieuwe toevoegen om een nieuwe automatiseringsregel te maken voor deze analyseregel. Hiermee opent u de wizard Nieuwe automatiseringsregel maken.

    Screenshot of Automated response tab in Analytics rule wizard.

  2. Voer in het veld Naam van de Automation-regel de detectie van misbruik van beveiligingsproblemen in Log4J in - Tutorial-1.

  3. Laat de secties Trigger en Voorwaarden staan zoals ze zijn.

  4. Selecteer onder Acties tags toevoegen in de vervolgkeuzelijst.

    1. Selecteer + Tag toevoegen.
    2. Voer Log4J-exploit in het tekstvak in en selecteer OK.

  5. Laat de secties Regelverloop en Volgorde staan zoals ze zijn.

  6. Selecteer Toepassen. U ziet binnenkort uw nieuwe automatiseringsregel in de lijst op het tabblad Automatisch antwoord .

  7. Selecteer Volgende: Controleer of u alle instellingen voor uw nieuwe analyseregel wilt controleren. Wanneer het bericht 'Validatie geslaagd' wordt weergegeven, selecteert u Maken. Tenzij u de regel instelt op Uitgeschakeld op het tabblad Algemeen hierboven, wordt de regel onmiddellijk uitgevoerd.

    Selecteer de onderstaande afbeelding voor een weergave van de volledige beoordeling (de meeste querytekst is geknipt voor weergavebaarheid).

    Screenshot of the Review and Create tab of the Analytics rule wizard.

Het slagen van de regel controleren

  1. Als u de resultaten wilt bekijken van de waarschuwingsregels die u maakt, gaat u naar de pagina Incidenten .

  2. Als u de lijst met incidenten wilt filteren op incidenten die zijn gegenereerd door uw analyseregel, voert u de naam (of een deel van de naam) in van de analyseregel die u hebt gemaakt in de zoekbalk .

  3. Open een incident waarvan de titel overeenkomt met de naam van de analyseregel. De vlag die u hebt gedefinieerd in de automatiseringsregel, is toegepast op het incident.

Resources opschonen

Als u deze analyseregel niet wilt blijven gebruiken, verwijdert u de analyse- en automatiseringsregels die u hebt gemaakt (of schakelt u deze ten minste uit):

  1. Selecteer op de pagina Analyse het tabblad Actieve regels .

  2. Voer de naam (of een deel van de naam) in van de analyseregel die u hebt gemaakt in de zoekbalk .
    (Als deze niet wordt weergegeven, controleert u of filters zijn ingesteld op Alles selecteren.)

  3. Markeer het selectievakje naast de regel in de lijst en selecteer Verwijderen in de bovenste banner.
    (Als u deze niet wilt verwijderen, kunt uIn plaats daarvan uitschakelen .)

  4. Selecteer op de pagina Automation het tabblad Automation-regels .

  5. Voer de naam (of een deel van de naam) in van de automatiseringsregel die u hebt gemaakt in de zoekbalk .
    (Als deze niet wordt weergegeven, controleert u of filters zijn ingesteld op Alles selecteren.)

  6. Schakel het selectievakje naast de automatiseringsregel in de lijst in en selecteer Verwijderen in de bovenste banner.
    (Als u deze niet wilt verwijderen, kunt uIn plaats daarvan uitschakelen .)

Volgende stappen

Nu u hebt geleerd hoe u kunt zoeken naar aanvallen van een veelvoorkomend beveiligingsprobleem met behulp van analyseregels, vindt u meer informatie over wat u kunt doen met analyses in Microsoft Sentinel: